홈페이지>PHP 소스 코드>기타 카테고리
다운로드

시로Jwt

프런트엔드 주소: https://github.com/wang926454/VueStudy/tree/master/VueStudy08-JWT

질문 보기

  1. #14 요청이 반복되면 여러 토큰이 생성되나요?
  2. #19 도메인 간 SSO 문제
  3. #29 토큰 새로고침 동시 처리

궁금한 점이 있으면 코드를 스캔하고 QQ 그룹에 가입하여 소통하세요. 779168604

프로젝트 관련

  • JavaDoc: https://apidoc.gitee.com/dolyw/ShiroJwt
  • 인터페이스 문서: https://note.dolyw.com/shirojwt/ShiroJwt-Interface.html
  • 튜토리얼 디렉토리: https://note.dolyw.com/shirojwt
  • 데이터베이스 형태로 변경(MySQL): https://note.dolyw.com/shirojwt/ShiroJwt02-MySQL.html
  • 401에러가 바로 반환되지 않는 문제 해결 : https://note.dolyw.com/shirojwt/ShiroJwt03-401.html
  • Shiro의 캐시(Redis) 기능 구현: https://note.dolyw.com/shirojwt/ShiroJwt04-Redis.html

프로젝트 소개

  1. RESTful API
  2. Maven은 Mybatis Generator(리버스 엔지니어링)를 통합합니다.
  3. Shiro + Java-JWT는 상태 비저장 인증 메커니즘(토큰)을 구현합니다.
  4. 비밀번호 암호화(AES-128 + Base64 사용)
  5. Redis 통합(Jedis)
  6. Shiro 캐싱 메커니즘 재작성(Redis)
  7. Redis에 RefreshToken 정보 저장(JWT 제어 가능)
  8. RefreshToken을 기반으로 AccessToken을 자동으로 새로 고칩니다.
무상태 인증 메커니즘(토큰)을 구현하기 위한 Shiro + Java-JWT 정보
  1. 먼저 로그인을 위한 사용자/로그인 에 사용자 이름과 비밀번호를 게시합니다 . 성공하면 암호화된 AccessToken 이 반환됩니다. 실패하면 401 오류가 직접 반환됩니다(계정 또는 비밀번호가 올바르지 않음).
  2. 향후 방문을 위해 이 AccessToken을 지참하시기 바랍니다.
  3. 인증 프로세스에서는 주로 Shiro 의 항목 필터 JWTFilter ( BasicHttpAuthenticationFilter )를 다시 작성하여 요청 헤더에 Authorization 필드가 포함되어 있는지 확인합니다.
  4. 그렇다면 Shiro토큰 로그인 인증 및 권한 부여를 수행합니다(권한이 필요한 모든 사용자 액세스 요청은 AccessToken을 저장하기 위해 헤더Authorization 필드를 추가해야 함). 그렇지 않은 경우 방문자로 직접 액세스를 사용합니다(권한 제어가 있는 경우). , 방문자 액세스가 차단됩니다)
AES-128 + Base64의 경우 두 사용자의 평문 비밀번호가 동일하여 암호화된 경우, 데이터베이스에 동일한 구조의 암호문 비밀번호가 있다는 것을 알게 됩니다.

대부분 MD5 + 솔트 (Baidu의 세부 사항) 형식으로 이 문제를 해결합니다. 계정 + 비밀번호 형식으로 비밀번호를 암호화하기 위해 AES-128 + Base64를 사용합니다. .비밀번호 문제

Jedis 도구 클래스를 SpringBoot와 통합 정보

원래 JedisUtil은 사용할 때마다 @Autowired 직접 주입이 가능했는데, ShiroCustomCache를 다시 작성한 후에는 JedisUtil을 주입할 수 없어서 JedisPool 에 정적 주입으로 변경했습니다. 연결 풀 JedisUtil 도구 클래스는 여전히 정적 메서드를 직접 호출합니다. @Autowired 주입이 필요하지 않습니다.

