java shiro jwt_Springboot实现Shiro整合JWT的示例代码
写在前面
之前想尝试把JWT和Shiro结合到一起,但是在网上查了些博客,也没太有看懂,所以就自己重新研究了一下Shiro的工作机制,然后自己想了个(傻逼)办法把JWT和Shiro整合到一起了
另外接下来还会涉及到JWT相关的内容,我之前写过一篇博客,可以看这里:Springboot实现JWT认证
Shiro的Session机制
由于我的方法是改变了Shiro的默认的Session机制,所以这里先简单讲一下Shiro的机制,简单了解Shiro是怎么确定每次访问的是哪个用户的
Servlet的Session机制
Shiro在JavaWeb中使用到的就是默认的Servlet的Session机制,大致流程如下:
1.用户首次发请求
2.服务器接收到请求之后,无论你有没有权限访问到资源,在返回响应的时候,服务器都会生成一个Session用来储存该用户的信息,然后生成SessionId作为对应的Key
3.服务器会在响应中,用jsessionId这个名字,把这个SessionId以Cookie的方式发给客户(就是Set-Cookie响应头)
4.由于已经设置了Cookie,下次访问的时候,服务器会自动识别到这个SessionId然后找到你上次对应的Session
Shiro带来的变化
而结合Shiro之后,上面的第二步和第三步会发生小变化:
2.—>服务器不但会创建Session,还会创建一个Subject对象(就是Shiro中用来代表当前用户的类),也用这个SessionId作为Key绑定
3.—>第二次接受到请求的时候,Shiro会从请求头中找到SessionId,然后去寻找对应的Subject然后绑定到当前上下文,这时候Shiro就能知道来访的是谁了
我的思路
由于这个是我自己想出来的,所以可能会存在一定的问题,还请大佬指点
主要思想是:用JWT Token来代替Shiro原本返回的Session
工作流程:
用户登录
若成功则shiro会默认生成一个SessionId用来匹配当前Subject对象,则我们将这个SessionId放入JWT中
返回JWT
用户第二次携带JWT来访问接口
服务器解析JWT,获得SessionId
服务器把SessionId交给Shiro执行相关认证
代码实现
导入JWT相关包
导入java-jwt包:
这个包里实现了一系列jwt操作的api(包括上面讲到的怎么校验,怎么生成jwt等等)
如果你是Maven玩家:
pom.xml里写入
com.auth0
java-jwt
3.8.3
如果你是Gradle玩家:
build.gradle里写入
compile group: 'com.auth0', name: 'java-jwt', version: '3.8.3'
如果你是其他玩家:
maven中央仓库地址点这里
JWT工具类
JwtUtils,代码如下:
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.io.Serializable;
import java.util.Calendar;
import java.util.Date;
/**
* @author Lehr
* @create: 2020-02-04
*/
public class JwtUtils {
/**
签发对象:这个用户的id
签发时间:现在
有效时间:30分钟
载荷内容:暂时设计为:这个人的名字,这个人的昵称
加密密钥:这个人的id加上一串字符串
*/
public static String createToken(String userId,String realName, String userName) {
Calendar nowTime = Calendar.getInstance();
nowTime.add(Calendar.MINUTE,30);
Date expiresDate = nowTime.getTime();
return JWT.create().withAudience(userId) //签发对象
.withIssuedAt(new Date()) //发行时间
.withExpiresAt(expiresDate) //有效时间
.withClaim("userName", userName) //载荷,随便写几个都可以
.withClaim("realName", realName)
.sign(Algorithm.HMAC256(userId+"HelloLehr")); //加密
}
/**
* 检验合法性,其中secret参数就应该传入的是用户的id
* @param token
* @throws TokenUnavailable
*/
public static void verifyToken(String token, String secret) throws TokenUnavailable {
DecodedJWT jwt = null;
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret+"HelloLehr")).build();
jwt = verifier.verify(token);
} catch (Exception e) {
//效验失败
//这里抛出的异常是我自定义的一个异常,你也可以写成别的
throw new TokenUnavailable();
}
}
/**
* 获取签发对象
*/
public static String getAudience(String token) throws TokenUnavailable {
String audience = null;
try {
audience = JWT.decode(token).getAudience().get(0);
} catch (JWTDecodeException j) {
//这里是token解析失败
throw new TokenUnavailable();
}
return audience;
}
/**
* 通过载荷名字获取载荷的值
*/
public static Claim getClaimByName(String token, String name){
return JWT.decode(token).getClaim(name);
}
}
一点小说明:
关于jwt生成时的加密和验证方法:
jwt的验证其实就是验证jwt最后那一部分(签名部分)。这里在指定签名的加密方式的时候,还传入了一个字符串来加密,所以验证的时候不但需要知道加密算法,还需要获得这个字符串才能成功解密,提高了安全性。我这里用的是id来,比较简单,如果你想更安全一点,可以把用户密码作为这个加密字符串,这样就算是这段业务代码泄露了,也不会引发太大的安全问题(毕竟我的id是谁都知道的,这样令牌就可以被伪造,但是如果换成密码,只要数据库没事那就没人知道)
关于获得载荷的方法:
可能有人会觉得奇怪,为什么不需要解密不需要verify就能够获取到载荷里的内容呢?原因是,本来载荷就只是用Base64处理了,就没有加密性,所以能直接获取到它的值,但是至于可不可以相信这个值的真实性,就是要看能不能通过验证了,因为最后的签名部分是和前面头部和载荷的内容有关联的,所以一旦签名验证过了,那就说明前面的载荷是没有被改过的。
Controller层
登录逻辑
/**
* 用户登录
* @param userName
* @param password
* @param req
* @return
* @throws Exception
*/
@SneakyThrows
@PostMapping(value = "/login")
public AccountVO login(String userName, String password, HttpServletRequest req){
//尝试登录
Subject subject = SecurityUtils.getSubject();
