项目中使用了 Shiro 进行验证和授权,下面是 Shiro 配置类给予参考。

后来并没有使用 Shiro,感觉使用 JWT 还是自己写拦截器比较灵活,使用 Shiro 后各种地方需要魔改,虽然功能也能实现,但感觉把简单问题复杂化了,如果单单只使用 Shiro 授权这一块可以尝试。

package com.nwgdk.ums.config.shiro;

import com.nwgdk.ums.config.shiro.filter.AccessTokenFilter;

import com.nwgdk.ums.config.shiro.listener.CustomSessionListener;

import com.nwgdk.ums.config.shiro.realm.AdminRealm;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.mgt.DefaultSubjectDAO;

import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.session.SessionListener;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.apache.shiro.web.mgt.DefaultWebSessionStorageEvaluator;

import org.apache.shiro.web.servlet.SimpleCookie;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.boot.autoconfigure.AutoConfigureAfter;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;

import java.util.*;

/**

 * @author nwgdk

 */

@Configuration

@AutoConfigureAfter(ShiroLifecycleBeanPostProcessorConfiguartion.class)

public class ShiroConfiguration {

    /**

     * Hash迭代次数

     */

    @Value("${ums.config.hash.hash-iterations}")

    private Integer hashIterations;

    /**

     * WEB 过滤器链

     */

    @Bean(name = "shiroFilter")

    public ShiroFilterFactoryBean shiroFilterFactoryBean() {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 设置安全管理器

        shiroFilterFactoryBean.setSecurityManager(securityManager());

        // 注册自定义过滤器

        Map<String, Filter> filterMap = new LinkedHashMap<>(8);

        filterMap.put("authc", new AccessTokenFilter());

        shiroFilterFactoryBean.setFilters(filterMap);

        // 定义过滤链

        Map<String, String> filterChains = new LinkedHashMap<>(8);

        filterChains.put("/v1/admin/login", "anon");

        filterChains.put("/**", "authc");

        // 设置过滤器链

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChains);

        return shiroFilterFactoryBean;

    }

    /**

     * 安全管理器

     */

    @Bean

    public SecurityManager securityManager() {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        // 设置 Session 管理器

        securityManager.setSessionManager(sessionManager());

        // 设置 Realm

        securityManager.setRealm(adminRealm());

        // 关闭 RememberMe

        securityManager.setRememberMeManager(null);

        // 设置自定义 Subject

        securityManager.setSubjectFactory(statelessDefaultSubjectFactory());

        // 设置 SubjectDao

        securityManager.setSubjectDAO(defaultSubjectDAO());

        return securityManager;

    }

    /**

     * 自定义 Subject 工厂, 禁止使用 Session

     */

    @Bean("subjectFactory")

    public StatelessDefaultSubjectFactory statelessDefaultSubjectFactory() {

        return new StatelessDefaultSubjectFactory();

    }

    @Bean

    public DefaultSubjectDAO defaultSubjectDAO() {

        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

        // 设置会话存储调度器

        subjectDAO.setSessionStorageEvaluator(defaultWebSessionStorageEvaluator());

        return subjectDAO;

    }

    /**

     * 会话存储器

     */

    @Bean

    public DefaultWebSessionStorageEvaluator defaultWebSessionStorageEvaluator() {

        DefaultWebSessionStorageEvaluator evaluator = new DefaultWebSessionStorageEvaluator();

        // 禁用会话存储

        evaluator.setSessionStorageEnabled(false);

        return evaluator;

    }

    /**

     * Session 管理器

     */

    @Bean

    public DefaultWebSessionManager sessionManager() {

        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

        // 设置 Cookie

        sessionManager.setSessionIdCookie(simpleCookie());

        // 启用 Session Id Cookie,默认启用

        sessionManager.setSessionIdCookieEnabled(false);

        // 设置全局超时时间,默认30分钟

        sessionManager.setGlobalSessionTimeout(1800000L);

        // 设置会话监听器

        sessionManager.setSessionListeners(customSessionListener());

