shiro（13）-JWT（Token的生成）

JWT（json web token）是为了在网络应用环境之间传递声明而执行的一种基于JSON的开放标准。

JWT的声明一般被用来在 身份提供者 和 服务提供者 间传递被认证的用户身份信息，以便从资源服务器获取资源。比如用于登录。

shiro（9）-有状态身份认证和无状态身份认证的区别

JWT由三部分组成：头部(header)、载荷(payload)、签名(signature)。头部定义类型和加密方式；载荷部分放的不是很重要的数据；签名使用定义的加密方式加密base64后的header和payload和一段自己加密key。最后的token由base64(header)base64(payload)base64(signature)组成。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ949UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

JWT头部分是一个描述JWT元数据的JSON对象。

完整的头部就像下面这样的json。

然后将头部进行base64加密，构成第一部分：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

载荷是存放有效信息的地方，这些有效部分包含三个部分。

公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息， 但不建议添加敏感的信息，因为这部分在客户端可解密。

私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

定义一个payload：

然后将其进行base64加密，得到第二部分

eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9

jwt的第三部分是一个签证信息，这个签证信息由三部分组成：

这个部分需要base64加密后的header和base64加密后的payload使用 连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，就构成了jwt的第三部分：

49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

注：密钥secret是保存在服务端的，服务端会根据这个密钥进行生成token和验证，所以要保护好。

解析结果

重放攻击是攻击者获取客户端发送给服务器端的包，不做修改，原封不动的发送给服务器用来实现某些功能。比如说客户端发送给服务器端一个包的功能是查询某个信息，攻击者拦截到这个包，然后想要查询这个信息的时候，把这个包发送给服务器，服务器就会做相应的 *** 作，返回查询的信息。

这个就在在人员表了添加一个身份的字段 user_rank ,用这个来控制。用户登录到时候就会用登录信息，把这个 user_rank 字段带出来，在页面或者链接时候加上判断，哈这是简单的，看下官方的。

shiro安全框架是目前为止作为登录注册最常用的框架，因为它十分的强大简单，提供了认证、授权、加密和会话管理等功能 。

shiro能做什么？

认证：验证用户的身份

授权：对用户执行访问控制：判断用户是否被允许做某事

会话管理：在任何环境下使用 Session API，即使没有 Web 或EJB 容器。

加密：以更简洁易用的方式使用加密功能，保护或隐藏数据防止被偷窥

Realms：聚集一个或多个用户安全数据的数据源

单点登录（SSO）功能。

为没有关联到登录的用户启用 "Remember Me“ 服务

Shiro 的四大核心部分

Authentication(身份验证)：简称为“登录”，即证明用户是谁。

Authorization(授权)：访问控制的过程，即决定是否有权限去访问受保护的资源。

Session Management(会话管理)：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。

Cryptography(加密)：通过使用加密算法保持数据安全

shiro的三个核心组件：　

Subject ：正与系统进行交互的人，或某一个第三方服务。所有 Subject 实例都被绑定到（且这是必须的）一个SecurityManager 上。

SecurityManager：Shiro 架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时，实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全 *** 作。

Realms ：本质上是一个特定安全的 DAO。当配置 Shiro 时，必须指定至少一个 Realm 用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC)，INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。

shiro整合SSM框架：

1加入 jar 包：以下jar包自行百度下载

2配置 webxml 文件

在webxml中加入以下代码—shiro过滤器。

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>orgspringframeworkwebfilterDelegatingFilterProxy</filter-class>

<init-param>

<param-name>targetFilterLifecycle</param-name>

<param-value>true</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>shiroFilter</filter-name>

<url-pattern>/</url-pattern>

</filter-mapping>

3在 Spring 的配置文件中配置 Shiro

Springmvc配置文件中：<bean class="orgspringframeworkaopframeworkautoproxyDefaultAdvisorAutoProxyCreator"

depends-on="lifecycleBeanPostProcessor"/>

<bean class="orgapacheshirospringsecurityinterceptorAuthorizationAttributeSourceAdvisor">