Redis에 RefreshToken 정보 저장 정보(JWT 제어 가능하게 만들기)
  1. 로그인 인증이 통과되면 AccessToken 정보가 반환됩니다. ( 현재 타임스탬프와 계좌번호는 AccessToken 에 저장됩니다.)
  2. 동시에 계정을 키로, 값을 현재 타임스탬프(로그인 시간)로 사용 하여 Redis 에서 RefreshToken을 설정합니다.
  3. 이제 인증 중에 AccessToken이 만료되지 않아야 하며 해당 RefreshToken이 Redis 에 있어야 하며 RefreshToken 타임스탬프는 인증이 통과되기 전에 AccessToken 정보의 타임스탬프와 일치해야 합니다 . 이를 통해 JWT의 제어 가능성을 달성할 수 있습니다.
  4. 다시 로그인하여 새 AccessToken을 얻으면 이전 AccessToken을 인증할 수 없습니다. Redis 에 저장된 RefreshToken 타임스탬프 정보는 최근 생성된 AccessToken 정보에 포함된 타임스탬프와만 일치하기 때문입니다. 따라서 각 사용자는 최신 AccessToken 만 사용할 수 있습니다. 인증
  5. RedisRefreshToken은 사용자가 온라인 상태인지 확인하는 데에도 사용할 수 있습니다. Redis RefreshToken 이 삭제되면 이 RefreshToken 에 해당하는 AccessToken은 더 이상 인증을 통과할 수 없게 됩니다. 이는 사용자의 로그인을 제어하고 사용자를 제거하는 것과 같습니다. .
RefreshToken을 기반으로 AccessToken 자동 새로 고침 정보
  1. AccessToken 자체의 만료 시간은 5분 (구성 파일에서 구성 가능)이고, RefreshToken의 만료 시간은 30분(구성 파일에서 구성 가능)입니다 .
  2. 로그인 후 5분이 지나면 현재 AccessToken이 만료됩니다. JWT에 액세스하기 위해 다시 AccessToken을 가져오면 TokenExpiredException 예외가 발생하여 토큰이 만료되었음을 나타냅니다.
  3. AccessToken 새로 고침 여부를 결정하기 시작합니다. Redis는 현재 사용자의 RefreshToken이 있는지 여부 와 이 RefreshToken이 전달하는 타임스탬프가 만료된 AccessToken이 전달하는 타임스탬프일치하는지 여부를 쿼리합니다.
  4. 존재하고 일관성이 있는 경우 AccessToken을 새로 고치고 만료 시간을 5분(구성 파일에서 구성 가능)으로 설정하고 타임스탬프를 최신 타임스탬프로 설정하고 또한 RefreshToken의 타임스탬프를 최신 타임스탬프로 설정하고 만료를 새로 고칩니다. 다시 30분으로 만료됩니다(구성 파일에서 구성 가능).
  5. 마지막으로 새로 고쳐진 AccessToken은 응답 헤더의 Authorization 필드에 저장되어 반환됩니다(프런트 엔드는 이를 획득하여 교체하고 다음 번 액세스를 위해 새 AccessToken을 사용합니다).

소프트웨어 아키텍처

  1. SpringBoot + Mybatis 핵심 프레임워크
  2. PageHelper 플러그인 + 범용 Mapper 플러그인
  3. Shiro + Java-JWT 상태 비저장 인증 메커니즘
  4. Redis(Jedis) 캐싱 프레임워크

설치 튜토리얼

  1. 데이터베이스 계정 비밀번호의 기본값은 root입니다. 수정된 경우 구성 파일 application.yml을 직접 수정하세요.
  2. 압축을 푼 후 srcmainresourcessqlMySQL.sql 스크립트를 실행하여 데이터베이스와 테이블을 생성합니다.
  3. Redis는 Redis 서비스를 자체적으로 설치해야 하며 포트 비밀번호는 기본값입니다.
  4. SpringBoot는 테스트 도구인 PostMan을 사용하여 직접 시작할 수 있습니다.

사용 지침

Mybatis Generator 사용(기본 코드를 빠르게 생성하려면 시각적 사용자 정의 템플릿: https://github.com/wang926454/ViewGenerator)

먼저 srcmainresourcesgeneratorgeneratorConfig.xml 파일을 구성하고(기본 구성은 원래 패키지의 하위 수준에 있는 reverse 패키지에 있음) pom.xml 수준 디렉터리의 명령줄 창에서 실행합니다( 즉, 프로젝트 루트 디렉터리 아래) (mvn이 구성되어 있다는 전제) (Maven 윈도우 플러그인에서 더블클릭하면 IDEA가 직접 실행 가능) 

mvn mybatis-generator:generate
PostMan 사용(토큰 획득 및 사용) 
先设置Content - Type为application / json 
然后填写请求参数帐号密码信息

进行请求访问,请求访问成功

点击查看Header信息的Authorization属性即是Token字段
访问需要权限的请求将Token字段放在Header信息的Authorization属性访问即可
 Token的自动刷新也是在Token失效时返回新的Token在Header信息的Authorization属性

참조 빌드

  1. Shiro+JWT+Spring Boot Restful 간단한 튜토리얼을 제공한 SmithCruise에게 감사드립니다: https://www.jianshu.com/p/f37f8c295057
  2. [Shiro 시작하기]에 대해 Wang Hongyu에게 감사드립니다. (1) Redis를 캐시 관리자로 사용: https://blog.csdn.net/why15732625998/article/details/78729254
  3. 감사합니다. Breeder의 springboot(7)는 jedis를 통합하여 Redis 캐시를 구현합니다. http://www.cnblogs.com/GodHeng/p/9301330.html
  4. 스프링 주입 정적 변수의 세 가지 방법과 주의 사항에 대해 W_Z_W_888에게 감사드립니다: https://blog.csdn.net/W_Z_W_888/article/details/79979103
  5. 테이블 페이징을 구현한 Heavenly Wind and Cloud의 Vue2.0+ElementUI+PageHelper에게 감사드립니다: https://blog.csdn.net/u012907049/article/details/70237457
  6. yaxx의 Vuejs axios 덕분에 HTTP 응답 헤더를 얻을 수 있습니다: https://segmentfault.com/a/1190000009125333
  7. jwt 새로 고침 토큰 사용으로 인해 발생한 문제를 해결해 주신 Twilight에게 감사드립니다: https://segmentfault.com/a/1190000013151506
  8. JSON 데이터를 반환하는 chuhx의 shiro 인터셉터 덕분에: https://blog.csdn.net/chuhx/article/details/51148877
  9. Shiro의 내장 인터셉터 구성 규칙에 대해 yidao620c에게 감사드립니다: https://github.com/yidao620c/SpringBootBucket/tree/master/springboot-jwt

참여하고 기여하세요

  1. 이 프로젝트를 포크하세요
  2. 새로운 Feat_xxx 브랜치를 생성하세요
  3. 코드 제출
  4. 새로운 끌어오기 요청
확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체