本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token)

如果对 shiro 如何整合 springBoot 还不了解的可以先去看我的上一篇文章 《教你 Shiro 整合 SpringBoot,避开各种坑》

附上源码:https://github.com/HowieYuan/shiro

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。

一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

在本项目中,我们规定每次请求时,需要在请求头中带上 token ,通过 token 检验权限,如没有,则说明当前为游客状态(或者是登陆 login 接口等)

JWTUtil

我们利用 JWT 的工具类来生成我们的 token,这个工具类主要有生成 token 和 校验 token 两个方法

生成 token 时,指定 token 过期时间 EXPIRE_TIME 和签名密钥 SECRET,然后将 date 和 username 写入 token 中,并使用带有密钥的 HS256 签名算法进行签名

Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

Algorithm algorithm = Algorithm.HMAC256(SECRET);

JWT.create()

   .withClaim("username", username)

   //到期时间

   .withExpiresAt(date)

   //创建一个新的JWT,并使用给定的算法进行标记

   .sign(algorithm);

数据库表



role: 角色;permission: 权限;ban: 封号状态

每个用户有对应的角色(user,admin),权限(normal,vip),而 user 角色默认权限为 normal, admin 角色默认权限为 vip(当然,user 也可以是 vip)

过滤器

在上一篇文章中,我们使用的是 shiro 默认的权限拦截 Filter,而因为 JWT 的整合,我们需要自定义自己的过滤器 JWTFilter,JWTFilter 继承了 BasicHttpAuthenticationFilter,并部分原方法进行了重写

该过滤器主要有三步:

  1. 检验请求头是否带有 token ((HttpServletRequest) request).getHeader("Token") != null
  2. 如果带有 token,执行 shiro 的 login() 方法,将 token 提交到 Realm 中进行检验;如果没有 token,说明当前状态为游客状态(或者其他一些不需要进行认证的接口)
    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws UnauthorizedException {

        //判断请求的请求头是否带上 "Token"

        if (((HttpServletRequest) request).getHeader("Token") != null) {

            //如果存在,则进入 executeLogin 方法执行登入,检查 token 是否正确

            try {

                executeLogin(request, response);

                return true;

            } catch (Exception e) {

                //token 错误

                responseError(response, e.getMessage());

            }

        }

        //如果请求头不存在 Token,则可能是执行登陆操作或者是游客状态访问,无需检查 token,直接返回 true

        return true;

    }

    @Override

    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        String token = httpServletRequest.getHeader("Token");

        JWTToken jwtToken = new JWTToken(token);

        // 提交给realm进行登入,如果错误他会抛出异常并被捕获

        getSubject(request, response).login(jwtToken);

        // 如果没有抛出异常则代表登入成功,返回true

        return true;

    }
  1. 如果在 token 校验的过程中出现错误,如 token 校验失败,那么我会将该请求视为认证不通过,则重定向到 /unauthorized/**

另外,我将跨域支持放到了该过滤器来处理

Realm 类

依然是我们的自定义 Realm ,对这一块还不了解的可以先看我的上一篇 shiro 的文章

  • 身份认证
if (username == null || !JWTUtil.verify(token, username)) {

    throw new AuthenticationException("token认证失败!");

}

String password = userMapper.getPassword(username);

if (password == null) {

    throw new AuthenticationException("该用户不存在!");

}

int ban = userMapper.checkUserBanStatus(username);

if (ban == 1) {

    throw new AuthenticationException("该用户已被封号!");

}

拿到传来的 token ,检查 token 是否有效,用户是否存在,以及用户的封号情况

  • 权限认证
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

//获得该用户角色

String role = userMapper.getRole(username);

//每个角色拥有默认的权限

String rolePermission = userMapper.getRolePermission(username);

//每个用户可以设置新的权限

String permission = userMapper.getPermission(username);

Set<String> roleSet = new HashSet<>();

Set<String> permissionSet = new HashSet<>();

//需要将 role, permission 封装到 Set 作为 info.setRoles(), info.setStringPermissions() 的参数

roleSet.add(role);

permissionSet.add(rolePermission);

permissionSet.add(permission);

