JWT的TOKEN续期功能

JWT里有一个关键的东东,就是续期TOKEN,即TOKEN快过期时,刷新一个新的TOKEN给客户端

办法如下:

1后端生成TOKEN

importcomstarmarkcoreshiromodelSecurityUser;importcomstarmarkcoreshiromodelUserLoginToken;importcomstarmarkcoreshiroutilJWTUtil;importorgapachecommonslang3BooleanUtils;importorgapachecommonslang3StringUtils;importorgapacheshiroauthcAuthenticationException;importorgapacheshiroauthcAuthenticationToken;importorgapacheshirosubjectSubject;importorgapacheshirowebfilterauthcAuthenticatingFilter;importorgapacheshirowebutilWebUtils;importorgslf4jLogger;importorgslf4jLoggerFactory;importorgspringframeworkwebbindannotationRequestMethod;importjavaxservletServletRequest;importjavaxservletServletResponse;importjavaxservlet>

anon：无需认证即可访问。

authc：需要认证才可访问。

user：点击“记住我”功能可访问。

try{

subjectlogin(token);

//获取realmSecurityManager对象，其包含了很多信息，比如配置文件里面的数据

RealmSecurityManagerrealmSecurityManager=(RealmSecurityManager)securityManager;

Collection<Realm>collection=realmSecurityManagergetRealms();if(collection!=null&&collectionsize()>0){

Iteratoriterator=collectioniterator();

while(iteratorhasNext()){

Realmrealm=(Realm)iteratornext();

//得到默认的数据源名称，虽然默认的为iniRealm，也可以通过程序获得

StringrealmName=realmgetName();

扩展资料：

作用：

封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。

Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。

大家好，一直以来我都本着用最通俗的话理解核心的知识点, 我认为所有的难点都离不开 「基础知识」 的铺垫。目前正在出一个 SpringBoot 长期系列教程，从入门到进阶, 篇幅会较多~

「大佬可以绕过 ~」

如果你是一路看过来的，很高兴你能够耐心看完。之前带大家学了 Springboot 基础部分，对基本的使用有了初步的认识, 接下来的几期内容将会带大家进阶使用，会先讲解基础 中间件 的使用和一些场景的应用，或许这些技术你听说过，没看过也没关系，我会带大家一步一步的入门，耐心看完你一定会有 收获 ~

上期带大家学习了 Shiro 中如何进行权限认证，本期将带大家学习 Shiro 中如何进行 缓存和会话管理 ，最后我们将做一个在线用户管理以及强制下线用户的功能，同样的，我们集成到 Springboot 中。

首先我们要明白使用缓存的原因，为啥要用它 还记得之前带大家实现的 用户认证 和 权限认证 吗，那里我使用了 MockUser ，真实场景中是要去数据查询的，这样一来就会产生耗时，请求多的时候数据库肯定忙不过来了，所以我们需要使用缓存来提高程序响应速度

缓存使用 Redis ,下面就带大家整一下:

修改 ShiroConfig ,添加方法

这样就可以了，大家可以把测试获取用户的地方改成数据库获取，看下 控制台 sql日志会明显减少，因为有一部分是从缓存拿的

这部分功能还是比较好玩的，学完可以自由发挥做一个房间功能,可以加入可以踢人,下面我们就开整

修改 ShiroConfig ,添加方法，因为我们使用的是 Redis 缓存

实现 SessionListener

最后同样的，想要开启需要我们注入到 Manager 中:

我们先定义一个类，用来记录在线用户:

那么怎么获取呢？我们定义一个方法,大家实践中可以抽到 Service 层,这里方便演示，我直接写到控制器里

如果你看谁不爽，可以直接让他下线，hhh~

是不是很简单,这里就不演示了，大家自行试试

本期内容就到这里结束了，总结一下，本节主要讲了 Shiro 如何进行缓存以及如何进行用户会话管理，大家可以举一反三，做一些小功能尝试尝试

下期给大家讲讲 Shiro 中如何整合 JWT ，这个大家应该不陌生，如果不知道啥是 JWT 也没关系，我会带大家一步一步入门，下期也是 Shiro 系列的终极篇，内容可能有点多，耐心看完哦。欢迎加群一起学习交流 ~

您好，很高兴为您解答：

1、力推 Filter 过滤器，

2、后台判断根据权限跳转页面

登陆成功后获取 Subject 对象

然后通过 Subject 对象来判断当前用户的角色/权限，之后执行不同的跳转(直接在LoginAction中做)

　

Apache Shiro是一款开源的java安全框架，执行身份验证、授权、密码和会话管理。

Apache Shiro 124及以前版本中，加密的用户信息序列化后存储在名为rememberMe的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。

Apache Shiro <=124

使用vulhub搭建环境

尝试登录，登录的返回包中有 rememberMe=deleteMe 字段

或者不登录，发送一个GET请求登录页面的包，把cookie改成rememberMe=1，返回包中也存在 rememberMe=deleteMe 字段

则可判断使用了shiro框架，接下来使用工具ShiroExploit 检测是否存在shiro反序列化漏洞

>

controller中进行参数合法性检验后，由service执行subject的login方法，若未发生异常，则登陆成功，再此直接通过 subjectgetPrincipal(); ，将其存入 subjectgetSession(); 即可

thymeleaf中使用session可以正常获取

JWT（json web token）是为了在网络应用环境之间传递声明而执行的一种基于JSON的开放标准。

JWT的声明一般被用来在 身份提供者 和 服务提供者 间传递被认证的用户身份信息，以便从资源服务器获取资源。比如用于登录。

shiro（9）-有状态身份认证和无状态身份认证的区别

JWT由三部分组成：头部(header)、载荷(payload)、签名(signature)。头部定义类型和加密方式；载荷部分放的不是很重要的数据；签名使用定义的加密方式加密base64后的header和payload和一段自己加密key。最后的token由base64(header)base64(payload)base64(signature)组成。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ949UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

JWT头部分是一个描述JWT元数据的JSON对象。

完整的头部就像下面这样的json。

然后将头部进行base64加密，构成第一部分：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

载荷是存放有效信息的地方，这些有效部分包含三个部分。

公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息， 但不建议添加敏感的信息，因为这部分在客户端可解密。

私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

定义一个payload：

然后将其进行base64加密，得到第二部分

eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9

jwt的第三部分是一个签证信息，这个签证信息由三部分组成：

这个部分需要base64加密后的header和base64加密后的payload使用 连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，就构成了jwt的第三部分：

49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

注：密钥secret是保存在服务端的，服务端会根据这个密钥进行生成token和验证，所以要保护好。

解析结果

重放攻击是攻击者获取客户端发送给服务器端的包，不做修改，原封不动的发送给服务器用来实现某些功能。比如说客户端发送给服务器端一个包的功能是查询某个信息，攻击者拦截到这个包，然后想要查询这个信息的时候，把这个包发送给服务器，服务器就会做相应的 *** 作，返回查询的信息。

以上就是关于JWT的TOKEN续期功能全部的内容，包括:JWT的TOKEN续期功能、Shiro单点登录之集成CAS、shiro中的anon，authc啥意思等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！