jwt和shiro的区别
时间: 2023-11-05 16:24:10 浏览: 46
JWT(JSON Web Token)和Shiro都是用于身份验证和授权的工具,但是它们之间有一些区别。
JWT是一种开放的标准,可以在不同的系统中共享和使用,它使用JSON格式来传输信息,包括身份验证和授权信息。JWT通常被用于跨域认证,例如,当用户从一个系统登录后,可以使用JWT在另一个系统中进行身份验证。同时,JWT也可以用于无状态的身份验证,即服务器不需要保存会话状态就可以验证用户身份。
而Shiro是一个Java安全框架,提供了身份验证、授权、加密和会话管理等功能。Shiro支持多种身份验证方式,包括基于表单的身份验证、基于双因素认证的身份验证等。Shiro也支持多种授权策略,包括基于角色的授权、基于权限的授权等。
总的来说,JWT更适合用于跨域身份验证和无状态身份验证,而Shiro则更适合用于Java应用程序的身份验证和授权。
相关问题
jwt和shiro的流程
两者都是用户认证和授权的框架,但具体流程略有不同。JWT令牌通常用于前后端分离的应用中,它在用户登录成功后颁发一个JWT令牌,包含用户信息和过期时间,前端存储在localStorage或cookie中,后续请求时在请求头上带上这个JWT令牌,后端通过解析令牌验证用户是否授权,从而判断是否允许访问对应API。
而Shiro是一个基于RBAC(基于角色的访问控制)的安全框架,它提供了认证、授权、加密、会话管理等功能,Shiro的认证流程一般包括用户向Shiro提供用户名和密码,Shiro通过Realm获取用户数据进行比对,最终返回一个Subject对象表示用户身份和权限信息,前端在后续请求时带上Subject信息,在Shiro过滤器中进行拦截和权限判断。
springboot整和jwt、shiro、redis
Spring Boot可以集成JWT、Shiro和Redis来实现身份认证和授权,以下是一个基本的实现步骤:
1. 集成JWT
添加依赖
```
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
```
创建JWT工具类
```
public class JwtUtils {
private static final String SECRET_KEY = "jwt_secret_key";
private static final long EXPIRATION_TIME = 864_000_000; // 10天
public static String generateToken(String subject) {
return Jwts.builder()
.setSubject(subject)
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
.signWith(SignatureAlgorithm.HS512, SECRET_KEY)
.compact();
}
public static String getSubject(String token) {
try {
return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
} catch (JwtException e) {
return null;
}
}
}
```
使用JWT进行身份认证
```
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) {
// 验证用户名密码
if (userValid(loginRequest.getUsername(), loginRequest.getPassword())) {
String token = JwtUtils.generateToken(loginRequest.getUsername());
return ResponseEntity.ok(new JwtResponse(token));
} else {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
}
@GetMapping("/user")
public ResponseEntity<?> getUser(@RequestHeader("Authorization") String authHeader) {
String token = authHeader.substring(7);
String subject = JwtUtils.getSubject(token);
if (subject != null) {
User user = getUserByUsername(subject);
return ResponseEntity.ok(user);
} else {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
}
}
```
2. 集成Shiro
添加依赖
```
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.7.1</version>
</dependency>
```
配置Shiro
```
@Configuration
public class ShiroConfig {
@Bean
public Realm realm() {
return new UserRealm();
}
@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(realm());
return securityManager;
}
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager());
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/api/login", "anon");
filterChainDefinitionMap.put("/api/logout", "logout");
filterChainDefinitionMap.put("/api/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
chainDefinition.addPathDefinition("/api/login", "anon");
chainDefinition.addPathDefinition("/api/logout", "logout");
chainDefinition.addPathDefinition("/api/**", "authc");
return chainDefinition;
}
}
```
创建UserRealm
```
public class UserRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
Set<String> roles = getUserRoles(username);
Set<String> permissions = getUserPermissions(username);
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setRoles(roles);
authorizationInfo.setStringPermissions(permissions);
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String) token.getPrincipal();
String password = getPasswordByUsername(username);
if (password == null) {
throw new UnknownAccountException();
}
return new SimpleAuthenticationInfo(username, password, getName());
}
}
```
使用Shiro进行身份认证
```
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) {
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(loginRequest.getUsername(), loginRequest.getPassword());
try {
subject.login(token);
String jwtToken = JwtUtils.generateToken(loginRequest.getUsername());
return ResponseEntity.ok(new JwtResponse(jwtToken));
} catch (AuthenticationException e) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
}
@GetMapping("/user")
