《Java輕量級(jí)框架技術(shù)與應(yīng)用》 課件 項(xiàng)目七 Spring Boot安全機(jī)制

項(xiàng)目七

SpringBoot安全機(jī)制智慧信息管理系統(tǒng)登錄認(rèn)證目錄Content1智慧信息管理系統(tǒng)權(quán)限管理2項(xiàng)目導(dǎo)言零在企業(yè)級(jí)Web應(yīng)用系統(tǒng)開發(fā)中，對(duì)系統(tǒng)的安全和權(quán)限控制通常是必需的。在開發(fā)中小型系統(tǒng)的時(shí)候，往往還是優(yōu)先選擇輕量級(jí)通用的框架解決方案。學(xué)習(xí)目標(biāo)零知識(shí)目標(biāo)了解JWT的概念；熟悉JWT的認(rèn)證流程；掌握J(rèn)JWT庫的概念以及使用方法；了解集成權(quán)限認(rèn)證框架的概念；熟悉Shiro功能模塊的使用方法；掌握Shiro核心組件的使用場景。能力目標(biāo)具備SpringBoot整合JJWT實(shí)現(xiàn)登錄認(rèn)證的能力；具備使用Shiro完成登錄認(rèn)證的能力。素質(zhì)目標(biāo)具備精益求精、堅(jiān)持不懈的精神；具有獨(dú)立解決問題的能力；具備靈活的思維和處理分析問題的能力；具有責(zé)任心。任務(wù)1：智慧信息管理系統(tǒng)登錄認(rèn)證壹什么是JWT任務(wù)技能JWT（JSONWebToken）是一種用于身份驗(yàn)證和授權(quán)的開放標(biāo)準(zhǔn)（RFC7519）。JWT認(rèn)證流程JWT認(rèn)證流程具體步驟如圖。JJWT庫簡介JJWT（JavaJSONWebToken）是一個(gè)用于創(chuàng)建和解析JSONWebToken（JWT）的Java庫，JJWT庫提供了一組API，可以方便地創(chuàng)建、解析和驗(yàn)證JWT。任務(wù)1-1：什么是JWT壹JWT（JSONWebToken）是一種用于身份驗(yàn)證和授權(quán)的開放標(biāo)準(zhǔn)（RFC7519）。它是一種緊湊的、自包含的方式，用于在雙方之間安全傳輸JSON格式的信息，可以對(duì)數(shù)據(jù)進(jìn)行可選的數(shù)字加密。官網(wǎng)：https://jwt.io/introduction/。JWT由三部分組成：頭部（Header）載荷（Payload）簽名（Signature）JWT任務(wù)1-1：什么是JWT壹自包含：JWT中包含了所有必要的信息，服務(wù)器不需要在數(shù)據(jù)庫中查找用戶信息。輕量級(jí)：JWT的數(shù)據(jù)量相對(duì)較小，適合在網(wǎng)絡(luò)中傳輸。安全性：JWT的簽名可以保證令牌的完整性和真實(shí)性，防止被篡改?？蓴U(kuò)展：JWT的載荷可以包含自定義的聲明信息，滿足不同場景的需求。JWT優(yōu)點(diǎn)任務(wù)1-2：JWT認(rèn)證流程壹JWT認(rèn)證流程如下。第一步：客戶端使用用戶名和密碼向服務(wù)器發(fā)送登錄請求。第二步：服務(wù)器驗(yàn)證用戶名和密碼，如果驗(yàn)證通過，則生成一個(gè)JWT，并將其發(fā)送給客戶端。客戶端將JWT保存在cookie或localStorage中。第三步：請求系統(tǒng)API攜帶JWT向服務(wù)器發(fā)送請求，將其放入HTTP標(biāo)頭的授權(quán)位。第四步：服務(wù)器接收到請求后，解析JWT，并驗(yàn)證其簽名。第五步：如果簽名驗(yàn)證成功，并且JWT中包含的有效期也沒有過期，則認(rèn)為該請求是合法的，則執(zhí)行業(yè)務(wù)邏輯，并響應(yīng)數(shù)據(jù)給前端，前端對(duì)數(shù)據(jù)進(jìn)行展示。第六步：如果驗(yàn)證失敗，則返回錯(cuò)誤消息，前端對(duì)錯(cuò)誤消息進(jìn)行展示并跳轉(zhuǎn)到登錄界面。任務(wù)1-3：JJWT庫簡介壹JJWT（JavaJSONWebToken）是一個(gè)用于創(chuàng)建和解析JSONWebToken（JWT）的Java庫，JJWT庫提供了一組API，可以方便地創(chuàng)建、解析和驗(yàn)證JWT。JJWT庫的特點(diǎn)包括：簡單易用

