Spring Boot和Shiro教程-JWT和无状态认证

发布时间: 2024-01-09 04:36:21 阅读量: 54 订阅数: 36
ZIP

基于SpringBoot+Vue+Shiro+JWT+Redis+Mybatis-Plus的Java人事管理系统设计源码

# 1. 引言 ## 1.1 什么是Spring Boot Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它采用约定大于配置的理念,能够帮助开发者快速搭建基于Spring的项目,简化配置,并且内嵌了常用的服务器,如Tomcat、Jetty等,使得应用程序可以独立运行。 ## 1.2 什么是Shiro Shiro是一个强大且易用的Java安全框架,提供了身份认证、授权、加密、会话管理等功能。Shiro的设计目标是使其易于理解和使用,同时也是一个非常灵活的框架,可以很容易地集成到任何基于Java的应用中。 ## 1.3 JWT和无状态认证的作用和优势 JWT是一种基于JSON的开放标准(RFC 7519),用于在各方之间安全地传输信息。它可以通过数字签名进行验证,因此是一种安全可靠的身份认证方式。无状态认证是指服务端不保存用户状态信息,每次请求都包含了所有的信息,这样可以减少服务器的存储压力,适合分布式系统和微服务架构。 接下来我们将深入了解Spring Boot、Shiro以及无状态认证和JWT的相关内容。 # 2. Spring Boot和Shiro基础知识 在开始深入讨论Spring Boot与Shiro的集成之前,让我们先了解一些相关的基础知识。 ### 2.1 Spring Boot概述 Spring Boot是一个用于简化Spring应用开发的框架。它集成了大量常用的第三方库,提供了一种快速而简单的方式来构建独立的、生产级别的Spring应用。Spring Boot通过自动配置和优化的默认值,大大减少了开发者的配置工作量,同时提供了内嵌的HTTP服务器(如Tomcat、Jetty等),使得应用的部署和运行变得更加方便。 ### 2.2 Shiro概述 Shiro是一个功能强大且易于使用的Java安全框架。它提供了身份验证、授权、加密和会话管理等安全特性,可以方便地集成到任何Java应用中。Shiro的设计理念是简单和直观的,同时也非常灵活,可以根据具体需求进行定制和扩展。 ### 2.3 Spring Boot和Shiro结合的原理 Spring Boot和Shiro的结合非常简单。首先,我们需要在Spring Boot项目的依赖中添加Shiro的相关库。然后,在配置文件中设置相关的Shiro配置,包括身份验证、授权等。最后,我们可以使用Shiro提供的注解和API来保护我们的应用资源,实现安全的访问控制。 Spring Boot和Shiro的结合,可以帮助我们快速搭建安全可靠的应用,提供灵活的身份验证和授权机制。接下来,我们将重点讨论JWT认证和无状态认证的实现,并结合Spring Boot和Shiro进行实践。 # 3. JWT认证原理和使用 #### 3.1 什么是JWT JWT(JSON Web Token)是一种用于身份验证和授权的开放标准,它使用JSON格式在用户和服务器之间安全地传输声明。JWT由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部包含算法和令牌类型等信息,负载包含要传输的声明信息,签名用于验证Token的真实性。 #### 3.2 JWT的组成和流程 JWT的流程如下: 1. 用户通过身份验证(例如用户名和密码)向服务器请求访问资源。 2. 服务器验证身份,并生成一个JWT。 3. 服务器将JWT返回给用户。 4. 用户在每次请求时,将JWT放入HTTP请求头部的Authorization字段中进行发送。 5. 服务器在接收到请求时,解析JWT并验证签名、有效期等信息。 6. 服务器根据JWT中的声明信息进行授权操作,决定用户是否有权限访问资源。 #### 3.3 使用JWT进行认证和授权 在Spring Boot中使用JWT进行认证和授权可以通过以下步骤实现: 1. 用户身份验证成功后,使用JWT生成Token,并将Token返回给客户端。 2. 客户端在每次请求时,将Token放入HTTP请求头部的Authorization字段中。 3. 服务器在接收到请求时,解析JWT并验证签名和有效期。 4. 服务器根据JWT中的声明信息判断用户是否有权限访问资源。 示例代码如下(使用Java语言): ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "your_secret_key"; private static final long EXPIRATION_TIME = 1000 * 60 * 60 * 24; // 24 hours public static String generateToken(String username) { Date now = new Date(); Date expiration = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static Claims parseToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 上述代码中,`generateToken`方法用于生成Token,`parseToken`方法用于解析Token并获取其中的声明信息,`validateToken`方法用于验证Token的真实性。 需要注意的是,为了保证安全性,应该将密钥进行妥善保管,避免泄露。 通过上述代码,我们可以在Spring Boot应用中使用JWT进行认证和授权,实现无状态的用户身份验证。 # 4. Spring Boot集成Shiro 在前面的章节中,我们已经介绍了Spring Boot和Shiro的基础知识以及JWT的认证原理和使用方法。本章节将详细讲解如何在Spring Boot项目中集成Shiro,并使用JWT实现认证和授权功能。 #### 4.1 添加Shiro依赖 首先,在Spring Boot项目的`pom.xml`文件中添加Shiro的依赖。可以根据需要选择不同的版本。 ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` #### 4.2 Shiro配置文件的设置 接下来,我们需要在Spring Boot项目中创建一个`ShiroConfig`类,用于配置Shiro的相关信息。 