        // 禁用 Session 验证调度器

        sessionManager.setSessionValidationSchedulerEnabled(false);

        return sessionManager;

    }

    /**

     * 会话监听器

     */

    @Bean

    public Collection<SessionListener> customSessionListener() {

        List<SessionListener> listeners = new ArrayList<>();

        listeners.add(new CustomSessionListener());

        return listeners;

    }

    /**

     * Session Cookie

     */

    @Bean

    public SimpleCookie simpleCookie() {

        SimpleCookie cookie = new SimpleCookie();

        // Session Cookie 名称

        cookie.setName("SID");

        // Session 存活时间

        cookie.setMaxAge(10);

        // 设置 Cookie 只读

        cookie.setHttpOnly(true);

        return cookie;

    }

    /**

     * 凭证匹配器

     */

    @Bean("credentialsMatcher")

    public HashedCredentialsMatcher hashedCredentialsMatcher() {

        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        // 散列算法

        hashedCredentialsMatcher.setHashAlgorithmName("md5");

        // 散列次数

        hashedCredentialsMatcher.setHashIterations(hashIterations);

        // 使用 HEX 编码

        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);

        return hashedCredentialsMatcher;

    }

    /**

     * 领域对象

     */

    @Bean("adminRealm")

    public AdminRealm adminRealm() {

        AdminRealm adminRealm = new AdminRealm();

        // 设置密码匹配器

        adminRealm.setCredentialsMatcher(hashedCredentialsMatcher());

        return adminRealm;

    }

    /**

     * 开启注解 (如 @RequiresRoles, @RequiresPermissions),

     * 需借助 SpringAOP 扫描使用 Shiro 注解的类,并在必要时进行安全逻辑验证

     * 配置以下两个 Bean:

     * DefaultAdvisorAutoProxyCreator(可选) 和 AuthorizationAttributeSourceAdvisor 即可实现此功能

     */

    @Bean

    @DependsOn({"lifecycleBeanPostProcessor"})

    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {

        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

        advisorAutoProxyCreator.setProxyTargetClass(true);

        return advisorAutoProxyCreator;

    }

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());

        return authorizationAttributeSourceAdvisor;

    }

}


package com.nwgdk.ums.config.shiro;

import org.apache.shiro.spring.LifecycleBeanPostProcessor;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

/**

 * @author nwgdk

 */

@Configuration

public class ShiroLifecycleBeanPostProcessorConfiguartion {

    /**

     * Shiro 生命周期处理器

     */

    @Bean(name = "lifecycleBeanPostProcessor")

    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {

        return new LifecycleBeanPostProcessor();

    }

}


package com.nwgdk.ums.config.shiro;

import org.apache.shiro.subject.Subject;

import org.apache.shiro.subject.SubjectContext;

import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;

/**

 * 自定义 Subject

 *

 * @author nwgdk

 */

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override

    public Subject createSubject(SubjectContext context) {

        // 禁止 Subject 创建会话

        context.setSessionCreationEnabled(false);

        return super.createSubject(context);

    }

}

Shiro 使用 JWT Token 配置类参考的更多相关文章

  1. jwt token and shiro

    openapi可以完全开放访问,也可以使用jwt token进行简单的认证,还可以使用shiro支持更细致的权限管理. handler.yml配置了security和shiro两个handler: s ...

  2. Spring Cloud OAuth2.0 微服务中配置 Jwt Token 签名/验证

    关于 Jwt Token 的签名与安全性前面已经做了几篇介绍,在 IdentityServer4 中定义了 Jwt Token 与 Reference Token 两种验证方式(https://www ...

  3. SpringBoot整合Shiro 二:Shiro配置类

    环境搭建见上篇:SpringBoot整合Shiro 一:搭建环境 Shiro配置类配置 shiro的配置主要集中在 ShiroFilterFactoryBean 中 关于权限: anon:无需认证就可 ...

  4. 学习Spring Boot:(十六)使用Shiro与JWT 实现认证服务

    前言 需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时access_token进行资源访问.这里我们将使用 JWT 1,基于散列的消息认证码,使用一 ...

