ShiroJwt

フロントエンドアドレス: https://github.com/wang926454/VueStudy/tree/master/VueStudy08-JWT

1. #14 リクエストを繰り返すと複数のトークンが生成されますか?
2. #19 クロスドメイン SSO の問題
3. #29 トークンリフレッシュ同時処理

ご質問がある場合は、コードをスキャンしてQQグループに参加してコミュニケーションしてください: 779168604

• JavaDoc: https://apidoc.gitee.com/dolyw/ShiroJwt
• インターフェースドキュメント: https://note.dolyw.com/shirojwt/ShiroJwt-Interface.html
• チュートリアルディレクトリ: https://note.dolyw.com/shirojwt
• データベース形式(MySQL)への変更: https://note.dolyw.com/shirojwt/ShiroJwt02-MySQL.html
• 401エラーが直接返せない問題を解決: https://note.dolyw.com/shirojwt/ShiroJwt03-401.html
• Shiroのキャッシュ(Redis)機能の実装：https://note.dolyw.com/hirojwt/ShiroJwt04-Redis.html

1. RESTful API
2. Maven は Mybatis Generator を統合します (リバース エンジニアリング)
3. Shiro + Java-JWT はステートレス認証機構 (トークン) を実装します
4. パスワード暗号化 (AES-128 + Base64 を使用)
5. Redis (Jedis) の統合
6. Shiro キャッシュ メカニズムを書き換える (Redis)
7. Redis に RefreshToken 情報を保存する (JWT を制御可能にする)
8. RefreshToken に基づいて AccessToken を自動的に更新する

1. まず、ユーザー名とパスワードをuser/loginにポストしてログインします。成功すると、暗号化されたAccessTokenが返されます。失敗すると、401 エラーが直接返されます (アカウントまたはパスワードが間違っています)。
2. 今後の訪問のためにこのAccessTokenを持参してください。
3. 認証プロセスは主に、 Shiroのエントリ フィルターJWTFilter ( BasicHttpAuthenticationFilter ) を書き換えて、リクエストヘッダーにAuthorizationフィールドが含まれているかどうかを判断します。
4. 「はい」の場合は、 ShiroのTokenログイン認証と認可を実行します (許可を必要とするユーザー アクセスのすべてのリクエストでは、ヘッダーにAuthorizationフィールドを追加してAccessToken を保存する必要があります)。そうでない場合は、訪問者として直接アクセスを使用します (許可制御がある場合)。 、訪問者のアクセスは傍受されます）

ほとんどの場合、この問題はMD5 + ソルトの形式で解決されます (Baidu からの詳細)。アカウントは一意であるため、同じ構造は表示されません。AES -128 + Base64を使用します。秘密のパスワードの問題

元々はJedisUtil をBeanとして直接インジェクションしていましたが、使用するたびに@Autowired直接インジェクションできるようになっていましたが、 ShiroのCustomCache を書き換えたところJedisUtilがインジェクションできなくなったため、 JedisPoolへの静的インジェクションに変更しました。 JedisUtil ツール クラスは、引き続き静的メソッドを直接呼び出します。 @Autowiredインジェクションは必要ありません。

1. ログイン認証に合格すると、 AccessToken情報が返されます (現在のタイムスタンプとアカウント番号がAccessTokenに保存されます)。
2. 同時に、アカウントをキー、値を現在のタイムスタンプ (ログイン時間) としてRedisに RefreshToken を設定します。
3. これで、認証中にAccessTokenの有効期限が切れてはならず、対応するRefreshToken がRedisに存在する必要があり、認証が通過する前にRefreshToken のタイムスタンプが AccessToken 情報のタイムスタンプと一致している必要があります。これにより、 JWT の制御性を実現できます。
4. 再度ログインして新しいAccessToken を取得した場合、古いAccessToken は認証できません。Redis に保存されているRefreshToken タイムスタンプ情報は、生成された最新の AccessToken 情報に含まれるタイムスタンプとのみ一致するため、各ユーザーは最新のAccessTokenのみを使用できます。認証
5. RedisのRefreshToken は、ユーザーがオンラインであるかどうかを判断するために使用することもできます。Redis RefreshTokenが削除されると、このRefreshTokenに対応するAccessToken は認証を通過できなくなります。これは、ユーザーのログインを制御し、ユーザーを排除することと同じです。 。