首先,我们需要配置Shiro的安全管理器`SecurityManager`,在`ShiroConfig`类中添加如下配置: ```java @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置Realm securityManager.setRealm(userRealm()); // 设置RememberMe管理器 securityManager.setRememberMeManager(rememberMeManager()); return securityManager; } @Bean public UserRealm userRealm() { return new UserRealm(); } @Bean public RememberMeManager rememberMeManager() { // 配置rememberMe Cookie SimpleCookie cookie = new SimpleCookie("rememberMe"); cookie.setHttpOnly(true); cookie.setMaxAge(7 * 24 * 60 * 60); // 7天 // 配置RememberMeManager CookieRememberMeManager rememberMeManager = new CookieRememberMeManager(); rememberMeManager.setCookie(cookie); return rememberMeManager; } } ``` 在上述配置中,我们使用`DefaultWebSecurityManager`作为安全管理器,并且设置了一个自定义的Realm和RememberMe配置。 #### 4.3 自定义Shiro过滤器 接下来,我们需要自定义Shiro的过滤器,用于处理认证和授权请求。 首先,在Spring Boot项目中创建一个`JwtFilter`类,继承`BasicHttpAuthenticationFilter`,用于处理JWT的认证过程。 ```java public class JwtFilter extends BasicHttpAuthenticationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { // 判断请求是否包含JWT Token if (isJwtToken(request)) { try { // 执行JWT的认证过程 executeJwtAuthentication(request, response); return true; } catch (AuthenticationException e) { // 认证失败,返回错误信息 response401(response, e.getMessage()); return false; } } // 没有JWT Token,继续执行其他过滤器 return true; } private void executeJwtAuthentication(ServletRequest request, ServletResponse response) throws AuthenticationException { // 获取请求中的JWT Token String token = getJwtToken(request); // 构造JWT令牌 JwtToken jwtToken = new JwtToken(token); // 委托给Realm进行认证和授权 getSubject(request, response).login(jwtToken); } private boolean isJwtToken(ServletRequest request) { // 判断请求头是否存在Authorization字段,且以"Bearer "开头 String authHeader = getAuthzHeader(request); return authHeader != null && authHeader.startsWith("Bearer "); } private String getAuthzHeader(ServletRequest request) { HttpServletRequest httpRequest = WebUtils.toHttp(request); return httpRequest.getHeader("Authorization"); } private String getJwtToken(ServletRequest request) { String authHeader = getAuthzHeader(request); return authHeader.substring("Bearer ".length()); } private void response401(ServletResponse response, String message) { HttpServletResponse httpResponse = WebUtils.toHttp(response); httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED); try { httpResponse.getWriter().write(message); } catch (IOException e) { e.printStackTrace(); } } } ``` 然后,在`ShiroConfig`类中添加如下配置来注册自定义的过滤器: ```java @Configuration public class ShiroConfig { // ... @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean(); filterFactoryBean.setSecurityManager(securityManager); // 设置未认证的请求跳转到登录页面 filterFactoryBean.setLoginUrl("/login"); // 设置自定义的过滤器 Map<String, Filter> filters = new HashMap<>(); filters.put("jwt", new JwtFilter()); filterFactoryBean.setFilters(filters); // 设置URL过滤规则 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/**", "jwt"); filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return filterFactoryBean; } } ``` 在上述配置中,我们将未认证的请求跳转到登录页面,同时将所有请求都走自定义的JWT过滤器。 