当前位置：首页 > article >正文

终极指南：如何使用Apache Shiro与JWT实现现代Web应用的无状态认证

article 2026/4/13 3:21:54

终极指南如何使用Apache Shiro与JWT实现现代Web应用的无状态认证【免费下载链接】shiroApache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management项目地址: https://gitcode.com/gh_mirrors/shiro1/shiroApache Shiro是一个功能强大且易于使用的Java安全框架提供身份验证、授权、加密和会话管理功能。在现代Web应用开发中将Apache Shiro与JWTJSON Web Token集成实现无状态认证已成为主流实践它能有效解决分布式系统中的身份验证挑战。为什么选择Shiro与JWT集成传统的基于会话的认证方式在分布式系统中面临诸多挑战如会话共享、服务器负载等问题。而JWT作为一种轻量级的身份验证令牌能够在客户端存储用户信息实现无状态认证非常适合前后端分离和微服务架构。Apache Shiro提供了灵活的认证机制通过与JWT结合可以充分发挥两者的优势无状态设计减轻服务器存储压力便于水平扩展跨域支持轻松实现跨域认证减少数据库查询令牌中包含用户基本信息减少不必要的数据库访问增强安全性支持签名验证防止令牌被篡改Apache Shiro框架标志 - 提供强大的Java安全解决方案快速集成步骤1. 添加依赖首先需要在项目的pom.xml中添加Shiro和JWT相关依赖。以下是主要依赖项!-- Apache Shiro核心依赖 -- dependency groupIdorg.apache.shiro/groupId artifactIdshiro-core/artifactId version1.10.0/version /dependency !-- Shiro Web支持 -- dependency groupIdorg.apache.shiro/groupId artifactIdshiro-web/artifactId version1.10.0/version /dependency !-- JWT支持 -- dependency groupIdio.jsonwebtoken/groupId artifactIdjjwt-api/artifactId version0.11.5/version /dependency2. 实现JWT工具类创建JWT工具类负责令牌的生成、验证和解析。关键实现包括生成JWT令牌验证令牌有效性从令牌中提取用户信息核心实现代码位于src/main/java/org/apache/shiro/web/jwt/JwtUtils.java主要方法包括generateToken()、validateToken()和getUsernameFromToken()。3. 自定义Shiro过滤器创建JWT过滤器继承AccessControlFilter用于拦截请求并验证JWT令牌public class JwtFilter extends AccessControlFilter { Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { // 实现令牌验证逻辑 return false; } Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { // 处理未授权请求 return false; } }4. 配置Shiro安全管理器在Shiro配置类中配置自定义的Realm和过滤器Configuration public class ShiroConfig { Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager new DefaultWebSecurityManager(); securityManager.setRealm(jwtRealm()); return securityManager; } Bean public JwtRealm jwtRealm() { return new JwtRealm(); } // 配置Shiro过滤器 }安全锁图标 - 象征Shiro与JWT提供的安全保护⚙️ 核心实现详解JWT Realm实现自定义Realm类继承AuthorizingRealm重写身份验证和授权方法public class JwtRealm extends AuthorizingRealm { Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现授权逻辑 SimpleAuthorizationInfo authorizationInfo new SimpleAuthorizationInfo(); // 添加角色和权限 return authorizationInfo; } Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现JWT令牌验证逻辑 String jwtToken (String) token.getPrincipal(); // 验证令牌并返回认证信息 return new SimpleAuthenticationInfo(username, jwtToken, getName()); } }配置Shiro过滤器链在Shiro配置中设置URL过滤规则指定哪些路径需要认证Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); MapString, String filterChainDefinitionMap new LinkedHashMap(); // 配置不需要认证的路径 filterChainDefinitionMap.put(/api/login, anon); // 其他路径需要认证 filterChainDefinitionMap.put(/api/**, jwt); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } 安全最佳实践令牌管理策略合理设置过期时间根据业务需求设置合适的令牌过期时间一般建议15-30分钟实现令牌刷新机制当令牌即将过期时自动刷新令牌维护黑名单对于已注销但未过期的令牌加入黑名单进行过滤密码加密处理使用Shiro提供的加密模块对用户密码进行加密存储// 使用Shiro的密码加密工具 String hashedPassword new SimpleHash(SHA-256, password, salt, 1024).toHex();相关实现可参考core/src/main/java/org/apache/shiro/authc/credential/DefaultPasswordService.javaApache软件基金会标志 - Shiro是Apache旗下的开源项目总结Apache Shiro与JWT的集成为现代Web应用提供了强大而灵活的无状态认证解决方案。通过本文介绍的步骤你可以快速实现这一集成为你的应用提供安全、高效的身份验证机制。关键要点回顾Shiro与JWT集成实现无状态认证适合分布式系统核心步骤包括添加依赖、实现JWT工具类、自定义过滤器和Realm遵循安全最佳实践如合理设置令牌过期时间、密码加密等参考项目中的web/src/main/java/org/apache/shiro/web/目录下的相关实现通过这种集成方式你可以构建更加安全、可扩展的Web应用满足现代应用架构的需求。【免费下载链接】shiroApache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management项目地址: https://gitcode.com/gh_mirrors/shiro1/shiro创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考