//设置该用户拥有的角色和权限

info.setRoles(roleSet);

info.setStringPermissions(permissionSet);

利用 token 中获得的 username,分别从数据库查到该用户所拥有的角色,权限,存入 SimpleAuthorizationInfo 中

ShiroConfig 配置类

设置好我们自定义的 filter,并使所有请求通过我们的过滤器,除了我们用于处理未认证请求的 /unauthorized/**

@Bean

public ShiroFilterFactoryBean factory(SecurityManager securityManager) {

    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

    // 添加自己的过滤器并且取名为jwt

    Map<String, Filter> filterMap = new HashMap<>();

    //设置我们自定义的JWT过滤器

    filterMap.put("jwt", new JWTFilter());

    factoryBean.setFilters(filterMap);

    factoryBean.setSecurityManager(securityManager);

    Map<String, String> filterRuleMap = new HashMap<>();

    // 所有请求通过我们自己的JWT Filter

    filterRuleMap.put("/**", "jwt");

    // 访问 /unauthorized/** 不通过JWTFilter

    filterRuleMap.put("/unauthorized/**", "anon");

    factoryBean.setFilterChainDefinitionMap(filterRuleMap);

    return factoryBean;

}

权限控制注解 @RequiresRoles, @RequiresPermissions

这两个注解为我们主要的权限控制注解, 如

// 拥有 admin 角色可以访问

@RequiresRoles("admin")


// 拥有 user 或 admin 角色可以访问

@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})


// 拥有 vip 和 normal 权限可以访问

@RequiresPermissions(logical = Logical.AND, value = {"vip", "normal"})


// 拥有 user 或 admin 角色,且拥有 vip 权限可以访问

@GetMapping("/getVipMessage")

@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})

@RequiresPermissions("vip")

public ResultMap getVipMessage() {

    return resultMap.success().code(200).message("成功获得 vip 信息!");

}

当我们写的接口拥有以上的注解时,如果请求没有带有 token 或者带了 token 但权限认证不通过,则会报 UnauthenticatedException 异常,但是我在 ExceptionController 类对这些异常进行了集中处理

@ExceptionHandler(ShiroException.class)

public ResultMap handle401() {

    return resultMap.fail().code(401).message("您没有权限访问!");

}

这时,出现 shiro 相关的异常时则会返回

{

    "result": "fail",

    "code": 401,

    "message": "您没有权限访问!"

}

除了以上两种,还有 @RequiresAuthentication ,@RequiresUser 等注解

功能实现

用户角色分为三类,管理员 admin,普通用户 user,游客 guest;admin 默认权限为 vip,user 默认权限为 normal,当 user 升级为 vip 权限时可以访问 vip 权限的页面。

具体实现可以看源代码(开头已经给出地址)

登陆

登陆接口不带有 token,当登陆密码,用户名验证正确后返回 token。

@PostMapping("/login")

public ResultMap login(@RequestParam("username") String username,

                       @RequestParam("password") String password) {

    String realPassword = userMapper.getPassword(username);

    if (realPassword == null) {

        return resultMap.fail().code(401).message("用户名错误");

    } else if (!realPassword.equals(password)) {

        return resultMap.fail().code(401).message("密码错误");

    } else {

        return resultMap.success().code(200).message(JWTUtil.createToken(username));

    }

}


{

    "result": "success",

    "code": 200,

    "message": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1MjUxODQyMzUsInVzZXJuYW1lIjoiaG93aWUifQ.fG5Qs739Hxy_JjTdSIx_iiwaBD43aKFQMchx9fjaCRo"

}

异常处理

    // 捕捉shiro的异常

    @ExceptionHandler(ShiroException.class)

    public ResultMap handle401() {

        return resultMap.fail().code(401).message("您没有权限访问!");

    }

    // 捕捉其他所有异常

    @ExceptionHandler(Exception.class)

    public ResultMap globalException(HttpServletRequest request, Throwable ex) {

        return resultMap.fail()

                .code(getStatus(request).value())

                .message("访问出错,无法访问: " + ex.getMessage());

    }

权限控制

  • UserController(user 或 admin 可以访问)

    在接口上带上 @RequiresRoles(logical = Logical.OR, value = {"user", "admin"})

    • vip 权限

      再加上@RequiresPermissions("vip")

  • AdminController(admin 可以访问)

    在接口上带上 @RequiresRoles("admin")

  • GuestController(所有人可以访问)

    不做权限处理

测试结果











教你 Shiro + SpringBoot 整合 JWT的更多相关文章

  1. SpringBoot整合JWT实现登录认证

    什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点 ...