<property name="securityManager" ref="securityManager"/>

</bean>

Spring配置文件中导入shiro配置文件：

<!-- 包含shiro的配置文件 -->

<import resource="classpath:applicationContext-shiroxml"/>

新建applicationContext-shiroxml

<xml version="10" encoding="UTF-8"><beans xmlns=">

导入ehcache-shiroxml配置文件：

<!--

~ Licensed to the Apache Software Foundation (ASF) under one

~ or more contributor license agreements  See the NOTICE file

~ distributed with this work for additional information

~ regarding copyright ownership  The ASF licenses this file

~ to you under the Apache License, Version 20 (the

~ "License"); you may not use this file except in compliance

~ with the License  You may obtain a copy of the License at

~

~     >

准备好了，接下来要写Realm方法了，新建shiro包，在包下新建MyRealmjava文件继承AuthorizingRealm

package shiro;import orgapacheshiroauthcAuthenticationException;import orgapacheshiroauthcAuthenticationInfo;import orgapacheshiroauthcAuthenticationToken;import orgapacheshiroauthcSimpleAuthenticationInfo;import orgapacheshiroauthccredentialHashedCredentialsMatcher;import orgapacheshiroauthzAuthorizationInfo;import orgapacheshiroauthzSimpleAuthorizationInfo;import orgapacheshirocryptohashMd5Hash;import orgapacheshirocryptohashSimpleHash;import orgapacheshirorealmAuthorizingRealm;import orgapacheshirosubjectPrincipalCollection;import orgapacheshiroutilByteSource;import orgspringframeworkbeansfactoryannotationAutowired;import beanuser;import daouserdao;public class MyRealm extends AuthorizingRealm {

@Autowired    private userdao userdao;

String pass;    /

授权:

/

@Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

Object principal = principalCollectiongetPrimaryPrincipal();//获取登录的用户名

if("admin"equals(principal)){               //两个if根据判断赋予登录用户权限

infoaddRole("admin");

}        if("user"equals(principal)){

infoaddRole("list");

}

infoaddRole("user");

return info;

}    /

用户验证

/

@Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//1 token 中获取登录的 username! 注意不需要获取password

Object principal = tokengetPrincipal();

//2 利用 username 查询数据库得到用户的信息

user user=userdaofindbyname((String) principal);        if(user!=null){

pass=usergetPass();

}

String credentials = pass;        //3设置盐值 ，（加密的调料，让加密出来的东西更具安全性，一般是通过数据库查询出来的。 简单的说，就是把密码根据特定的东西而进行动态加密，如果别人不知道你的盐值，就解不出你的密码）

String source = "abcdefg";

ByteSource credentialsSalt = new Md5Hash(source);

//当前 Realm 的name

String realmName = getName();        //返回值实例化

SimpleAuthenticationInfo info =

new SimpleAuthenticationInfo(principal, credentials,

credentialsSalt, realmName);

return info;

}    //init-method 配置

public void setCredentialMatcher(){

HashedCredentialsMatcher  credentialsMatcher = new HashedCredentialsMatcher();

credentialsMatchersetHashAlgorithmName("MD5");//MD5算法加密

credentialsMatchersetHashIterations(1024);//1024次循环加密

setCredentialsMatcher(credentialsMatcher);

}

//用来测试的算出密码password盐值加密后的结果，下面方法用于新增用户添加到数据库 *** 作的，我这里就直接用main获得，直接数据库添加了，省时间

public static void main(String[] args) {

String saltSource = "abcdef";

String hashAlgorithmName = "MD5";

String credentials = "passwor";

Object salt = new Md5Hash(saltSource);        int hashIterations = 1024;

Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);

Systemoutprintln(result);

}

}

好了，接下来我们写一个简单的action来通过shiro登录验证。

//登录认证

   @RequestMapping("/shiro-login")    public String login(@RequestParam("username") String username,

           @RequestParam("password") String password){

       Subject subject = SecurityUtilsgetSubject();

       UsernamePasswordToken token = new UsernamePasswordToken(username, password);        

       try {            //执行认证 *** 作             subjectlogin(token);

       }catch (AuthenticationException ae) {

           Systemoutprintln("登陆失败: " + aegetMessage());            return "/index";

       }        

       return "/shiro-success";

   }

//温馨提示：记得在注册中密码存入数据库前也记得加密哦，提供一个utils方法//进行shiro加密，返回加密后的结果public static String md5(String pass){

String saltSource = "blog";    

String hashAlgorithmName = "MD5";

Object salt = new Md5Hash(saltSource);int hashIterations = 1024;    

Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = resulttoString();return password;

}

好了，shiro登录验证到这里完了

编码与解码

Shiro 提供了 base64 和 16 进制字符串编码、解码的API 支持，方便一些编码解码 *** 作。Shiro 内部的一些数据的存储、表示都使用了base64 和 16 进制字符串。

1、base64 编码与解码

String str = "admin";

String base64Encoded = Base64 encodeToString (strgetBytes());

String str2 = Base64 decodeToString (base64Encoded);

logger info(str+"<==="+base64Encoded+"==>"+str2);