至此,我们已经完成了Spring Boot集成Shiro,并使用JWT实现认证和授权功能的配置。接下来,我们可以在控制器中使用Shiro的注解来限制访问权限。 需要注意的是,我们还需要在控制器中添加一个登录接口,用于接收用户的登录请求并生成JWT Token。这个部分的实现请参考前面章节中的代码。 在实际项目中,为了方便管理和维护,还可以根据具体需求对Shiro进行进一步的定制和配置。 ### 参考资料 - [Apache Shiro官方文档](https://shiro.apache.org/documentation.html) 本章节详细介绍了如何在Spring Boot项目中集成Shiro,并使用JWT实现认证和授权功能。我们通过添加Shiro的依赖、配置安全管理器和自定义过滤器的方式来完成集成和配置。在实际项目中,可以根据具体需求对Shiro进行进一步的定制和配置。在下一章节中,我们将介绍如何实现无状态认证,以及无状态认证的优缺点。 # 5. 实现无状态认证 ### 5.1 无状态认证的概念和原理 无状态认证是相对于有状态认证而言的,传统的认证方式通常需要在服务端存储用户的认证信息,比如Session、Token等。而无状态认证则是不依赖于服务端存储任何状态信息,而是将认证信息存储在客户端,每次请求时都携带认证信息进行验证。 无状态认证的原理是,服务端将用户的认证信息封装成一个特定格式的Token,经过加密后发送给客户端。客户端在之后的每一次请求中都会带上这个Token,服务端在接收到请求后解析Token,验证其有效性,从而完成认证。 ### 5.2 使用JWT实现无状态认证 JWT(JSON Web Token)是一种用于身份认证的标准,它可以实现无状态认证。JWT由三部分组成:头部(Header),负载(Payload),签名(Signature)。头部包含了签名算法等信息,负载包含了用户的相关信息,签名用于验证Token的完整性和真实性。 以下是使用Java和Spring Boot集成JWT实现无状态认证的示例代码: ```java // 导入相关依赖 import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; // 生成Token public String generateToken(User user) { Claims claims = Jwts.claims().setSubject(user.getUsername()); claims.put("userId", user.getId()); claims.put("role", user.getRole()); return Jwts.builder() .setClaims(claims) .signWith(SignatureAlgorithm.HS256, "secretKey") .compact(); } // 验证Token public boolean validateToken(String token) { try { Jwts.parser().setSigningKey("secretKey").parseClaimsJws(token); return true; } catch (Exception e) { return false; } } // 解析Token public User parseToken(String token) { Claims claims = Jwts.parser().setSigningKey("secretKey").parseClaimsJws(token).getBody(); User user = new User(); user.setUserId(claims.get("userId").toString()); user.setUsername(claims.getSubject()); user.setRole(claims.get("role").toString()); return user; } ``` ### 5.3 无状态认证的优缺点 无状态认证的优点是: - 服务端无需存储认证信息,减轻了服务器的压力; - 适用于分布式架构,用户认证信息可在多个服务器间共享。 无状态认证的缺点是: - Token的长度较长,每次请求都需要携带Token,可能会增加网络传输的开销; - Token一旦泄漏,可能会被非法使用,因此需要采取相应的安全措施保护Token的安全性。 总结:无状态认证通过在客户端存储认证信息,避免了服务端存储用户状态的问题,使得系统更加灵活和可扩展,但也需要注意保护Token的安全性。使用JWT实现无状态认证是一种较为常见和成熟的做法,能够满足大部分身份认证场景的需求。 # 6. 总结和扩展 在本文中,我们介绍了如何使用Spring Boot和Shiro来实现JWT无状态认证。通过本文的学习,我们可以得出以下几点结论和扩展: #### 6.1 本文总结 本文首先介绍了Spring Boot、Shiro和JWT的基本概念,然后详细讲解了如何将它们结合起来实现无状态认证。通过本文的学习,读者可以了解到无状态认证的优势,以及如何在实际项目中应用JWT和Shiro进行认证和授权。 #### 6.2 使用其他认证方式的可能性 除了JWT和Shiro,还有许多其他认证方式可以实现无状态认证,比如OAuth2、OpenID Connect等。在实际项目中,可以根据需求选择合适的认证方式,或者结合多种认证方式来满足项目需求。未来可能会有更多新的认证方式出现,开发者需要保持学习和更新自己的认证技术栈。 #### 6.3 对未来技术发展的展望 随着互联网和移动互联网的快速发展,用户对安全性和隐私保护的要求越来越高。未来,随着人工智能、区块链等新技术的发展,认证技术也将得到进一步的提升和改进。同时,随着数据泄露和网络攻击事件的频发,认证和授权技术必将成为互联网和信息安全领域的重要研究方向。 总的来说,我们需要不断学习和跟进最新的认证技术,同时也要关注安全领域的发展动态,以便及时应对和适应新的挑战。 通过本文对Spring Boot、Shiro和JWT的介绍,希望读者能对无状态认证有更深入的理解,并且能够在实际项目中灵活应用,提高系统的安全性和用户体验。 以上就是本文的总结和展望部分,希望能够对读者有所帮助。
corwn 最低0.47元/天 解锁专栏
买1年送3月
点击查看下一篇
profit 百万级 高质量VIP文章无限畅学
profit 千万级 优质资源任意下载
profit C知道 免费提问 ( 生成式Al产品 )