  2. SpringBoot整合JWT

    JWT (整合SpringBoot) 1. 引入依赖 <!-- 引入JWT --> <dependency> <groupId>com.auth0</grou ...

  3. SpringBoot整合JWT实战详解

    jwt 介绍就不多说了,下面通过代码演示开发过程中jwt 的使用. (1)在pom.xml中引入对应的jar <dependency> <groupId>io.jsonwebt ...

  4. 玩转 SpringBoot 2 之整合 JWT 下篇

    前言 在<玩转 SpringBoot 2 之整合 JWT 上篇> 中介绍了关于 JWT 相关概念和JWT 基本使用的操作方式.本文为 SpringBoot 整合 JWT 的下篇,通过解决 ...

  5. SpringBoot集成JWT实现权限认证

    目录 一.JWT认证流程 二.SpringBoot整合JWT 三.测试 上一篇文章<一分钟带你了解JWT认证!>介绍了JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现 ...

  6. 教你 Shiro 整合 SpringBoot,避开各种坑

    教你 Shiro 整合 SpringBoot,避开各种坑-----https://www.cnblogs.com/HowieYuan/p/9259638.html

  7. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

  8. SpringBoot 整合Shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

  9. SpringBoot 整合 Shiro 密码登录与邮件验证码登录(多 Realm 认证)

    导入依赖(pom.xml)  <!--整合Shiro安全框架--> <dependency> <groupId>org.apache.shiro</group ...

随机推荐

  1. unity中 拖拽随意的对象

    孙广东   2015.8.16 目的 :  我们能简单的通过 鼠标位置 得到目标对象  假设没有使用刚体组件 Step - 1: 在3D项目中设置场景.  一个空对象命名为: DragAndDrop ...

  2. poj 2351 Farm Tour (最小费用最大流)

    Farm Tour Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 17230   Accepted: 6647 Descri ...

  3. C Tricks(十六)—— 复制字符串

    while (*s++ = *t++); // target ⇒ source // 对于 C 语言而言,赋值运算符返回左值

  4. SVN 报错 sqlite[S11]: database disk image is malformed

    svn 提示数据库损坏 SVN 报错 sqlite[S11]: database disk image is malformed 解决办法:网上说的打开wc.db删除lock表 不管用.我发现这样可以 ...

  5. 【java基础】(2)Java父类与子类的 内存引用讲解

    从对象的内存角度来理解试试.假设现在有一个父类Father,它里面的变量需要占用1M内存.有一个它的子类Son,它里面的变量需要占用0.5M内存.现在通过代码来看看内存的分配情况:Father f = ...

  6. ES6 arrow function

    语法: () => { … } // 零个参数用 () 表示: x => { … } // 一个参数可以省略 (): (x, y) => { … } // 多参数不能省略 (): 当 ...

  7. Android Studio 将module打成jar包

    1.新建测试工程,工程里面有两个module,app是Android工程,mylibrary是Android Library库. 2.打开mylibrary目录下的build.gradle文件,加入下 ...

  8. Android BroadcastReceiver 发送有序广播

    普通广播(Normal Broadcast): 一,优缺点:和有序广播的优缺点相反! 二,发送广播的方法:sendBroadcast() 有序广播(Ordered Broadcast): 一,优缺点 ...

  9. 彻底去除Google AdMob广告

    应用中包含广告是能够理解的,但经常造成用户误点,或者广告切换时造成下载流量,就有点让人不舒服了. 以下就以Google AdMob广告为例,看怎样彻底去除他. 先分析一下Google AdMob的工作 ...

  10. jquery相关常用的工具函数

    1.弹出提示框: function prompt(msg){ $("<div>" + msg + "</div>").css({ &qu ...