2、16 进制字符串编码与解码

String str3 = "test";

String hexEncoded2 = Hex encodeToString (str3getBytes());

String str4 = new  String(Hex decode (hexEncoded2getBytes()));

logger info(str3+"<==="+hexEncoded2+"==>"+str4);

散列算法加密

散列算法一般用于生成数据的重要信息，是一种不可逆的算法，适合存储密码之类的数据，常见的散列算法如MD5、SHA 等。

[if !supportLists]1、[endif]MD5算法盐值加密

String pswd= "123456";

String salt = "123";

String md5 = new  Md5Hash(pswd, salt)toString();

另外散列时还可以指定散列次数,new Md5Hash(pswd, salt, 2)toString(),数字2代表加密次数。

[if !supportLists]2、[endif]SHA256 算法盐值加密

String pswd= "123456";

String salt = "123";

String sha = new  Sha256Hash(pswd, salt)toString();

[if !supportLists]3、[endif]SHA1算法盐值加密

String pswd= "123456";

String salt = "123";

String sha = new  Sha1Hash(pswd, salt)toString();

4、SHA512算法盐值加密

String pswd = "123456";

String salt = "123";

String sha = new  Sha512Hash(pswd, salt)toString();

[if !supportLists]5、[endif]Shiro 还提供了通用的散列SimpleHash

String pswd = "123456";

String salt = "123";

//内部使用MessageDigest

String simpleHash=

new   SimpleHash("SHA-1",pswd,salt,4)toString();

Shiro 还提供对称式加密、解密算法的支持

[if !supportLists]1、[endif]AES 算法

//生成key

Key key = aesCipherServicegenerateNewKey();

String pswd = "123456";

//加密

String encrptText = aesCipherServiceencrypt(pswdgetBytes(), keygetEncoded())toHex();

//解密

String text2 =

new  String(aesCipherServicedecrypt(Hex decode (encrptText), keygetEncoded())getBytes());

logger info(pswd+"<==="+encrptText+"==>"+text2);

简单模拟用户注册

1、首先使用SHA256算法加密密码明文，UserService层实现。

UserDaoImpl userDaoimpl ;

public   static   void  main(String[] args) {

String email ="123@qqcom";

String password = "123";

String sha = new  Sha256Hash(password, ByteSourceUtil bytes (email))toString();//使用邮箱作为盐值

User user = new  User(4L,"管理员",email,sha, new  Date(), new  Date(),1);

UserService userService = new  UserService();

userServiceinsert(user);

}

public    int  insert(User user){

userDaoimpl = new  UserDaoImpl();

return  userDaoimplinsert(user);

}

2、Dao插入数据

@Override

public   int  insert(User record) {

String sql = "insert into u_user(id,nickname,email,pswd,create_time,last_login_time,status) values (,,,,,,)";

return   insert(sql,recordgetId(),recordgetNickname(),recordgetEmail(),recordgetPswd(),recordgetCreateTime(),recordgetLastLoginTime(),recordgetStatus());

}

HashedCredentialsMatcher 实现密码验证服务

1、自定义JdbcRealm实现AuthorizingRealm接口，重写doGetAuthenticationInfo(,,,)方法。

[if !supportLists]2、[endif]配置ini文件内容

主要配置HashedCredentialsMatcher实现密码验证服务。

credentialsMatcher=orgapacheshiroauthccredentialHashedCredentialsMatcher

credentialsMatcherhashAlgorithmName=SHA-256#加密算法

credentialsMatcherhashIterations=1#迭代次数

credentialsMatcherstoredCredentialsHexEncoded=true

jdbcRealm=comshirotestJdbcRealm

jdbcRealmcredentialsMatcher=$credentialsMatcher

securityManagerrealms=$jdbcRealm

3、]用邮箱、密码实现登录认证

4、结果

根据Shiro的设计思路，用户与角色之前的关系为多对多，角色与权限之间的关系也是多对多。在数据库中需要因此建立5张表，分别是用户表（存储用户名，密码，盐等）、角色表（角色名称，相关描述等）、权限表（权限名称，相关描述等）、用户-角色对应中间表（以用户ID和角色ID作为联合主键）、角色-权限对应中间表（以角色ID和权限ID作为联合主键）。具体dao与service的实现本文不提供。

以上就是关于shiro（13）-JWT（Token的生成）全部的内容，包括:shiro（13）-JWT（Token的生成）、ssm框架访问控制应该怎么做、使用Shiro加密与解密实现简单用户注册与登录验证等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！