相关推荐

李_涛

知名公司架构师
拥有多年在大型科技公司的工作经验,曾在多个大厂担任技术主管和架构师一职。擅长设计和开发高效稳定的后端系统,熟练掌握多种后端开发语言和框架,包括Java、Python、Spring、Django等。精通关系型数据库和NoSQL数据库的设计和优化,能够有效地处理海量数据和复杂查询。
专栏简介
本专栏是一系列关于Spring Boot和Shiro整合的权限教程。通过学习这些教程,您将掌握从基础概念到环境搭建的整体流程,深入了解用户认证和权限控制的实现方式,以及使用JWT和无状态认证的技巧。我们还会介绍基于URL的权限控制、RememberMe功能的实现、Session管理和在分布式环境下的应用,以及多Realm的配置和使用。此外,我们还将探讨密码加密和解密、集成OAuth2实现第三方登录、集成CAS实现单点登录、集成数据库实现动态权限管理,以及集成Ehcache实现缓存管理和Logback实现日志管理的方法。通过这些教程的学习,您将拥有构建安全可靠的Spring Boot和Shiro应用的能力。
最低0.47元/天 解锁专栏
买1年送3月
百万级 高质量VIP文章无限畅学
千万级 优质资源任意下载
C知道 免费提问 ( 生成式Al产品 )

最新推荐

【EC20模块AT指令:深入解析与错误调试】

# 摘要 本文系统地介绍了EC20模块及其AT指令集的使用和应用。第一章提供了EC20模块和AT指令的基础知识概述,第二章深入探讨了AT指令的基本格式、分类及应用场景,以及模块扩展功能,为读者提供了全面的AT指令集基础。第三章关注实际应用,着重讲述AT指令在初始化配置、数据传输和故障排除中的实践应用。第四章讨论了在实际操作中可能遇到的错误调试和指令执行效率优化问题。最后,第五章展望了AT指令的高级应用和未来发展趋势,包括自动化、脚本化,以及固件升级和模块与指令集的标准化方向。通过本文,读者能够获得深入理解和运用EC20模块及其AT指令集的能力。 # 关键字 EC20模块;AT指令集;数据传输

Ublox-M8N GPS模块波特率调整:快速掌握调试技巧

![波特率](https://www.dsliu.com/uploads/allimg/20220527/1-22052G3535T40.png) # 摘要 本文对Ublox M8N GPS模块进行了深入介绍,重点探讨了波特率在GPS模块中的应用及其对数据传输速度的重要性。文章首先回顾了波特率的基础概念,并详细分析了其与标准及自定义配置之间的关系和适用场景。接着,本文提出了进行波特率调整前所需的硬件和软件准备工作,并提供了详细的理论基础与操作步骤。在调整完成后,本文还强调了验证新设置和进行性能测试的重要性,并分享了一些高级应用技巧和调试过程中的最佳实践。通过本文的研究,可以帮助技术人员更有效

【研华WebAccess项目实战攻略】:手把手教你打造专属HMI应用

![【研华WebAccess项目实战攻略】:手把手教你打造专属HMI应用](https://advantechfiles.blob.core.windows.net/wise-paas-marketplace/product-materials/service-architecture-imgs/063ece84-e4be-4786-812b-6d80d33b1e60/enus/WA.jpg) # 摘要 本文全面介绍了研华WebAccess平台的核心功能及其在不同行业的应用案例。首先概述了WebAccess的基础概念、系统安装与配置要点,以及界面设计基础。随后,文章深入探讨了WebAcces

