当前位置：首页 > news >正文

整合Shiro+Jwt

news 文章来源：https://blog.csdn.net/qq_57747969/article/details/133017259 2024/11/3 0:35:29

整合Shiro+Jwt大体思路

springboot整合shiro大体上的思路：

1.自定义一个类Realm extends AuthorizingRealm{}

主要是对token授权和认证

重写2个方法

doGetAuthorizationInfo  //授权

doGetAuthenticationInfo  //认证
认证 代码中手动加上对token校验的判断

2.自定义一个@Configuration类ShiroConfig

ShiroConfig类主要做3个事情

将自定义的Realm注册bean

将realm对象与securityManager对象关联

securityManager.setRealm(realm);

将securityManager对象与ShiroFilterFactoryBean对象关联

shiroFilterFactoryBean.setSecurityManager(getDefaultWebSecurityManager);

3.整合jwt

先定义公共类JwtUtils

其中定义三个方法作用分别为token生成 token校验 token是否过期

在realm类的认证doGetAuthenticationInfo方法中调用JwtUtils解析token和登录用户是否满足条件

满足则返回AuthenticationInfo对象对象中包含profile token name

(只需要定义个profile就好了 profile就是登录的用户信息可以再定义一个用户实体类把用户信息放入实体类中那这个对象类就是profile)

边学边整理思路详细的得边敲边看代码

Shiro整合JWT的两种方式

1.通过URL进行权限控制：

配置方式： 在Shiro的配置文件（通常是shiro.ini或shiro-config.xml）中配置URL路径与权限的映射关系。这个配置指定了哪些URL需要哪些权限。

<!-- shiro.ini或shiro-config.xml配置示例 -->
<property name="filterChainDefinitions"><!-- URL路径与权限的映射关系 -->/admin/** = roles[admin], perms["user:delete"]/user/** = authc
</property>

代码示例： 在Java代码中，只需配置Shiro的FilterChainDefinitionMap，将URL路径和权限映射起来。

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/admin/**", "roles[admin]");
filterChainDefinitionMap.put("/user/**", "authc");

特点：

静态配置：权限规则在配置文件中静态定义，不易动态改变。
适用于简单的权限需求，不需要频繁修改权限规则。

2.通过注解进行权限控制：

配置方式： 在需要进行权限控制的Controller类或方法上使用Shiro提供的注解，如@RequiresRoles和@RequiresPermissions。

@Controller
@RequestMapping("/admin")
public class AdminController {@RequiresRoles("admin")@GetMapping("/view")public String adminView() {// 处理业务逻辑return "admin/view";}
}

特点：

动态控制：权限规则可以根据方法的注解动态变化，不需要重新配置。
精细控制：可以根据方法级别的注解进行更精细的权限控制。

3.配置文件和注解的关系：

在项目中，通常会将基本的URL路径与权限的映射关系配置在配置文件中，这些是项目的基础权限。然后，通过注解在Controller中进行更精细的权限控制，例如，限制某个Controller的某个方法需要特定的角色或权限。

<!-- shiro.ini或shiro-config.xml配置示例 -->
<property name="filterChainDefinitions"><!-- URL路径与基本权限的映射关系 -->/admin/** = roles[admin], perms["user:delete"]/user/** = authc
</property>

@Controller
@RequestMapping("/admin")
public class AdminController {@RequiresRoles("admin")@GetMapping("/view")public String adminView() {// 处理业务逻辑return "admin/view";}
}

这种组合方式可以实现项目中灵活的权限控制，基本权限由配置文件定义，而特殊权限由注解在代码中控制，使得权限管理更加清晰和可维护。

通过这种组合方式，您可以在项目中实现动态和精细的权限管理，同时保持基本权限的静态配置，以适应不同的权限需求。

对比说明

1. 通过URL进行权限控制：

首先，配置Shiro的过滤器和URL拦截规则，然后在控制器中添加注解。

Shiro配置文件 (shiro.ini 或 shiro-config.xml):

<!-- 配置JWTFilter，用于处理JWT的生成、解析和验证 -->
<bean id="jwtFilter" class="com.example.JWTFilter"></bean><!-- 配置Shiro过滤器链 -->
<filter-mappings><filter-name>jwtFilter</filter-name><url-pattern>/api/**</url-pattern>
</filter-mappings>

控制器 (AdminController.java):

@Controller
@RequestMapping("/admin")
public class AdminController {// 需要admin:view权限才能访问@GetMapping("/view")public String view() {return "admin/view";}// 其他业务方法
}

2. 通过注解进行权限控制：

在控制器方法上添加Shiro的注解来声明需要的角色或权限。