终极指南：如何使用Apache Shiro与JWT实现现代Web应用的无状态认证

终极指南：如何使用Apache Shiro与JWT实现现代Web应用的无状态认证

【免费下载链接】shiroApache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management项目地址: https://gitcode.com/gh_mirrors/shiro1/shiro

Apache Shiro是一个功能强大且易于使用的Java安全框架，提供身份验证、授权、加密和会话管理功能。在现代Web应用开发中，将Apache Shiro与JWT（JSON Web Token）集成实现无状态认证已成为主流实践，它能有效解决分布式系统中的身份验证挑战。

🤔 为什么选择Shiro与JWT集成？

传统的基于会话的认证方式在分布式系统中面临诸多挑战，如会话共享、服务器负载等问题。而JWT作为一种轻量级的身份验证令牌，能够在客户端存储用户信息，实现无状态认证，非常适合前后端分离和微服务架构。

Apache Shiro提供了灵活的认证机制，通过与JWT结合，可以充分发挥两者的优势：

• 无状态设计：减轻服务器存储压力，便于水平扩展
• 跨域支持：轻松实现跨域认证
• 减少数据库查询：令牌中包含用户基本信息，减少不必要的数据库访问
• 增强安全性：支持签名验证，防止令牌被篡改

Apache Shiro框架标志 - 提供强大的Java安全解决方案

🚀 快速集成步骤

1. 添加依赖

首先需要在项目的pom.xml中添加Shiro和JWT相关依赖。以下是主要依赖项：

<!-- Apache Shiro核心依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.10.0</version> </dependency> <!-- Shiro Web支持 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.10.0</version> </dependency> <!-- JWT支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency>

2. 实现JWT工具类

创建JWT工具类负责令牌的生成、验证和解析。关键实现包括：

• 生成JWT令牌
• 验证令牌有效性
• 从令牌中提取用户信息

核心实现代码位于src/main/java/org/apache/shiro/web/jwt/JwtUtils.java，主要方法包括generateToken()、validateToken()和getUsernameFromToken()。

3. 自定义Shiro过滤器

创建JWT过滤器继承AccessControlFilter，用于拦截请求并验证JWT令牌：

public class JwtFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { // 实现令牌验证逻辑 return false; } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { // 处理未授权请求 return false; } }

4. 配置Shiro安全管理器

在Shiro配置类中，配置自定义的Realm和过滤器：

@Configuration public class ShiroConfig { @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(jwtRealm()); return securityManager; } @Bean public JwtRealm jwtRealm() { return new JwtRealm(); } // 配置Shiro过滤器 }

安全锁图标 - 象征Shiro与JWT提供的安全保护

⚙️ 核心实现详解

JWT Realm实现

自定义Realm类继承AuthorizingRealm，重写身份验证和授权方法：

public class JwtRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现授权逻辑 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); // 添加角色和权限 return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现JWT令牌验证逻辑 String jwtToken = (String) token.getPrincipal(); // 验证令牌并返回认证信息 return new SimpleAuthenticationInfo(username, jwtToken, getName()); } }

配置Shiro过滤器链

在Shiro配置中设置URL过滤规则，指定哪些路径需要认证：

@Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); // 配置不需要认证的路径 filterChainDefinitionMap.put("/api/login", "anon"); // 其他路径需要认证 filterChainDefinitionMap.put("/api/**", "jwt"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; }

🔒 安全最佳实践

令牌管理策略

• 合理设置过期时间：根据业务需求设置合适的令牌过期时间，一般建议15-30分钟
• 实现令牌刷新机制：当令牌即将过期时，自动刷新令牌
• 维护黑名单：对于已注销但未过期的令牌，加入黑名单进行过滤

密码加密处理

使用Shiro提供的加密模块对用户密码进行加密存储：

// 使用Shiro的密码加密工具 String hashedPassword = new SimpleHash("SHA-256", password, salt, 1024).toHex();

相关实现可参考core/src/main/java/org/apache/shiro/authc/credential/DefaultPasswordService.java

Apache软件基金会标志 - Shiro是Apache旗下的开源项目

📝 总结

Apache Shiro与JWT的集成为现代Web应用提供了强大而灵活的无状态认证解决方案。通过本文介绍的步骤，你可以快速实现这一集成，为你的应用提供安全、高效的身份验证机制。

关键要点回顾：

• Shiro与JWT集成实现无状态认证，适合分布式系统
• 核心步骤包括添加依赖、实现JWT工具类、自定义过滤器和Realm
• 遵循安全最佳实践，如合理设置令牌过期时间、密码加密等
• 参考项目中的web/src/main/java/org/apache/shiro/web/目录下的相关实现

通过这种集成方式，你可以构建更加安全、可扩展的Web应用，满足现代应用架构的需求。

【免费下载链接】shiroApache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management项目地址: https://gitcode.com/gh_mirrors/shiro1/shiro