  5. ASP.NET Core 2.1 JWT token (一) - 简书

    原文:ASP.NET Core 2.1 JWT token (一) - 简书 JwtBearer认证是一种标准的,通用的,无状态的,与语言无关的认证方式.Bearer验证属于HTTP协议标准验证. 如 ...

  6. 【SpringBoot技术专题】「权限校验专区」Shiro整合JWT授权和认证实现

    本章介绍一下常用的认证框架Shiro结合springboot以及集合jwt快速带您开发完成一个认证框架机制. Maven配置依赖 <dependency> <groupId>o ...

  7. asp.net core使用identity+jwt保护你的webapi(二)——获取jwt token

    前言 上一篇已经介绍了identity在web api中的基本配置,本篇来完成用户的注册,登录,获取jwt token. 开始 开始之前先配置一下jwt相关服务. 配置JWT 首先NuGet安装包: ...

  8. ASP.NET Core 实战:基于 Jwt Token 的权限控制全揭露

    一.前言 在涉及到后端项目的开发中,如何实现对于用户权限的管控是需要我们首先考虑的,在实际开发过程中,我们可能会运用一些已经成熟的解决方案帮助我们实现这一功能,而在 Grapefruit.VuCore ...

  9. 【ASP.NET Core快速入门】(十一)应用Jwtbearer Authentication、生成jwt token

    准备工作 用VSCode新建webapi项目JwtAuthSample,并打开所在文件夹项目 dotnet new webapi --name JwtAuthSample 编辑JwtAuthSampl ...

随机推荐

  1. pycharm替换文件中所有相同字段方法

    1.打开要修改的文件 2.ctrl r调出替换功能,如图所示: 3.上面红框是需要更改的部分,下面红框是想要更改为部分,编辑后,点击“replace all”即可

  2. C#中一行代码实现18位数字时间戳转换为DateTime

    场景 存取的时间戳数据为: 636728674347302002 怎样将其转换为DateTime时间. 目前大多数的策略是,转换成string,然后 DateTime dateTimeStart = ...

  3. warning: Unexpected unnamed function (func-names)

    warning: Unexpected unnamed function (func-names) 看到这个提示基本是就是说你的函数不能是匿名函数,最好可以起一个名字,然后你增加一个函数名称就好了 R ...

  4. vue打包后刷新页面报错:Unexpected token <

    前言 今天遇到了一个很怪的问题,在vue-cli+webpack的项目中,刷新特定页面后页面会变空白,报错为index.html文件中Unexpected token <. 怪点一是开发环境没有 ...

  5. (转)Unity与3ds Max的单位关系(使用FBX文件)

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/a1780531/article/deta ...

  6. BeautyWe.js 一套专注于微信小程序的开发范式

    摘要: 小程序框架... 作者:JerryC 原文:BeautyWe.js 一套专注于微信小程序的开发范式 Fundebug经授权转载,版权归原作者所有. 官网:beautywejs.com Repo ...

  7. ERP WIP 部分API应用 详解

    工单创建 (create work order) PROCEDURE new_work_order(p_wip_entity_id NUMBER, p_organization_id NUMBER, ...

  8. 强大的 strace 工具

    什么是 strace strace是Linux环境下的一款程序调试工具,用来监察一个应用程序所使用的系统调用. Strace是一个简单的跟踪系统调用执行的工具.在其最简单的形式中,它可以从开始到结束跟 ...

  9. Axel多线程工具安装

    Axel 是 Linux 下一个不错的轻量级高速下载工具,支持HTTP/FTP/HTTPS/FTPS协议,支持多线程下载.断点续传,且可以从多个地址或者从一个地址的多个连接来下载同一个文件. 大家使用 ...

  10. flask POOL,websocket握手

    一.POOL Pool就是为了多线程访问数据库,减少数据库压力 回顾pymysql import pymysql #建立连接 mysql_conn = pymysql.connect(host=&qu ...