Spring Boot 最简单整合Shiro+JWT方式

简介

目前RESTful大多都采用JWT来作受权校验，在Spring Boot 中能够采用Shiro和JWT来作简单的权限以及认证验证，在和Spring Boot集成的过程当中碰到了很多坑。便结合自身以及你们的经常使用的运用场景开发出了这个最简单的整合方式fastdep-shiro-jwt。

源码地址

但愿你们能够star支持一下，后续还会加入其它依赖的简易整合。 https://github.com/louislivi/fastdep

引入依赖

• Maven

<dependency>
    <groupId>com.louislivi.fastdep</groupId>
    <artifactId>fastdep-shiro-jwt</artifactId>
    <version>1.0.2</version>
</dependency>

• Gradle

compile group: 'com.louislivi.fastdep', name: 'fastdep-redis', version: '1.0.2'

配置文件

• application.yml

  fastdep:
    shiro-jwt:
      filter: #shiro过滤规则
        admin:
          path: /admin/**
          role: jwt # jwt为须要进行token校验
        front:
          path: /front/**/**
          role: anon # anon为无需校验
      secret: "6Dx8SIuaHXJYnpsG18SSpjPs50lZcT52" # jwt秘钥
  #    expireTime: 7200000 # token有效期
  #    prefix: "Bearer "  # token校验时的前缀
  #    signPrefix: "Bearer " # token生成签名的前缀
  #    header: "Authorization" # token校验时的header头
  #    如下对应为shiro配置参数，无特殊需求无需配置
  #    loginUrl: 
  #    successUrl: 
  #    unauthorizedUrl: 
  #    filterChainDefinitions:

• 用户权限配置类

  @Component
  public class FastDepShiroJwtConfig extends FastDepShiroJwtAuthorization {
  
    @Autowired
    private UserRequestDataMapper userRequestDataMapper;
  
    @Override
    public SimpleAuthorizationInfo getAuthorizationInfo(String userId) {
        // 查询该用户下的全部权限（当前为示例仅查询用户ID真实环境替换为用户的权限值）
        Set<String> collect = userRequestDataMapper.selectOptions().stream().map(u -> u.getUserId().toString()).collect(Collectors.toSet());
          SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
          System.out.println(collect);
          // 当前值为 [1]
          // 添加用户权限到SimpleAuthorizationInfo中
          simpleAuthorizationInfo.addStringPermissions(collect);
          return simpleAuthorizationInfo;
      }
  }

运用

@RestController
public class TestController {
    @Autowired
    private JwtUtil jwtUtil;

    /**
     * 当前为示例因此直接返回了token，真实环境为校验登陆信息后再返回token便可
     * @author : louislivi
     */
    @GetMapping("front/login")
    public String login() {
        // ...校验登陆信息是否正确
        // 传入用户惟一标示
        return jwtUtil.sign("1"); 
    }

    /**
     * 当前为示例因此权限写的是用户ID 真实环境替换为权限key
     * @author : louislivi
     */
    @GetMapping("admin")
    @RequiresPermissions("1")
    public String jwt() {
        return "ok!";
    }
}

测试

1.获取token

2.测试权限校验

• 带token

• 不带token

{
    "msg": "Access denied !",
    "code": 401
}

• 带上token可是，SimpleAuthorizationInfo中无指定权限

{
    "msg": "Subject does not have permission [1]",
    "code": 403
}

扩展

有时候须要自定义权限校验以及错误返回信息结构等，这时候就须要重写FastDepShiroJwtAuthorization类中的方法。更多详情请看这里

原理

使用ImportBeanDefinitionRegistrar BeanDefinitionBuilder.genericBeanDefinition动态注入Bean其实很简单有兴趣能够去看看源码，这样的依赖集成是否是简单了不少呢？

但愿你们可以支持开源，给个小星星，后续还会继续开发其余依赖的整合，甚至兼容其余框架使用。fastdep让java整合依赖更简单。在此也招募有志同道合的coder共同完善这个项目。

原文出处：https://www.cnblogs.com/muzishanhe/p/12015410.html