ShiroJwt

Endereço de front-end: https://github.com/wang926454/VueStudy/tree/master/VueStudy08-JWT

1. #14 As solicitações repetidas gerarão vários tokens?
2. #19 Problema de SSO entre domínios
3. #29 Processamento simultâneo de atualização de token

Se você tiver alguma dúvida, escaneie o código e entre no grupo QQ para se comunicar: 779168604

• JavaDoc: https://apidoc.gitee.com/dolyw/ShiroJwt
• Documento de interface: https://note.dolyw.com/shirojwt/ShiroJwt-Interface.html
• Diretório do tutorial: https://note.dolyw.com/shirojwt
• Mudança para formato de banco de dados (MySQL): https://note.dolyw.com/shirojwt/ShiroJwt02-MySQL.html
• Resolva o problema de que o erro 401 não pode ser retornado diretamente: https://note.dolyw.com/shirojwt/ShiroJwt03-401.html
• Implemente a função Cache (Redis) do Shiro: https://note.dolyw.com/shirojwt/ShiroJwt04-Redis.html

1. API RESTful
2. Maven integra Mybatis Generator (engenharia reversa)
3. Shiro + Java-JWT implementa mecanismo de autenticação sem estado (Token)
4. Criptografia de senha (usando AES-128 + Base64)
5. Integrar Redis (Jedis)
6. Reescrever o mecanismo de cache Shiro (Redis)
7. Salvar informações de RefreshToken no Redis (tornando o JWT controlável)
8. Atualize automaticamente o AccessToken com base no RefreshToken

1. Primeiro, poste o nome de usuário e a senha para usuário/login para fazer login. Se for bem-sucedido, o AccessToken criptografado será retornado. Se falhar, um erro 401 será retornado diretamente (a conta ou senha está incorreta).
2. Basta trazer este AccessToken com você para visitas futuras.
3. O processo de autenticação reescreve principalmente o filtro de entrada JWTFilter ( BasicHttpAuthenticationFilter ) de Shiro para determinar se o cabeçalho da solicitação contém o campo Autorização .
4. Se sim, realize a autenticação e autorização de login do Token do Shiro (toda solicitação de acesso do usuário que necessite de permissão deve adicionar o campo Autorização no cabeçalho para armazenar o AccessToken ), caso contrário, utilize o acesso direto como visitante (se houver controle de permissão , o acesso do visitante será interceptado)

A maioria deles resolve esse problema na forma de MD5 + salt (detalhes do Baidu eu uso AES-128 + Base64 para criptografar a senha na forma de conta + senha). . O problema da senha secreta.

Originalmente, JedisUtil foi injetado diretamente como Bean . Cada vez que é usado, ele pode ser injetado diretamente @Autowired . No entanto, após reescrever o CustomCache de Shiro , JedisUtil não pôde ser injetado, então foi alterado para injeção estática no JedisPool. pool de conexão A classe de ferramenta JedisUtil @Autowired chama diretamente o método estático.

1. Após a autenticação de login ser aprovada, as informações do AccessToken são retornadas ( o carimbo de data e hora atual e o número da conta são salvos no AccessToken )
2. Ao mesmo tempo, defina um RefreshToken no Redis com a conta como a chave e o valor como o carimbo de data/hora atual (hora de login)
3. Agora, durante a autenticação, o AccessToken não deve ter expirado e o RefreshToken correspondente deve existir no Redis , e o carimbo de data/hora RefreshToken deve ser consistente com o carimbo de data/hora nas informações do AccessToken antes que a autenticação seja passada.
4. Se você fizer login novamente e obter um novo AccessToken , o AccessToken antigo não poderá ser autenticado, porque as informações de carimbo de data / hora do RefreshToken armazenadas no Redis serão consistentes apenas com o carimbo de data / hora carregado nas informações de AccessToken geradas mais recentemente , portanto, cada usuário poderá usar apenas o AccessToken mais recente certificação
5. O RefreshToken do Redis também pode ser usado para determinar se um usuário está online. Se um RefreshToken do Redis for excluído, o AccessToken correspondente a este RefreshToken não poderá mais passar na autenticação. Isso equivale a controlar o login do usuário e eliminá-lo. .