try {
subject.login(new UsernamePasswordToken(userName, password));
} catch (Exception e) {
throw new LoginFailed();
}
AccountVO account = accountService.getAccountByUserName(userName);
String id = account.getId();
//生成jwtToken
String jwtToken = JwtUtils.createToken(id, account.getRealName(),account.getUserName(), subject.getSession().getId().toString());
//设置好token,后来会在全局处理的时候放入响应里
req.setAttribute("token", jwtToken);
return account;
}
主要是:在登录成功之后把这个Subject的SessionId放入JWT然后生成token:
String jwtToken = JwtUtils.createToken(id,account.getRealName(),account.getUserName(),subject.getSession().getId().toString());
以后我们就可以通过解析JWT来获取SessionId了,而不是每次把SessionId作为Cookie返回
退出逻辑
首先,由于JWT令牌本身就会失效,所以如果JWT令牌失效,也就相当与退出了
然后我们还可以同样实现Shiro中传统的手动登出:
public String logout(HttpServletRequest req) {
SecurityUtils.getSubject().logout();
return "用戶已经安全登出";
}
这样的话Realm中的用户状态就变成未认证了,就算JWT没过期也需要重新登录了
自定义SessionManager
先上代码:
package com.imlehr.internship.shiroJwt;
import com.imlehr.internship.exception.TokenUnavailable;
import lombok.SneakyThrows;
import org.apache.shiro.session.mgt.SessionKey;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.Serializable;
import java.util.UUID;
/**
* @author Lehr
* @create: 2020-02-10
*/
public class CustomSessionManager extends DefaultWebSessionManager {
//这里我为了省事用了lombok的标签
@SneakyThrows
@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
String token = WebUtils.toHttp(request).getHeader("token");
System.out.println("会话管理器得到的token是:" + token);
if (token == null || token.length()<1) {
return UUID.randomUUID().toString();
}
//在这里验证一下jwt了,虽然我知道这样不好
String userId = JwtUtils.getAudience(token);
JwtUtils.verifyToken(token, userId);
String sessionId = JwtUtils.getClaimByName(token, "sessionId").asString();
if (sessionId == null) {
return new TokenUnavailable();
}
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "header");
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
return sessionId;
}
}
之前的Session的获取,就是在DefaultWebSessionManager里实现的,所以我们现在只需要重写这个类,把我们如何获取Session的逻辑写进去就好了
这里说两个方法:
getSessionId(SessionKey key)
这个方法是在DefaultWebSessionManager的,这里并没有重写,我们上面重写的是后面第二个同名方法,只是想在这里谈谈,读者可以直接跳过这段也不影响
源码逻辑
在Shiro想要获取SessionId的时候,首先会调用的就是这个方法,而不是那个传入httpRequest的方法
在DefaultWebSessionManager中,他是这样做的
@Override
public Serializable getSessionId(SessionKey key) {
Serializable id = super.getSessionId(key);
if (id == null && WebUtils.isWeb(key)) {
ServletRequest request = WebUtils.getRequest(key);
ServletResponse response = WebUtils.getResponse(key);
//调用第二个同名方法
id = getSessionId(request, response);
}
return id;
}
如果没能找到id,就调用第二个同名方法
如果有,就返回
这里需要注意的是,这个方法会在整个验证过程中多次被反复调用,而在服务器接受到用户请求的时候,只会调用一次的方法是下面这个,也就是我们重写的这个
getSessionId(ServletRequest request, ServletResponse response)
这个才是真正涉及到服务器接受到请求的时候获取Session逻辑,从用户的请求报文中获取SessionId
所以我们要重写的就是这一步
原版中的逻辑是:从Cookie里找到sessionId的值
我们只需要把逻辑该为:从Header中找出JWT(也就是从请求头的'token'头中找),然后解析JWT,获取到我们存放在其中的SessionId属性即可
ShiroConfiguration
我们只需要把自己写的SessionManager配置进去就好了
首先配好:
public DefaultWebSessionManager sessionManager()
{
CustomSessionManager customSessionManager = new CustomSessionManager();
return customSessionManager;
}
然后放入SecurityManager
public SecurityManager securityManager(MyRealm myRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myRealm);
return securityManager;
}
完成
java shiro jwt_Springboot实现Shiro整合JWT的示例代码相关推荐
- Java Singleton类中的线程安全性的示例代码
Java Singleton类中的线程安全性的示例代码 Singleton是最广泛使用的创建设计模式之一,用于限制应用程序创建对象.在实际应用程序中,数据库连接或企业信息系统(EIS)等资源是有限的, ...