终极指南：如何使用Apache Shiro与JWT实现现代Web应用的无状态认证

相关文章：

终极指南：如何使用Apache Shiro与JWT实现现代Web应用的无状态认证

终极Deno安全开发指南：从权限控制到依赖审计的完整实践

终极UI组件矩阵完全指南：从Checkbox到Combobox的全方位解析

Dhall性能优化与部署指南：构建高效配置管理系统的终极方案

10个Yellowbrick可视化技巧：提升机器学习模型诊断效率

终极字体优化指南：让你的home55个人主页加载速度提升50%的实用技巧

终极JHenTai插件开发指南：从零开始扩展跨平台漫画应用功能

如何为HashMD编辑器添加多语言支持：从入门到精通的国际化实践指南

CowPi嵌入式教学平台：内存映射I/O与轮询中断实践

终极BottomNavigation徽章系统详解：从基础文本到复杂形状的完整实现指南

终极指南：WiFiAnalyzer如何利用Wi-Fi 6/6E/7提升你的网络体验

终极UDS安全性与最佳实践指南：确保您的数据安全无忧

如何设计AI框架转换工具的函数参数？Ivy项目的完整实现规范指南

Codex辅助编程实战：快速生成Graphormer模型数据预处理代码

Ollama驱动AI股票分析师：打造本地化、安全的金融分析助手

阅文偶得笔录

我让 Claude 和 Codex 同时审计个模块，它们只在个上达成共识腊

终极指南：如何使用UI-Router实现AngularJS路由安全与角色访问控制

如何快速集成Chartist与Solid.js：构建高性能声明式图表应用的完整指南

告别库存超卖：groupcache如何拯救智能零售的实时数据困境

掌握Flipper插件生命周期：从加载到卸载的完整指南

5行代码实现智能图像动画：Spring库与Core ML的视觉交互革命

为什么92%的AI初创公司正在裸奔式发布大模型？——版权保护缺失导致融资受阻、合作终止的真实案例集（含3份被驳回的软著申报复盘）

DimmerLED：基于ATmega328P的MySensors LED调光固件

大模型×联邦学习如何破局数据孤岛？SITS2026首席科学家首次公开7项关键技术指标与性能基准

大模型幻觉率下降83%的关键不在Prompt，而在图谱对齐粒度——2026奇点大会实测数据首曝

大模型测试用例自动生成不是“写提示词”：基于形式化规约+符号执行+反事实扰动的三层生成引擎（附GitHub开源框架v2.3）

Mathematica 教学必备：如何用Rubi规则系统展示积分步骤

PowerShell中的WinUI3 GUI编程

SitemapGenerator适配器详解：6种存储方案对比与选择