ShiroJwt

Адрес внешнего интерфейса: https://github.com/wang926454/VueStudy/tree/master/VueStudy08-JWT.

1. №14. Будут ли повторяющиеся запросы генерировать несколько токенов?
2. № 19. Проблема междоменного единого входа.
3. #29 Одновременная обработка обновления токена

Если у вас есть какие-либо вопросы, отсканируйте код и присоединитесь к группе QQ для общения: 779168604.

• JavaDoc: https://apidoc.gitee.com/dolyw/ShiroJwt
• Документ интерфейса: https://note.dolyw.com/shirojwt/ShiroJwt-Interface.html.
• Каталог руководств: https://note.dolyw.com/shirojwt
• Изменение формы базы данных (MySQL): https://note.dolyw.com/shirojwt/ShiroJwt02-MySQL.html.
• Решите проблему, связанную с невозможностью возврата ошибки 401 напрямую: https://note.dolyw.com/shirojwt/ShiroJwt03-401.html.
• Внедрите функцию кэша Широ (Redis): https://note.dolyw.com/shirojwt/ShiroJwt04-Redis.html

1. RESTful API
2. Maven интегрирует генератор Mybatis (обратное проектирование)
3. Shiro + Java-JWT реализует механизм аутентификации без сохранения состояния (токен)
4. Шифрование пароля (с использованием AES-128 + Base64)
5. Интеграция Redis (Jedis)
6. Переписать механизм кэширования Shiro (Redis).
7. Сохраните информацию RefreshToken в Redis (что делает JWT управляемым).
8. Автоматически обновлять AccessToken на основе RefreshToken.

1. Сначала отправьте имя пользователя и пароль пользователю/логину для входа в систему. В случае успеха будет возвращен зашифрованный AccessToken . В случае неудачи будет возвращена ошибка 401 (учетная запись или пароль неверны).
2. Просто возьмите с собой этот AccessToken для будущих посещений.
3. Процесс аутентификации в основном перезаписывает входной фильтр JWTFilter Широ ( BasicHttpAuthenticationFilter ), чтобы определить, содержит ли заголовок запроса поле авторизации .
4. Если да, выполните аутентификацию и авторизацию входа в систему с помощью токена Широ (каждый запрос на доступ пользователя, требующий разрешения, должен добавлять поле авторизации в заголовок для хранения AccessToken ), если нет, используйте прямой доступ в качестве посетителя (при наличии контроля разрешений). , доступ посетителей будет перехвачен)

Большинство из них решают эту проблему в виде MD5 + соль (подробности от Baidu) я использую AES-128 + Base64 для шифрования пароля в виде учетная запись + пароль. Поскольку учетная запись уникальна, одинаковая структура не появится. . Проблема секретного пароля.

Первоначально JedisUtil внедрялся напрямую как Bean . Каждый раз, когда он используется, его можно внедрить напрямую @Autowired . Однако после переписывания CustomCache Широ внедрение JedisUtil было невозможно, поэтому его заменили на статическое внедрение в JedisPool. Пул соединений . Класс инструмента JedisUtil по-прежнему напрямую вызывает статический метод. Нет необходимости в внедрении @Autowired

1. После прохождения аутентификации при входе возвращается информация AccessToken ( текущая временная метка и номер учетной записи сохраняются в AccessToken ).
2. В то же время установите RefreshToken в Redis с учетной записью в качестве ключа и значением в качестве текущей отметки времени (время входа в систему).
3. Теперь во время аутентификации срок действия AccessToken не должен быть истек, и соответствующий RefreshToken должен существовать в Redis , а временная метка RefreshToken должна соответствовать временной метке в информации AccessToken до прохождения аутентификации. Это может обеспечить управляемость JWT.
4. Если вы снова войдете в систему и получите новый AccessToken , старый AccessToken не сможет быть аутентифицирован, поскольку информация о временной метке RefreshToken, хранящаяся в Redis, будет соответствовать только временной метке, содержащейся в последней сгенерированной информации AccessToken , поэтому каждый пользователь может использовать только последний AccessToken. сертификация
5. RefreshToken Redis также можно использовать для определения того, находится ли пользователь в сети. Если Redis RefreshToken удален, AccessToken, соответствующий этому RefreshToken, больше не сможет проходить аутентификацию. Это эквивалентно контролю входа пользователя и удалению пользователя. .

