shiro-redis-jwt整合
playboy5566 -
<!--shiro-redis整合-->
<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis-spring-boot-starter</artifactId>
<version>3.2.1</version>
</dependency>
<!-- hutool工具类-->
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.3.3</version>
</dependency>
<!-- jwt -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
@Configuration
public class ShiroConfig {
@Autowired
JwtFilter jwtFilter;
/**
* session域管理
* @param redisSessionDAO
* @return
*/
@Bean
public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
// inject redisSessionDAO
sessionManager.setSessionDAO(redisSessionDAO);
return sessionManager;
}
/**
* 重写shiro的安全管理容器,
* @param accountRealm
* @param sessionManager
* @param redisCacheManager
* @return
*/
@Bean
public SessionsSecurityManager securityManager(AccountRealm accountRealm, SessionManager sessionManager, RedisCacheManager redisCacheManager) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(accountRealm);
//inject sessionManager
securityManager.setSessionManager(sessionManager);
// inject redisCacheManager
securityManager.setCacheManager(redisCacheManager);
return securityManager;
}
/**
* 定义过滤器
* @return
*/
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition(){
// 申请一个默认的过滤器链
DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
Map<String,String> filterMap = new LinkedHashMap<>();
//添加一个jwt过滤器到过滤器链中
filterMap.put("/**","jwt");
chainDefinition.addPathDefinitions(filterMap);
return chainDefinition;
}
/**
* 过滤器工厂业务
* @param securityManager shiro中的安全管理
* @param shiroFilterChainDefinition
* @return
*/
@Bean("shiroFilterFactoryBean")
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,
ShiroFilterChainDefinition shiroFilterChainDefinition){
/*shiro过滤器bean对象*/
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
shiroFilter.setSecurityManager(securityManager);
// 需要添加的过滤规则
Map<String,Filter> filters = new HashMap<>();
filters.put("jwt",jwtFilter);
shiroFilter.setFilters(filters);
Map<String,String> filterMap = shiroFilterChainDefinition.getFilterChainMap();
shiroFilter.setFilterChainDefinitionMap(filterMap);
return shiroFilter;
}
}AccountRealm shiiro进行登陆或者权限校验的逻辑。
需要重写三个方法。
supports:为了使realm支持jwt的凭证校验doGetAuthorizationInfo:权限校验doGetAuthenticationInfo:登陆认证校验
@Slf4j
@Component
public class AccountRealm extends AuthorizingRealm{
@Autowired
JwtUtils jwtUtils;
@Autowired
UserService userService;
/**
* 判断是否为jwt的token
* @param token
* @return
*/
@Override
public boolean supports(AuthenticationToken token) {
return token instanceof JwtToken;
}
/**
* 权限验证
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 登陆认证
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
// 将传入的AuthenticationToken强转JwtToken
JwtToken jwtToken = (JwtToken) authenticationToken;
// 获取jwtToken中的userId
String userId = jwtUtils.getClaimByToken((String) jwtToken.getPrincipal()).getSubject();
// 根据jwtToken中的userId查询数据库
User user = userService.getById(Long.valueOf(userId));
if(user == null){
throw new UnknownAccountException("账户不存在!");
}
if(user.getStatus() == -1){
throw new LockedAccountException("账户已被锁定!");
}
// 将可以显示的信息放在该载体中,对于密码这种隐秘信息不需要放在该载体中
AccountProfile accountProfile = new AccountProfile();
BeanUtils.copyProperties(user,accountProfile);
log.info("jwt------------->{}",jwtToken);
// 将token中用户的基本信息返回给shiro
return new SimpleAuthenticationInfo(accountProfile,jwtToken.getCredentials(),getName());
}
}主要配置doGetAuthenticationInfo登陆认证这个方法,通过jwt凭证获取用户信息,判断用户的状态,最后异常就抛出相应的异常信息。
4.编写JwtTokenshiro默认supports支持的是UsernamePasswordToken,而我们采用jwt的方式,故需要定义一个JwtToken来重写该token。
public class JwtToken implements AuthenticationToken{
private String token;
public JwtToken(String token){
this.token = token;
}
@Override
public Object getPrincipal() {
return token;
}
@Override
public Object getCredentials() {
return token;
}
}有些jwt相关的密钥信息是从项目的配置文件中获取的。
@Component
@ConfigurationProperties(prefix = "mt.vuemtblog.jwt")
public class JwtUtils {
private String secret;
private long expire;
private String header;
/**
* 生成jwt token