JJWT庫提供了簡潔的API，使開發(fā)人員可以輕松地創(chuàng)建和解析JWT可擴(kuò)展性JJWT庫提供了靈活的API，可以自定義頭部和負(fù)載的內(nèi)容，并支持自定義的加密和簽名算法。支持各種算法JJWT庫支持多種加密算法和簽名算法，如HMAC、RSA和ECDSA，以滿足不同的安全需求。高性能JJWT庫采用了高效的算法和數(shù)據(jù)結(jié)構(gòu)，以提高性能和吞吐量。任務(wù)2：智慧信息管理系統(tǒng)權(quán)限管理貳集成權(quán)限認(rèn)證框架任務(wù)技能集成權(quán)限認(rèn)證框架是為了實(shí)現(xiàn)身份驗(yàn)證和授權(quán)功能而設(shè)計(jì)的，它可以幫助應(yīng)用程序安全地管理用戶身份和訪問權(quán)限。Shiro功能模塊ApacheShiro是一個(gè)Java安全框架，可以實(shí)現(xiàn)用戶認(rèn)證、授權(quán)、加密和會(huì)話管理等功能。Shiro核心組件Shiro的核心組件包，它們共同協(xié)作以提供身份驗(yàn)證、授權(quán)和會(huì)話管理等安全功能。任務(wù)2-1：集成權(quán)限認(rèn)證框架貳集成權(quán)限認(rèn)證框架是為了實(shí)現(xiàn)身份驗(yàn)證和授權(quán)功能而設(shè)計(jì)的，它可以幫助應(yīng)用程序安全地管理用戶身份和訪問權(quán)限。以下是一些常見的集成權(quán)限認(rèn)證框架：SpringSecurity基于Spring框架的安全框架，提供了廣泛的功能，包括身份驗(yàn)證、授權(quán)、密碼加密、會(huì)話管理等。Shiro輕量級(jí)的Java安全框架，提供了身份驗(yàn)證、授權(quán)、加密、會(huì)話管理等基本功能，并支持多種認(rèn)證方式。ApacheCAS開源的輕量級(jí)身份驗(yàn)證和單點(diǎn)登錄系統(tǒng)，支持多種協(xié)議和平臺(tái)。Okta云身份驗(yàn)證和授權(quán)平臺(tái)，提供了身份驗(yàn)證、授權(quán)、多因素認(rèn)證等功能。Auth0：Auth0身份驗(yàn)證和授權(quán)平臺(tái)，支持多種認(rèn)證方式，并提供了豐富的的事件和用戶屬性。任務(wù)2-2：Shiro功能模塊貳ApacheShiro是一個(gè)強(qiáng)大且易于使用的Java安全框架，提供了身份驗(yàn)證、授權(quán)、加密、會(huì)話管理等功能。Shiro的主要功能模塊如圖。任務(wù)2-3：Shiro核心組件貳Shiro的核心組件包如圖。Subject（主體）：Subject是Shiro的核心概念，代表當(dāng)前與應(yīng)用程序交互的用戶。SecurityManager（安全管理器）：Shiro的核心組件，負(fù)責(zé)管理所有的Subject、認(rèn)證和授權(quán)操作。Realm（領(lǐng)域）：Shiro的數(shù)據(jù)源，負(fù)責(zé)獲取和驗(yàn)證Subject的安全信息。Authenticator（認(rèn)證器）：負(fù)責(zé)對(duì)Su