智能化控制升级:汇川ES630P与PLC集成实战指南

![智能化控制升级:汇川ES630P与PLC集成实战指南](https://www.tecnoplc.com/wp-content/uploads/2017/05/Direcciones-IP-en-proyecto-TIA-Portal.-1280x508.png) # 摘要 本文详细介绍了汇川ES630P控制器的基本架构、PLC集成理论、集成前期准备、实践操作,以及智能化控制系统的高级应用。首先,对ES630P控制器进行概述,解释了其基础架构和技术特点。接着,深入探讨了PLC集成的理论基础,包括核心控制要素和集成时的技术要求与挑战。第三章着重讲述了集成前的准备工作,涵盖系统需求分析、硬件

BCH码案例大剖析:通信系统中的编码神器(应用分析)

![BCH码案例大剖析:通信系统中的编码神器(应用分析)](https://media.springernature.com/lw1200/springer-static/image/art%3A10.1007%2Fs42979-021-00994-x/MediaObjects/42979_2021_994_Fig10_HTML.png) # 摘要 BCH码作为一种强大的纠错编码技术,在确保通信系统和数据存储系统可靠性方面发挥着关键作用。本文全面介绍了BCH码的理论基础、结构特性以及纠错能力,并详细分析了编码与解码过程,包括硬件与软件实现方式。文章进一步探讨了BCH码在数字通信、数据存储和无

性能优化的秘密武器:系统参数与性能的深度关联解析

![性能优化的秘密武器:系统参数与性能的深度关联解析](https://media.geeksforgeeks.org/wp-content/uploads/20240110162115/What-is-Network-Latency-(1).jpg) # 摘要 本文系统地探讨了系统参数在现代计算机系统中的重要性,并着重分析了内存管理、CPU调度和I/O性能优化的策略与实践。从内存参数的基础知识到内存性能优化的具体案例,文章详细阐述了内存管理在提升系统性能方面的作用。接着,文章深入解析了CPU调度参数的基本理论,以及如何配置和调整这些参数来优化CPU性能。在I/O性能方面,本文讨论了磁盘I/

深度解析D-FT6236U技术规格:数据手册背后的秘密

![深度解析D-FT6236U技术规格:数据手册背后的秘密](https://img.ricardostatic.ch/t_1000x750/pl/1218961766/0/1/os-fs-61.jpg) # 摘要 本文全面介绍了D-FT6236U的技术规格、硬件架构、软件集成、实际应用案例以及优化升级策略。首先概述了D-FT6236U的技术规格,随后深入分析其硬件架构的组成、性能指标以及安全与稳定性特征。接着,文中探讨了D-FT6236U在软件环境下的支持、编程接口及高级应用定制化,强调了在不同应用场景中的集成方法和成功案例。文章最后讨论了D-FT6236U的优化与升级路径以及社区资源和支

【西门子LOGO!Soft Comfort V6.0项目管理艺术】:高效能的秘密武器!

![LOGO!Soft Comfort](https://www.muylinux.com/wp-content/uploads/2022/06/Atom-1024x576.jpg) # 摘要 LOGO!Soft Comfort V6.0作为一种先进的项目管理软件工具,为项目的策划、执行和监控提供了全面的解决方案。本文首先概述了LOGO!Soft Comfort V6.0的基本功能和界面,紧接着深入探讨了项目管理的基础理论和实践技巧,包括项目生命周期的各个阶段、项目规划和资源管理的策略,以及质量管理计划的制定和测试策略的应用。文章第三章专注于该软件在实际项目管理中的应用,分析了案例研究并探讨

深入剖析FPGA自复位机制:专家解读可靠性提升秘诀

![深入剖析FPGA自复位机制:专家解读可靠性提升秘诀](https://img-blog.csdnimg.cn/7e43036f2bca436d8762069f41229720.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAanVtcGluZ34=,size_20,color_FFFFFF,t_70,g_se,x_16) # 摘要 本文全面探讨了FPGA自复位机制的理论基础、设计实现以及高级应用。首先概述了自复位机制的基本概念,追溯了其历史发展和技术演进。随后,文章

【STM32电机控制案例】:手把手教你实现速度和方向精确控制

![【STM32电机控制案例】:手把手教你实现速度和方向精确控制](https://res.cloudinary.com/rsc/image/upload/b_rgb:FFFFFF,c_pad,dpr_2.625,f_auto,h_214,q_auto,w_380/c_pad,h_214,w_380/R9173762-01?pgw=1) # 摘要 本文以STM32微控制器为平台,详细探讨了电机控制的基础理论、实践操作以及精确控制策略。首先介绍了电机控制的基本概念,包括直流电机的工作原理、PWM调速技术以及电机驱动器的选择。随后,文章深入实践,阐述了STM32的配置方法、PWM信号生成和调节、