* @param userId
* @return
*/
public static String generateToken(long userId){
return null;
}
/**
* 获取jwt的信息
* @param token
* @return
*/
public static Claims getClaimByToken(String token){
return null;
}
/**
* 验证token是否过期
* @param expiration
* @return true 过期
*/
public static boolean isTokenExpired(Date expiration){
return expiration.before(new Date());
}
}@Data
public class AccountProfile implements Serializable {
private Long id;
private String username;
private String avatar;
}shiro-redis:
enabled: true
redis-manger:
host:127.0.0.1:6379
mt:
vuemtblog:
jwt:
#加密密钥
secret:f4e2e52034348f86b67cde581c0f9eb5
# token 有效时长 7天 单位秒
expire:604800
# 设定token在header中的键值
header:authorization在resources目录下新建META-INF,然后新建spring-devtools.properties,这样热重启就不会报错。
restart.include.shiro-redis=/shiro-[\\w-\\.]+jar这里我们继承的是Shiro内置的AuthenticatingFilter,一个可以内置了可以自动登录方法的的过滤器,有些同学继承BasicHttpAuthenticationFilter也是可以的。
我们需要重写几个方法:
createToken:实现登录,我们需要生成我们自定义支持的JwtTokenonAccessDenied:拦截校验,当头部没有Authorization时候,我们直接通过,不需要自动登录;当带有的时候,首先我们校验jwt的有效性,没问题我们就直接执行executeLogin方法实现自动登录onLoginFailure:登录异常时候进入的方法,我们直接把异常信息封装然后抛出preHandle:拦截器的前置拦截,因为我们是前后端分析项目,项目中除了需要跨域全局配置之外,我们再拦截器中也需要提供跨域支持。这样,拦截器才不会在进入Controller之前就被限制了。
@Component
public class JwtFilter extends AuthenticatingFilter{
@Autowired
JwtUtils jwtUtils;
/**
* 实现登陆,生成自定义的JwtToken
* @param servletRequest
* @param servletResponse
* @return
* @throws Exception
*/
@Override
protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
HttpServletRequest request = (HttpServletRequest)servletRequest;
String jwt = request.getHeader("Authorization");
if(StringUtils.isEmpty(jwt)){
return null;
}
return new JwtToken(jwt);
}
/**
* 拦截校验
* @description 当头部没有Authorization,直接通过,不需要自动登陆。
* 当带有Authorization时,需要先校验jwt的时效性,没问题直接执行executeLogin实现自动登陆,将token委托给shiro。
* @param servletRequest
* @param servletResponse
* @return
* @throws Exception
*/
@Override
protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
HttpServletRequest request = (HttpServletRequest) servletRequest;
// 获取用户请求头中的token
String token = request.getHeader("Authorization");
if (StringUtils.isEmpty(token)) {// 没有token
return true;
} else {
// 校验jwt
Claims claim = jwtUtils.getClaimByToken(token);
// tonken为空或者时间过期
if (claim == null || jwtUtils.isTokenExpired((claim.getExpiration()))) {
throw new ExpiredCredentialsException("token以失效,请重新登陆!");
}
}
// 执行自动登陆
return executeLogin(servletRequest, servletResponse);
}
/**
* 执行登录出现异常
* @param token
* @param e
* @param request
* @param response
* @return
*/
@Override
protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
HttpServletResponse httpServletResponse = (HttpServletResponse)response;
// 1. 判断是否因异常登陆失败
Throwable throwable = e.getCause() == null ? e : e.getCause();
// 2.获取登陆异常信息以自定义的Resut响应格式返回json数据
Result result = Result.error(throwable.getMessage());
String json = JSONUtil.toJsonStr(result);// hutool的一个json工具
// 3.打印响应
try{
httpServletResponse.getWriter().print(json);
}catch (IOException ioException){
}
return false;
}
}前后端分离,我们需要配置异常处理机制,返回一个友好简单格式给前端。
处理方式:
通过@ControllerAdvice来进行统一异常处理通过@ExceptionHandler(value=RuntimeException.class)指定要捕获的Exception的各个类型,这个异常处理是全局的,所有的类似异常都会捕获。
/**
* 全局异常处理
*/
@Slf4j
@RestControllerAdvice
public class GlobalExcepitonHandler {
// 捕捉shiro的异常
@ResponseStatus(HttpStatus.UNAUTHORIZED)
@ExceptionHandler(ShiroException.class)
public Result handle401(ShiroException e) {
return Result.fail(401, e.getMessage(), null);
}
/**
* 处理Assert的异常
*/
@ResponseStatus(HttpStatus.BAD_REQUEST)
@ExceptionHandler(value = IllegalArgumentException.class)
public Result handler(IllegalArgumentException e) throws IOException {
log.error("Assert异常:-------------->{}",e.getMessage());
return Result.fail(e.getMessage());
}
/**
* @Validated 校验错误异常处理
*/
@ResponseStatus(HttpStatus.BAD_REQUEST)
@ExceptionHandler(value = MethodArgumentNotValidException.class)
public Result handler(MethodArgumentNotValidException e) throws IOException {
log.error("运行时异常:-------------->",e);
// 截取所有必要的错误信息;只显示错误原因,不会显示其他cause BY....