public ResponseEntity<?> getUser() {
Subject subject = SecurityUtils.getSubject();
if (subject.isAuthenticated()) {
String username = (String) subject.getPrincipal();
User user = getUserByUsername(username);
return ResponseEntity.ok(user);
} else {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
}
@PostMapping("/logout")
public ResponseEntity<?> logout() {
Subject subject = SecurityUtils.getSubject();
subject.logout();
return ResponseEntity.ok().build();
}
}
```
3. 集成Redis
添加依赖
```
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
```
配置Redis
```
@Configuration
public class RedisConfig {
@Bean
public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) {
RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
redisTemplate.setConnectionFactory(factory);
redisTemplate.setKeySerializer(new StringRedisSerializer());
redisTemplate.setValueSerializer(new Jackson2JsonRedisSerializer<>(Object.class));
return redisTemplate;
}
@Bean
public CacheManager cacheManager(RedisConnectionFactory factory) {
RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig()
.entryTtl(Duration.ofHours(1));
return RedisCacheManager.builder(factory)
.cacheDefaults(config)
.build();
}
}
```
实现Redis缓存
```
@Service
public class UserServiceImpl implements UserService {
private final UserRepository userRepository;
private final RedisTemplate<String, User> redisTemplate;
private final CacheManager cacheManager;
public UserServiceImpl(UserRepository userRepository, RedisTemplate<String, User> redisTemplate, CacheManager cacheManager) {
this.userRepository = userRepository;
this.redisTemplate = redisTemplate;
this.cacheManager = cacheManager;
}
@Override
public User getUserById(Long id) {
String key = "user:" + id;
ValueOperations<String, User> ops = redisTemplate.opsForValue();
if (redisTemplate.hasKey(key)) {
return ops.get(key);
} else {
User user = userRepository.findById(id).orElse(null);
if (user != null) {
ops.set(key, user);
Cache cache = cacheManager.getCache("userCache");
if (cache != null) {
cache.put(key, user);
}
}
return user;
}
}
@Override
public void updateUser(User user) {
userRepository.save(user);
String key = "user:" + user.getId();
redisTemplate.delete(key);
Cache cache = cacheManager.getCache("userCache");
if (cache != null) {
cache.evict(key);
}
}
}
```
以上是整合Spring Boot、JWT、Shiro和Redis的基本实现步骤,具体实现可以根据自己的需求进行调整和扩展。
相关推荐
最新推荐
Shiro + JWT + SpringBoot应用示例代码详解
主要介绍了Shiro (Shiro + JWT + SpringBoot应用),本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
基于JWT实现SSO单点登录流程图解
主要介绍了基于JWT实现SSO单点登录流程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java中基于Shiro,JWT实现微信小程序登录完整例子及实现过程
主要介绍了Java中基于Shiro,JWT实现微信小程序登录完整例子 ,实现了小程序的自定义登陆,将自定义登陆态token返回给小程序作为登陆凭证。需要的朋友可以参考下
zigbee-cluster-library-specification
最新的zigbee-cluster-library-specification说明文档。
管理建模和仿真的文件
管理Boualem Benatallah引用此版本:布阿利姆·贝纳塔拉。管理建模和仿真。约瑟夫-傅立叶大学-格勒诺布尔第一大学,1996年。法语。NNT:电话:00345357HAL ID:电话:00345357https://theses.hal.science/tel-003453572008年12月9日提交HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire
实现实时数据湖架构:Kafka与Hive集成
# 1. 实时数据湖架构概述**
实时数据湖是一种现代数据管理架构,它允许企业以低延迟的方式收集、存储和处理大量数据。与传统数据仓库不同,实时数据湖不依赖于预先定义的模式,而是采用灵活的架构,可以处理各种数据类型和格式。这种架构为企业提供了以下优势:
- **实时洞察:**实时数据湖允许企业访问最新的数据,从而做出更明智的决策。
- **数据民主化:**实时数据湖使各种利益相关者都可
spring添加xml配置文件
1. 创建一个新的Spring配置文件,例如"applicationContext.xml"。
2. 在文件头部添加XML命名空间和schema定义,如下所示:
```
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
JSBSim Reference Manual
JSBSim参考手册,其中包含JSBSim简介,JSBSim配置文件xml的编写语法,编程手册以及一些应用实例等。其中有部分内容还没有写完,估计有生之年很难看到完整版了,但是内容还是很有参考价值的。
"互动学习:行动中的多样性与论文攻读经历"
多样性她- 事实上SCI NCES你的时间表ECOLEDO C Tora SC和NCESPOUR l’Ingén学习互动,互动学习以行动为中心的强化学习学会互动,互动学习,以行动为中心的强化学习计算机科学博士论文于2021年9月28日在Villeneuve d'Asq公开支持马修·瑟林评审团主席法布里斯·勒菲弗尔阿维尼翁大学教授论文指导奥利维尔·皮耶昆谷歌研究教授:智囊团论文联合主任菲利普·普雷教授,大学。里尔/CRISTAL/因里亚报告员奥利维耶·西格德索邦大学报告员卢多维奇·德诺耶教授,Facebook /索邦大学审查员越南圣迈IMT Atlantic高级讲师邀请弗洛里安·斯特鲁布博士,Deepmind对于那些及时看到自己错误的人...3谢谢你首先,我要感谢我的两位博士生导师Olivier和Philippe。奥利维尔,"站在巨人的肩膀上"这句话对你来说完全有意义了。从科学上讲,你知道在这篇论文的(许多)错误中,你是我可以依
实现实时监控告警系统:Kafka与Grafana整合
# 1.1 Kafka集群架构
Kafka集群由多个称为代理的服务器组成,这