1. AccessToken 自体の有効期限は 5 分(構成ファイルで構成可能)、 RefreshToken の有効期限は 30 分 (構成ファイルで構成可能) です。
2. ログイン後 5 分が経過すると、現在のAccessToken の有効期限が切れます。JWT にアクセスするためにAccessToken を再度使用すると、トークンの有効期限が切れたことを示すTokenExpiredException例外がスローされます。
3. AccessToken を更新するかどうかの決定を開始します。Redisは、現在のユーザーの RefreshToken が存在するかどうか、およびこの RefreshToken によって保持されるタイムスタンプが期限切れの AccessToken によって保持されるタイムスタンプと一致するかどうかを照会します。
4. 存在し、一貫性がある場合は、AccessToken を更新し、有効期限を 5 分に設定し (構成ファイルで構成可能)、タイムスタンプを最新のタイムスタンプに設定し、RefreshToken のタイムスタンプも最新のタイムスタンプに設定して、有効期限を更新します。有効期限を再び 30 分に設定します (構成ファイルで構成可能)。
5. 最後に、更新されたAccessToken が応答のヘッダーの Authorization フィールドに格納されて返されます (フロントエンドはそれを取得して置き換え、次回のアクセスに新しいAccessTokenを使用します)。

1. SpringBoot + Mybatis コア フレームワーク
2. PageHelper プラグイン + ユニバーサル Mapper プラグイン
3. Shiro + Java-JWT ステートレス認証メカニズム
4. Redis (Jedis) キャッシュ フレームワーク

1. データベースアカウントのパスワードはデフォルトでrootになっており、変更する場合は設定ファイルapplication.ymlをご自身で変更してください。
2. 解凍後、srcmainresourcessqlMySQL.sql スクリプトを実行してデータベースとテーブルを作成します。
3. Redis は Redis サービスを単独でインストールする必要があり、ポートのパスワードはデフォルトです
4. SpringBoot はテスト ツール PostMan を使用して直接起動できます

まず、srcmainresourcesgeneratorgeneratorConfig.xml ファイルを構成し (デフォルト構成は、元のパッケージの下位レベルにあるリバース パッケージの下にあります)、pom.xml レベル ディレクトリのコマンド ライン ウィンドウで実行します ( (つまり、プロジェクトのルート ディレクトリの下にあります) (mvn が設定されていることが前提です) (IDEA は、Maven ウィンドウでダブルクリックすることで直接実行できます)

mvn mybatis-generator:generate

先设置Content - Type为application / json 

然后填写请求参数帐号密码信息

进行请求访问，请求访问成功

点击查看Header信息的Authorization属性即是Token字段

访问需要权限的请求将Token字段放在Header信息的Authorization属性访问即可

 Token的自动刷新也是在Token失效时返回新的Token在Header信息的Authorization属性

1. Shiro+JWT+Spring Boot Restful の簡単なチュートリアルを提供してくれた SmithCruise に感謝します: https://www.jianshu.com/p/f37f8c295057
2. [Shiro 入門] (1) Redis をキャッシュ マネージャーとして使用する: https://blog.csdn.net/why15732625998/article/details/78729254 については、Wang Honyu に感謝します。
3. Breeder の springboot (7) は jedis を統合して redis キャッシュを実装します: http://www.cnblogs.com/GodHeng/p/9301330.html
4. Spring で静的変数を注入する 3 つの方法とその注意事項については、W_Z_W_888 に感謝します: https://blog.csdn.net/W_Z_W_888/article/details/79979103
5. テーブル ページングの実装については、Heavenly Wind and Cloud の Vue2.0+ElementUI+PageHelper に感謝します: https://blog.csdn.net/u012907049/article/details/70237457
6. yaxx の Vuejs axios のおかげで、HTTP 応答ヘッダーを取得できました: https://segmentfault.com/a/1190000009125333
7. jwt リフレッシュ トークンの使用によって引き起こされる問題を解決してくれた Twilight に感謝します: https://segmentfault.com/a/1190000013151506
8. json データを返す chuhx の hiro インターセプターのおかげで: https://blog.csdn.net/chuhx/article/details/51148877
9. Shiro の組み込みインターセプター設定ルールについては yidao620c に感謝します: https://github.com/yidao620c/SpringBootBucket/tree/master/springboot-jwt

1. このプロジェクトをフォークする
2. 新しい Feat_xxx ブランチを作成する
3. コードを送信する
4. 新しいプルリクエスト