寫在前面

之前想嘗試把JWT和Shiro結(jié)合到一起，但是在網(wǎng)上查了些博客，也沒(méi)太有看懂，所以就自己重新研究了一下Shiro的工作機(jī)制，然后自己想了個(gè)（傻逼）辦法把JWT和Shiro整合到一起了

另外接下來(lái)還會(huì)涉及到JWT相關(guān)的內(nèi)容，我之前寫過(guò)一篇博客，可以看這里：Springboot實(shí)現(xiàn)JWT認(rèn)證

Shiro的Session機(jī)制

由于我的方法是改變了Shiro的默認(rèn)的Session機(jī)制，所以這里先簡(jiǎn)單講一下Shiro的機(jī)制，簡(jiǎn)單了解Shiro是怎么確定每次訪問(wèn)的是哪個(gè)用戶的

Servlet的Session機(jī)制

Shiro在JavaWeb中使用到的就是默認(rèn)的Servlet的Session機(jī)制，大致流程如下：

1.用戶首次發(fā)請(qǐng)求

2.服務(wù)器接收到請(qǐng)求之后，無(wú)論你有沒(méi)有權(quán)限訪問(wèn)到資源，在返回響應(yīng)的時(shí)候，服務(wù)器都會(huì)生成一個(gè)Session用來(lái)儲(chǔ)存該用戶的信息，然后生成SessionId作為對(duì)應(yīng)的Key

3.服務(wù)器會(huì)在響應(yīng)中，用jsessionId這個(gè)名字，把這個(gè)SessionId以Cookie的方式發(fā)給客戶（就是Set-Cookie響應(yīng)頭）

4.由于已經(jīng)設(shè)置了Cookie，下次訪問(wèn)的時(shí)候，服務(wù)器會(huì)自動(dòng)識(shí)別到這個(gè)SessionId然后找到你上次對(duì)應(yīng)的Session

Shiro帶來(lái)的變化

而結(jié)合Shiro之后，上面的第二步和第三步會(huì)發(fā)生小變化：

2.—>服務(wù)器不但會(huì)創(chuàng)建Session，還會(huì)創(chuàng)建一個(gè)Subject對(duì)象（就是Shiro中用來(lái)代表當(dāng)前用戶的類），也用這個(gè)SessionId作為Key綁定

3.—>第二次接受到請(qǐng)求的時(shí)候，Shiro會(huì)從請(qǐng)求頭中找到SessionId，然后去尋找對(duì)應(yīng)的Subject然后綁定到當(dāng)前上下文，這時(shí)候Shiro就能知道來(lái)訪的是誰(shuí)了

我的思路

由于這個(gè)是我自己想出來(lái)的，所以可能會(huì)存在一定的問(wèn)題，還請(qǐng)大佬指點(diǎn)

主要思想是：用JWT Token來(lái)代替Shiro原本返回的Session

工作流程：

用戶登錄 若成功則shiro會(huì)默認(rèn)生成一個(gè)SessionId用來(lái)匹配當(dāng)前Subject對(duì)象，則我們將這個(gè)SessionId放入JWT中 返回JWT 用戶第二次攜帶JWT來(lái)訪問(wèn)接口 服務(wù)器解析JWT，獲得SessionId 服務(wù)器把SessionId交給Shiro執(zhí)行相關(guān)認(rèn)證代碼實(shí)現(xiàn)導(dǎo)入JWT相關(guān)包

導(dǎo)入java-jwt包：

這個(gè)包里實(shí)現(xiàn)了一系列jwt操作的api（包括上面講到的怎么校驗(yàn)，怎么生成jwt等等）

如果你是Maven玩家：

pom.xml里寫入

<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --><dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.3</version></dependency>

如果你是Gradle玩家：

build.gradle里寫入

compile group: ’com.auth0’, name: ’java-jwt’, version: ’3.8.3’