1. O tempo de expiração do próprio AccessToken é de 5 minutos (configurável no arquivo de configuração) e o tempo de expiração do RefreshToken é de 30 minutos (configurável no arquivo de configuração)
2. Após 5 minutos após o login, o AccessToken atual expirará. Se você trazer o AccessToken novamente para acessar o JWT, uma exceção TokenExpiredException será lançada, indicando que o Token expirou.
3. Comece a determinar se o AccessToken deve ser atualizado . O Redis consulta se o RefreshToken do usuário atual existe e se o carimbo de data/hora transportado por este RefreshToken é consistente com o carimbo de data/hora transportado pelo AccessToken expirado.
4. Se existir e for consistente, atualize o AccessToken, defina o tempo de expiração para 5 minutos (configurável no arquivo de configuração), o carimbo de data e hora para o carimbo de data e hora mais recente e também defina o carimbo de data e hora no RefreshToken para o carimbo de data e hora mais recente e atualize a expiração tempo para 30 novamente. Expiração em minutos (configurável no arquivo de configuração)
5. Por fim, o AccessToken atualizado é armazenado no campo Autorização no cabeçalho da resposta e retornado (o front end o obtém e o substitui, e usa o novo AccessToken para acesso na próxima vez)

1. Estrutura principal SpringBoot + Mybatis
2. Plug-in PageHelper + plug-in Mapper universal
3. Mecanismo de autenticação sem estado Shiro + Java-JWT
4. Estrutura de cache Redis (Jedis)

1. A senha da conta do banco de dados é padronizada como root. Se for modificada, modifique você mesmo o arquivo de configuração application.yml.
2. Após a descompactação, execute o script srcmainresourcessqlMySQL.sql para criar o banco de dados e a tabela
3. O Redis precisa instalar o serviço Redis sozinho, e a senha da porta é padrão
4. SpringBoot pode ser iniciado diretamente com a ferramenta de teste PostMan

Primeiro configure o arquivo srcmainresourcesgeneratorgeneratorConfig.xml (a configuração padrão está no pacote reverso no nível inferior do pacote original) e execute-o na janela de linha de comando do diretório de nível pom.xml ( isto é, no diretório raiz do projeto) (A premissa é que o mvn esteja configurado) (IDEA pode ser executado diretamente clicando duas vezes na janela Maven Plugins)

mvn mybatis-generator:generate

先设置Content - Type为application / json 

然后填写请求参数帐号密码信息

进行请求访问，请求访问成功

点击查看Header信息的Authorization属性即是Token字段

访问需要权限的请求将Token字段放在Header信息的Authorization属性访问即可

 Token的自动刷新也是在Token失效时返回新的Token在Header信息的Authorization属性

1. Agradecimentos a SmithCruise pelo tutorial simples Shiro+JWT+Spring Boot Restful: https://www.jianshu.com/p/f37f8c295057
2. Agradecimentos a Wang Hongyu por [Introdução ao Shiro] (1) Usando Redis como gerenciador de cache: https://blog.csdn.net/why15732625998/article/details/78729254
3. Obrigado saco? Springboot do criador (7). Springboot integra jedis para implementar cache redis: http://www.cnblogs.com/GodHeng/p/9301330.html
4. Agradecimentos a W_Z_W_888 pelos três métodos de injeção de variáveis ​​estáticas na mola e suas precauções: https://blog.csdn.net/W_Z_W_888/article/details/79979103
5. Agradecimentos a Vue2.0+ElementUI+PageHelper da Heavenly Wind and Cloud por implementar a paginação de tabela: https://blog.csdn.net/u012907049/article/details/70237457
6. Graças aos axios Vuejs do yaxx para obter o cabeçalho de resposta Http: https://segmentfault.com/a/1190000009125333
7. Obrigado a Twilight por resolver o problema causado pelo uso do token de atualização jwt: https://segmentfault.com/a/1190000013151506
8. Graças ao interceptor shiro do chuhx, que retorna dados json: https://blog.csdn.net/chuhx/article/details/51148877
9. Agradecimentos a yidao620c pelas regras de configuração do interceptador integrado do Shiro: https://github.com/yidao620c/SpringBootBucket/tree/master/springboot-jwt

1. Bifurque este projeto
2. Crie uma nova ramificação Feat_xxx
3. Enviar código
4. Nova solicitação pull