BindingResult bindingResult = e.getBindingResult();
ObjectError objectError = bindingResult.getAllErrors().stream().findFirst().get();
return Result.fail(objectError.getDefaultMessage());
}
/*
* 运行时异常
*/
@ResponseStatus(HttpStatus.BAD_REQUEST)
@ExceptionHandler(value = RuntimeException.class)
public Result handler(RuntimeException e) throws IOException {
log.error("运行时异常:-------------->",e);
return Result.fail(e.getMessage());
}
}上面我们捕捉了几个异常:
ShiroException:shiro抛出的异常,比如没有权限,用户登录异常IllegalArgumentException:处理Assert的异常MethodArgumentNotValidException:处理实体校验的异常RuntimeException:捕捉其他异常1. springboot中实体校验使用springboot框架,就自动集成了Hibernate validatior。
第一步:实体属性上添加校验规则
@TableName("m_user")
public class User implements Serializable {
private static final long serialVersionUID = 1L;
@TableId(value = "id", type = IdType.AUTO)
private Long id;
@NotBlank(message = "昵称不能为空")
private String username;
private String avatar;
@NotBlank(message = "邮箱不能为空")
@Email(message = "邮箱格式不正确")
private String email;
}第二步:测试实体校验
采用@Validated注解,实体中有不符合校验规则的,会抛出异常,在异常处理中的MethodArgumentNotValidException中捕获。
@PostMapping("/save")
public Object save(@Validated @RequestBody User user) {
return user.toString();
}在后台进行全局跨域处理
/**
* 解决跨域问题
* project: vue-mt-blog
* created by Maotao on 2020/6/30
*/
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").
allowedOrigins("*").
allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS").
allowCredentials(true).
maxAge(3600).
allowedHeaders("*");
}
}
全局跨域处理
/**
* 解决跨域问题
* project: vue-mt-blog
* created by Maotao on 2020/6/30
*/
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").
allowedOrigins("*").
allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS").
allowCredentials(true).
maxAge(3600).
allowedHeaders("*");
}
}
特别申明:本文内容来源网络,版权归原作者所有,如有侵权请立即与我们联系(cy198701067573@163.com),我们将及时处理。
Tags 标签
javanode.jspythonspringspringboot扩展阅读
你也许还不懂静态方法和实例方法
2020-09-03 11:39:33 []从每秒6000写请求谈起
2020-09-11 11:06:20 []提高招采和供应链效率,制造型企业应该这么做!
2020-09-13 22:13:33 []从用户输入手机验证码开始
2020-09-13 20:16:19 []Base64编码的前世今生
2020-10-13 20:09:26 []redis的两种持久化的机制,你真的了解么?
2020-10-14 22:10:19 []贝壳找房诚邀java/php研发工程师
2020-10-21 01:45:18 []电竞网站APP源码开发示例 英雄联盟【赛事数据】代码演示
2020-10-23 02:51:27 []Java详细学习路线及路线图(2020最新版) | Java工程师成神之路 | Java最全学习路线
2020-11-11 06:51:58 []抓包工具Charles使用详解
2020-11-15 17:42:51 []加个好友,技术交流