- 纯java pdf转换成html,JAVA实现PDF转HTML文档的示例代码
本文是基于PDF文档转PNG图片,然后进行图片拼接,拼接后的图片转为base64字符串,然后拼接html文档写入html文件实现PDF文档转HTML文档. 引入Maven依赖 org.apache.p ...
- java 静态数据_Java 静态数据初始化的示例代码
无论创建多少个对象,静态数据都只占用一份存储区域.static关键字不能应用于局部变量,因此它只能作用于域.如果一个域是静态的基本类型域,且也没有对它进行初始化,那么它就会获得基本类型的标准初始值:如 ...
- java通过单号判断快递公司的示例代码
通过单号判断快递公司的示例代码有很多种,以下是快递100Java智能单号判断功能接入. 不过首先要拿到快递100的测试账号和密钥,获取方式只需要去官网注册后,登录后台进入用户信息模块就能看到了. ht ...
- java 抛异常给上级_java异常处理机制(示例代码)
Exception 类的层次 java中所有的异常类是从 java.lang.Exception 类继承的子类. 而Exception 类是 Throwable (可抛出的)类的子类.除了Except ...
- java继承类大全_Java 面向对象继承部分(示例代码)
被继承的类称为父类(超类),继承父类的类称为子类(派生类) 通过继承可以实现代码重用 子类拥有父类非 private 的属性.方法. 子类可以拥有自己的属性和方法,即子类可以对父类进行扩展. 子类可以 ...
- java的数值类型举例_Java基本类型(示例代码)
全新的世界,Hello World 大部分的编程语言都是以"Hello World"开始,它是一个敲门砖,当你用它砸开那道编程大门后,一个全新的世界会展现在你的面前.当踏入一步后, ...
- java人名识别_HanLP中人名识别分析(示例代码)
HanLP中人名识别分析 在看源码之前,先看几遍论文<基于角色标注的中国人名自动识别研究> 关于命名识别的一些问题,可参考下列一些issue: HanLP参考博客: 分词 分词:给定一个字 ...
- RabbitMq(九) SpringBoot整合RabbitMQ消费者示例代码
概述 在上一篇我们介绍了SpringBoot整合RabbitMQ生产者代码,本章我们介绍SpringBoot整合RabbitMQ,实现消费者工程的代码实现.与生产者集成相比,集成消费者不需要进行添加配 ...
最新文章
- 金九银十铁12,看完弄懂,工资少说加 5K
- java语言修饰符$_Java语言中的修饰符
- malloc和free实现的原理
- 在python3.x下使用如下代码: import cPickle as pk 报错
- Blazor带我重玩前端(五)
- 设计模式原则之里氏替换原则
- conda虚拟环境中使用pip仍然安装到全局python中
- Python生成exe可执行文件的两种方法(py2exe和pyinstaller)
- 28. magento使用细节
- 32bit64bit Win7系统下的IE8离线升级到IE11方法
- linux设计引物探针,如何设计荧光定量PCR的引物及TaqMan探针
- with rollup函数做合计以及行转列
- 财会法规与职业道德【10】
- 服务器装32位还是64位系统,操作系统:32位和64位系统有何区别?
- Java 模拟鼠标、键盘--向可编辑窗口录入内容
- w10控制面板卸载java_手把手教你解决Win10控制面板无法卸载软件的问题
- 2019年培养工作室主力计划——第1次任务
- 一个老码农对职场的思考
- 计算机编程在哪里学,高中毕业想学计算机编程,不知道从哪开始学起。
- ZooKeeper篇:2PC、3PC以及ZAB协议
热门文章
- 如何使用pandas正确读取带有中文的cvs文件
- Anaconda创建跟别人环境配置一样的虚拟环境(coda env creat -f environment.yml)
- 从零开始学Pytorch(八)之Modern CNN
- 从零开始学keras之使用预训练的卷积神经网络
- 计算机文件自动备份到移动硬盘,如何让电脑文件自动备份到指定的邮箱里?或者备份到指定的磁盘里...
- 大华的支持rtmp推流吗_RTSP安防摄像机(海康大华宇视等)如何推送到RTMP流媒体服务器进行直播...
- python制作物联网控制软件下载_Python+树莓派制作IoT(物联网)门控设备
- 正在播放 html全集视频教程,正在播放:HTML基础视频教程(全集)-网络编程视频-星火视频教程 21edu8.com...
- docker修改php.ini,docker部署更改php的upload_max_filesize
- 4广联达4代锁安装6.0_Aspen Plus 8.4 软件安装教程