如果你是其他玩家：

maven中央倉(cāng)庫(kù)地址點(diǎn)這里

JWT工具類

JwtUtils，代碼如下：

import com.auth0.jwt.JWT;import com.auth0.jwt.JWTVerifier;import com.auth0.jwt.algorithms.Algorithm;import com.auth0.jwt.exceptions.JWTDecodeException;import com.auth0.jwt.interfaces.Claim;import com.auth0.jwt.interfaces.DecodedJWT;import java.io.Serializable;import java.util.Calendar;import java.util.Date;/** * @author Lehr * @create: 2020-02-04 */public class JwtUtils { /** 簽發(fā)對(duì)象：這個(gè)用戶的id 簽發(fā)時(shí)間：現(xiàn)在 有效時(shí)間：30分鐘 載荷內(nèi)容：暫時(shí)設(shè)計(jì)為：這個(gè)人的名字，這個(gè)人的昵稱 加密密鑰：這個(gè)人的id加上一串字符串 */ public static String createToken(String userId,String realName, String userName) { Calendar nowTime = Calendar.getInstance(); nowTime.add(Calendar.MINUTE,30); Date expiresDate = nowTime.getTime(); return JWT.create().withAudience(userId) //簽發(fā)對(duì)象.withIssuedAt(new Date()) //發(fā)行時(shí)間.withExpiresAt(expiresDate) //有效時(shí)間.withClaim('userName', userName) //載荷，隨便寫幾個(gè)都可以.withClaim('realName', realName).sign(Algorithm.HMAC256(userId+'HelloLehr')); //加密 } /** * 檢驗(yàn)合法性，其中secret參數(shù)就應(yīng)該傳入的是用戶的id * @param token * @throws TokenUnavailable */ public static void verifyToken(String token, String secret) throws TokenUnavailable { DecodedJWT jwt = null; try { JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret+'HelloLehr')).build(); jwt = verifier.verify(token); } catch (Exception e) { //效驗(yàn)失敗 //這里拋出的異常是我自定義的一個(gè)異常，你也可以寫成別的 throw new TokenUnavailable(); } } /** * 獲取簽發(fā)對(duì)象 */ public static String getAudience(String token) throws TokenUnavailable { String audience = null; try { audience = JWT.decode(token).getAudience().get(0); } catch (JWTDecodeException j) { //這里是token解析失敗 throw new TokenUnavailable(); } return audience; } /** * 通過(guò)載荷名字獲取載荷的值 */ public static Claim getClaimByName(String token, String name){ return JWT.decode(token).getClaim(name); }}

一點(diǎn)小說(shuō)明：

關(guān)于jwt生成時(shí)的加密和驗(yàn)證方法：

jwt的驗(yàn)證其實(shí)就是驗(yàn)證jwt最后那一部分（簽名部分）。這里在指定簽名的加密方式的時(shí)候，還傳入了一個(gè)字符串來(lái)加密，所以驗(yàn)證的時(shí)候不但需要知道加密算法，還需要獲得這個(gè)字符串才能成功解密，提高了安全性。我這里用的是id來(lái)，比較簡(jiǎn)單，如果你想更安全一點(diǎn)，可以把用戶密碼作為這個(gè)加密字符串，這樣就算是這段業(yè)務(wù)代碼泄露了，也不會(huì)引發(fā)太大的安全問(wèn)題（畢竟我的id是誰(shuí)都知道的，這樣令牌就可以被偽造，但是如果換成密碼，只要數(shù)據(jù)庫(kù)沒(méi)事那就沒(méi)人知道）

關(guān)于獲得載荷的方法：

可能有人會(huì)覺(jué)得奇怪，為什么不需要解密不需要verify就能夠獲取到載荷里的內(nèi)容呢？原因是，本來(lái)載荷就只是用Base64處理了，就沒(méi)有加密性，所以能直接獲取到它的值，但是至于可不可以相信這個(gè)值的真實(shí)性，就是要看能不能通過(guò)驗(yàn)證了，因?yàn)樽詈蟮暮灻糠质呛颓懊骖^部和載荷的內(nèi)容有關(guān)聯(lián)的，所以一旦簽名驗(yàn)證過(guò)了，那就說(shuō)明前面的載荷是沒(méi)有被改過(guò)的。

Controller層

登錄邏輯

/** * 用戶登錄 * @param userName * @param password * @param req * @return * @throws Exception */ @SneakyThrows @PostMapping(value = '/login') public AccountVO login(String userName, String password, HttpServletRequest req){ //嘗試登錄 Subject subject = SecurityUtils.getSubject(); try { subject.login(new UsernamePasswordToken(userName, password)); } catch (Exception e) { throw new LoginFailed(); } AccountVO account = accountService.getAccountByUserName(userName); String id = account.getId(); //生成jwtToken String jwtToken = JwtUtils.createToken(id, account.getRealName(),account.getUserName(), subject.getSession().getId().toString()); //設(shè)置好token，后來(lái)會(huì)在全局處理的時(shí)候放入響應(yīng)里 req.setAttribute('token', jwtToken); return account; }

主要是：在登錄成功之后把這個(gè)Subject的SessionId放入JWT然后生成token：

String jwtToken = JwtUtils.createToken(id,account.getRealName(),account.getUserName(),subject.getSession().getId().toString());

以后我們就可以通過(guò)解析JWT來(lái)獲取SessionId了，而不是每次把SessionId作為Cookie返回

退出邏輯

首先，由于JWT令牌本身就會(huì)失效，所以如果JWT令牌失效，也就相當(dāng)與退出了

然后我們還可以同樣實(shí)現(xiàn)Shiro中傳統(tǒng)的手動(dòng)登出：

public String logout(HttpServletRequest req) { SecurityUtils.getSubject().logout(); return '用?粢丫?踩?淺?; }

