JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

我们利用一定的编码生成 Token，并在 Token 中加入一些非敏感信息，将其传递。

一个完整的 Token ：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

在本项目中，我们规定每次请求时，需要在请求头中带上 token ，通过 token 检验权限，如没有，则说明当前为游客状态(或者是登陆 login 接口等)

JWTUtil

我们利用 JWT 的工具类来生成我们的 token，这个工具类主要有生成 token 和 校验 token 两个方法

生成 token 时，指定 token 过期时间 EXPIRE_TIME 和签名密钥 SECRET，然后将 date 和 username 写入 token 中，并使用带有密钥的 HS256 签名算法进行签名

数据库表

role: 角色；permission: 权限；ban: 封号状态

每个用户有对应的角色(user，admin)，权限(normal，vip)，而 user 角色默认权限为 normal， admin 角色默认权限为 vip(当然，user 也可以是 vip)

过滤器

我们需要自定义自己的过滤器 JWTFilter，JWTFilter 继承了 BasicHttpAuthenticationFilter，并部分原方法进行了重写

该过滤器主要有三步：

1. 检验请求头是否带有 token ((HttpServletRequest) request).getHeader("Token") != null
2. 如果带有 token，执行 shiro 的 login() 方法，将 token 提交到 Realm 中进行检验；如果没有 token，说明当前状态为游客状态(或者其他一些不需要进行认证的接口)

1. 如果在 token 校验的过程中出现错误，如 token 校验失败，那么我会将该请求视为认证不通过，则重定向到 /unauthorized/**

另外，我将跨域支持放到了该过滤器来处理

Realm 类

• 身份认证

拿到传来的 token ，检查 token 是否有效，用户是否存在，以及用户的封号情况

• 权限认证

利用 token 中获得的 username，分别从数据库查到该用户所拥有的角色，权限，存入 SimpleAuthorizationInfo 中

ShiroConfig 配置类

设置好我们自定义的 filter，并使所有请求通过我们的过滤器，除了我们用于处理未认证请求的 /unauthorized/**

权限控制注解 @RequiresRoles， @RequiresPermissions

这两个注解为我们主要的权限控制注解, 如

当我们写的接口拥有以上的注解时，如果请求没有带有 token 或者带了 token 但权限认证不通过，则会报 UnauthenticatedException 异常，但是我在 ExceptionController 类对这些异常进行了集中处理

这时，出现 shiro 相关的异常时则会返回

功能实现

用户角色分为三类，管理员 admin，普通用户 user，游客 guest；admin 默认权限为 vip，user 默认权限为 normal，当 user 升级为 vip 权限时可以访问 vip 权限的页面。

具体实现可以看源代码。末尾附上

登陆

登陆接口不带有 token，当登陆密码，用户名验证正确后返回 token。

异常处理

权限控制

• UserController(user 或 admin 可以访问)
• 在接口上带上 @RequiresRoles(logical = Logical.OR, value = {"user