1. Срок действия самого AccessToken составляет 5 минут (настраивается в файле конфигурации), а срок действия RefreshToken — 30 минут (настраивается в файле конфигурации).
2. По прошествии 5 минут после входа в систему текущий AccessToken истечет. Если вы снова используете AccessToken для доступа к JWT, будет выдано исключение TokenExpiredException , указывающее, что срок действия токена истек.
3. Начните с определения необходимости обновления AccessToken . Redis запрашивает, существует ли RefreshToken текущего пользователя и соответствует ли временная метка, передаваемая этим RefreshToken, временной метке, переносимой истекшим AccessToken.
4. Если он существует и является согласованным, обновите AccessToken, установите время истечения срока действия на 5 минут (настраивается в файле конфигурации), в качестве временной метки самую последнюю временную метку, а также установите временную метку в RefreshToken на самую последнюю временную метку и обновите срок действия. время снова до 30. Срок действия в минутах (настраивается в файле конфигурации).
5. Наконец, обновленный AccessToken сохраняется в поле авторизации в заголовке ответа и возвращается (интерфейсная часть получает и заменяет его и использует новый AccessToken для доступа в следующий раз).

1. SpringBoot + основная платформа Mybatis
2. Плагин PageHelper + универсальный плагин Mapper
3. Механизм аутентификации без сохранения состояния Shiro + Java-JWT
4. Фреймворк кэширования Redis (Jedis)

1. Пароль учетной записи базы данных по умолчанию — root. Если он изменен, измените файл конфигурации application.yml самостоятельно.
2. После распаковки выполните сценарий srcmainresourcessqlMySQL.sql, чтобы создать базу данных и таблицу.
3. Redis необходимо установить службу Redis самостоятельно, а пароль порта установлен по умолчанию.
4. SpringBoot можно запустить напрямую с помощью инструмента тестирования PostMan.

Сначала настройте файл srcmainresourcesgeneratorgeneratorConfig.xml (конфигурация по умолчанию находится в обратном пакете на нижнем уровне исходного пакета) и выполните его в окне командной строки каталога уровня pom.xml ( то есть в корневом каталоге проекта) (Предполагается, что mvn настроен) (IDEA можно запустить напрямую, дважды щелкнув в окне плагинов Maven)

mvn mybatis-generator:generate

先设置Content - Type为application / json 

然后填写请求参数帐号密码信息

进行请求访问，请求访问成功

点击查看Header信息的Authorization属性即是Token字段

访问需要权限的请求将Token字段放在Header信息的Authorization属性访问即可

 Token的自动刷新也是在Token失效时返回新的Token在Header信息的Authorization属性

1. Спасибо SmithCruise за простое руководство Shiro+JWT+Spring Boot Restful: https://www.jianshu.com/p/f37f8c295057
2. Спасибо Ван Хунъюю за [Начало работы с Широ] (1) Использование Redis в качестве менеджера кэша: https://blog.csdn.net/why15732625998/article/details/78729254
3. Спасибо, Springboot (7) от Breeder интегрирует jedis для реализации кэша Redis: http://www.cnblogs.com/GodHeng/p/9301330.html.
4. Спасибо W_Z_W_888 за три метода весеннего внедрения статических переменных и меры предосторожности: https://blog.csdn.net/W_Z_W_888/article/details/79979103
5. Спасибо Vue2.0+ElementUI+PageHelper от Heavenly Wind and Cloud за реализацию разбивки таблиц: https://blog.csdn.net/u012907049/article/details/70237457
6. Благодаря axios Vuejs yaxx для получения заголовка ответа Http: https://segmentfault.com/a/1190000009125333
7. Спасибо Twilight за решение проблемы, вызванной использованием токена обновления jwt: https://segmentfault.com/a/1190000013151506
8. Благодаря перехватчику shiro от chuhx, который возвращает данные json: https://blog.csdn.net/chuhx/article/details/51148877
9. Спасибо yidao620c за встроенные правила настройки перехватчика Широ: https://github.com/yidao620c/SpringBootBucket/tree/master/springboot-jwt

1. Форкнуть этот проект
2. Создайте новую ветку Feat_xxx.
3. Отправить код
4. Новый запрос на включение