這樣的話Realm中的用戶狀態(tài)就變成未認(rèn)證了，就算JWT沒(méi)過(guò)期也需要重新登錄了

自定義SessionManager

先上代碼：

package com.imlehr.internship.shiroJwt;import com.imlehr.internship.exception.TokenUnavailable;import lombok.SneakyThrows;import org.apache.shiro.session.mgt.SessionKey;import org.apache.shiro.web.servlet.ShiroHttpServletRequest;import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;import org.apache.shiro.web.util.WebUtils;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.Serializable;import java.util.UUID;/** * @author Lehr * @create: 2020-02-10 */public class CustomSessionManager extends DefaultWebSessionManager { //這里我為了省事用了lombok的標(biāo)簽 @SneakyThrows @Override protected Serializable getSessionId(ServletRequest request, ServletResponse response) { String token = WebUtils.toHttp(request).getHeader('token'); System.out.println('會(huì)話管理器得到的token是：' + token); if (token == null || token.length()<1) { return UUID.randomUUID().toString(); } //在這里驗(yàn)證一下jwt了，雖然我知道這樣不好 String userId = JwtUtils.getAudience(token); JwtUtils.verifyToken(token, userId); String sessionId = JwtUtils.getClaimByName(token, 'sessionId').asString(); if (sessionId == null) { return new TokenUnavailable(); }request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, 'header'); request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token); request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE); request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled()); return sessionId; }}

之前的Session的獲取，就是在DefaultWebSessionManager里實(shí)現(xiàn)的，所以我們現(xiàn)在只需要重寫這個(gè)類，把我們?nèi)绾潍@取Session的邏輯寫進(jìn)去就好了

這里說(shuō)兩個(gè)方法：

getSessionId(SessionKey key)

這個(gè)方法是在DefaultWebSessionManager的，這里并沒(méi)有重寫，我們上面重寫的是后面第二個(gè)同名方法，只是想在這里談?wù)劊x者可以直接跳過(guò)這段也不影響

源碼邏輯

在Shiro想要獲取SessionId的時(shí)候，首先會(huì)調(diào)用的就是這個(gè)方法，而不是那個(gè)傳入httpRequest的方法

在DefaultWebSessionManager中，他是這樣做的

@Overridepublic Serializable getSessionId(SessionKey key) { Serializable id = super.getSessionId(key); if (id == null && WebUtils.isWeb(key)) { ServletRequest request = WebUtils.getRequest(key); ServletResponse response = WebUtils.getResponse(key); //調(diào)用第二個(gè)同名方法 id = getSessionId(request, response); } return id;} 如果沒(méi)能找到id，就調(diào)用第二個(gè)同名方法 如果有，就返回

這里需要注意的是，這個(gè)方法會(huì)在整個(gè)驗(yàn)證過(guò)程中多次被反復(fù)調(diào)用，而在服務(wù)器接受到用戶請(qǐng)求的時(shí)候，只會(huì)調(diào)用一次的方法是下面這個(gè)，也就是我們重寫的這個(gè)

getSessionId(ServletRequest request, ServletResponse response)

這個(gè)才是真正涉及到服務(wù)器接受到請(qǐng)求的時(shí)候獲取Session邏輯，從用戶的請(qǐng)求報(bào)文中獲取SessionId

所以我們要重寫的就是這一步

原版中的邏輯是：從Cookie里找到sessionId的值

我們只需要把邏輯該為：從Header中找出JWT（也就是從請(qǐng)求頭的’token’頭中找），然后解析JWT，獲取到我們存放在其中的SessionId屬性即可

ShiroConfiguration

我們只需要把自己寫的SessionManager配置進(jìn)去就好了

首先配好：

public DefaultWebSessionManager sessionManager(){ CustomSessionManager customSessionManager = new CustomSessionManager(); return customSessionManager;}

然后放入SecurityManager

public SecurityManager securityManager(MyRealm myRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(myRealm); return securityManager;}

完成🎉

測(cè)試登錄

我們獲取到了JWT，JWT里面就帶有SessionId

后續(xù)請(qǐng)求不帶token

顯然，沒(méi)過(guò)認(rèn)證，我們看下后臺(tái)：

因?yàn)椴荒塬@得token所以無(wú)法得到該用戶對(duì)應(yīng)的sessionId，所以被授權(quán)攔截了

后面那個(gè)JSESSIONID是因?yàn)闆](méi)得到sessionId新生成的，所以對(duì)應(yīng)了一個(gè)沒(méi)有登錄的用戶，自然就會(huì)被拒絕

只有帶上之前的token，shiro才會(huì)認(rèn)為我們是之前那個(gè)已經(jīng)登錄過(guò)的用戶

后續(xù)請(qǐng)求帶token

后臺(tái)：

成功！

另外，因?yàn)镴WT本身就適合RESTful API服務(wù)，所以，如果把Shiro和Redis整合起來(lái)做成分布式的，那么效果會(huì)更好

到此這篇關(guān)于Springboot實(shí)現(xiàn)Shiro整合JWT的示例代碼的文章就介紹到這了,更多相關(guān)Springboot Shiro整合JWT內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！