更多最新技術(shù)文章歡迎大家訪問我的個人博客○( ＾皿＾)っ豆腐別館

一、前言

在微服務(wù)中我們一般采用的是無狀態(tài)登錄卒煞，而傳統(tǒng)的session方式狸驳，在前后端分離的微服務(wù)架構(gòu)下藕咏，如繼續(xù)使用則必將要解決跨域sessionId問題再层、集群session共享問題等等贸铜。這顯然是費(fèi)力不討好的，而整合shiro聂受，卻很不恰巧的與我們的期望有所違背：
　≥锴亍（1）shiro默認(rèn)的攔截跳轉(zhuǎn)都是跳轉(zhuǎn)url頁面，而前后端分離后蛋济，后端并無權(quán)干涉頁面跳轉(zhuǎn)棍鳖。
　　（2）shiro默認(rèn)使用的登錄攔截校驗(yàn)機(jī)制恰恰就是使用的session碗旅。
　　這當(dāng)然不是我們想要的渡处，因此如需使用shiro，我們就需要對其進(jìn)行改造祟辟，那么要如何改造呢医瘫？我們可以在整合shiro的基礎(chǔ)上自定義登錄校驗(yàn)，繼續(xù)整合JWT川尖，或者oauth2.0等登下，使其成為支持服務(wù)端無狀態(tài)登錄茫孔，即token登錄叮喳。
　　本次將通過三篇博文帶你實(shí)現(xiàn)shiro整合JWT無狀態(tài)登錄，這一篇主要做個整體介紹缰贝，先有個總體思路再擼碼能讓你少走彎路馍悟。在后續(xù)篇章中，我將一步步帶大家把服務(wù)搭建起來剩晴，同時在該系列的最后我會把源碼提供給大家锣咒。（ps：該篇文章在實(shí)現(xiàn)過程中參考了大量資料侵状，當(dāng)時實(shí)現(xiàn)匆忙未記錄下來，侵刪毅整。）
　　Here we go.

二趣兄、相關(guān)說明

2-1. Shiro + JWT實(shí)現(xiàn)無狀態(tài)鑒權(quán)機(jī)制

1. 首先post用戶名與密碼到login進(jìn)行登入，如果成功在請求頭Header返回一個加密的Authorization悼嫉，失敗的話直接返回10001未登錄等狀態(tài)碼艇潭，以后訪問都帶上這個Authorization即可。

2. 鑒權(quán)流程主要是要重寫shiro的入口過濾器BasicHttpAuthenticationFilter戏蔑，在此基礎(chǔ)上進(jìn)行攔截蹋凝、token驗(yàn)證授權(quán)等操作

2-2. 關(guān)于AccessToken及RefreshToken概念說明

1. AccessToken：用于接口傳輸過程中的用戶授權(quán)標(biāo)識，客戶端每次請求都需攜帶总棵，出于安全考慮通常有效時長較短鳍寂。

2. RefreshToken：與AccessToken為共生關(guān)系，一般用于刷新AccessToken情龄，保存于服務(wù)端迄汛，客戶端不可見，有效時長較長刃唤。

2-3. 關(guān)于Redis中保存RefreshToken信息(做到JWT的可控性)

1. 登錄認(rèn)證通過后返回AccessToken信息(在AccessToken中保存當(dāng)前的時間戳和帳號)隔心，同時在Redis中設(shè)置一條以帳號為Key，Value為當(dāng)前時間戳(登錄時間)的RefreshToken尚胞，現(xiàn)在認(rèn)證時必須AccessToken沒失效以及Redis存在所對應(yīng)的RefreshToken硬霍，且RefreshToken時間戳和AccessToken信息中時間戳一致才算認(rèn)證通過，這樣可以做到JWT的可控性笼裳，如果重新登錄獲取了新的AccessToken唯卖，舊的AccessToken就認(rèn)證不了，因?yàn)镽edis中所存放的的RefreshToken時間戳信息只會和最新的AccessToken信息中攜帶的時間戳一致躬柬，這樣每個用戶就只能使用最新的AccessToken認(rèn)證拜轨。

2. Redis的RefreshToken也可以用來判斷用戶是否在線，如果刪除Redis的某個RefreshToken允青，那這個RefreshToken所對應(yīng)的AccessToken之后也無法通過認(rèn)證了橄碾，就相當(dāng)于控制了用戶的登錄，可以剔除用戶

2-4. 關(guān)于根據(jù)RefreshToken自動刷新AccessToken

1. 本身AccessToken的過期時間為5分鐘(配置文件可配置)颠锉，RefreshToken過期時間為30分鐘(配置文件可配置)法牲，當(dāng)?shù)卿浐髸r間過了5分鐘之后，當(dāng)前AccessToken便會過期失效琼掠，再次帶上AccessToken訪問JWT會拋出TokenExpiredException異常說明Token過期拒垃，開始判斷是否要進(jìn)行AccessToken刷新，首先redis查詢RefreshToken是否存在瓷蛙，以及時間戳和過期AccessToken所攜帶的時間戳是否一致悼瓮，如果存在且一致就進(jìn)行AccessToken刷新戈毒。

2. 刷新后新的AccessToken過期時間依舊為5分鐘(配置文件可配置)，時間戳為當(dāng)前最新時間戳横堡，同時也設(shè)置RefreshToken中的時間戳為當(dāng)前最新時間戳埋市，刷新過期時間重新為30分鐘過期(配置文件可配置)，最終將刷新的AccessToken存放在Response的Header中的Authorization字段返回命贴。

3. 同時前端進(jìn)行獲取替換恐疲，下次用新的AccessToken進(jìn)行訪問即可。

三套么、項(xiàng)目結(jié)構(gòu)

shiro整合jwt項(xiàng)目結(jié)構(gòu).png

1. springboot-shiro-jwt-common：放置公共常量省咨、配置等。
2. springboot-shiro-jwt-redis：redis封裝玷室。
3. springboot-shiro-jwt-web：web接口提供方零蓉，token鑒權(quán)。
4. springboot-shiro-jwt-sso：登入登出穷缤、token授權(quán)及消除敌蜂。