《Java轻量级框架技术与应用》 课件 项目七 Spring Boot安全机制.pptx

项目七

SpringBoot安全机制

智慧信息管理系统登录认证目录Content1智慧信息管理系统权限管理2

项目导言零在企业级Web应用系统开发中，对系统的安全和权限控制通常是必需的。在开发中小型系统的时候，往往还是优先选择轻量级通用的框架解决方案。

学习目标零知识目标了解JWT的概念；熟悉JWT的认证流程；掌握JJWT库的概念以及使用方法；了解集成权限认证框架的概念；熟悉Shiro功能模块的使用方法；掌握Shiro核心组件的使用场景。能力目标具备SpringBoot整合JJWT实现登录认证的能力；具备使用Shiro完成登录认证的能力。素质目标具备精益求精、坚持不懈的精神；具有独立解决问题的能力；具备灵活的思维和处理分析问题的能力；具有责任心。

任务1：智慧信息管理系统登录认证壹什么是JWT任务技能JWT（JSONWebToken）是一种用于身份验证和授权的开放标准（RFC7519）。JWT认证流程JWT认证流程具体步骤如图。JJWT库简介JJWT（JavaJSONWebToken）是一个用于创建和解析JSONWebToken（JWT）的Java库，JJWT库提供了一组API，可以方便地创建、解析和验证JWT。

任务1-1：什么是JWT壹JWT（JSONWebToken）是一种用于身份验证和授权的开放标准（RFC7519）。它是一种紧凑的、自包含的方式，用于在双方之间安全传输JSON格式的信息，可以对数据进行可选的数字加密。官网：https://jwt.io/introduction/。JWT由三部分组成：头部（Header）载荷（Payload）签名（Signature）JWT

任务1-1：什么是JWT壹自包含：JWT中包含了所有必要的信息，服务器不需要在数据库中查找用户信息。轻量级：JWT的数据量相对较小，适合在网络中传输。?安全性：JWT的签名可以保证令牌的完整性和真实性，防止被篡改。?可扩展：JWT的载荷可以包含自定义的声明信息，满足不同场景的需求。JWT优点

任务1-2：JWT认证流程壹JWT认证流程如下。第一步：客户端使用用户名和密码向服务器发送登录请求。第二步：服务器验证用户名和密码，如果验证通过，则生成一个JWT，并将其发送给客户端。客户端将JWT保存在cookie或localStorage中。第三步：请求系统API携带JWT向服务器发送请求，将其放入HTTP标头的授权位。第四步：服务器接收到请求后，解析JWT，并验证其签名。第五步：如果签名验证成功，并且JWT中包含的有效期也没有过期，则认为该请求是合法的，则执行业务逻辑，并响应数据给前端，前端对数据进行展示。第六步：如果验证失败，则返回错误消息，前端对错误消息进行展示并跳转到登录界面。

任务1-3：JJWT库简介壹JJWT（JavaJSONWebToken）是一个用于创建和解析JSONWebToken（JWT）的Java库，JJWT库提供了一组API，可以方便地创建、解析和验证JWT。JJWT库的特点包括：简单易用JJWT库提供了简洁的API，使开发人员可以轻松地创建和解析JWT可扩展性JJWT库提供了灵活的API，可以自定义头部和负载的内容，并支持自定义的加密和签名算法。支持各种算法JJWT库支持多种加密算法和签名算法，如HMAC、RSA和ECDSA，以满足不同的安全需求。高性能JJWT库采用了高效的算法和数据结构，以提高性能和吞吐量。

任务2：智慧信息管理系统权限管理贰集成权限认证框架任务技能集成权限认证框架是为了实现身份验证和授权功能而设计的，它可以帮助应用程序安全地管理用户身份和访问权限。Shiro功能模块ApacheShiro是一个Java安全框架，可以实现用户认证、授权、加密和会话管理等功能。Shiro核心组件Shiro的核心组件包，它们共同协作以提供身份验证、授权和会话管理等安全功能。

任务2-1：集成权限认证框架贰集成权限认证框架是为了实现身份验证和授权功能而设计的，它可以帮助应用程序安全地管理用户身份和访问权限。以下是一些常见的集成权限认证框架：SpringSecurity基于Spring框架的安全框架，提供了广泛的功能，包括身份验证、授权、密码加密、会话管理等。Shiro轻量级的Java安全框架，提供了身份验证、授权、加密、会话管理等基本功能，并支持多种认证方式。ApacheCAS开源的轻量级身份验证和单点登录系统，支持多种协议和平台。Okta云身份验证和授权平台，提供了身份验证、授权、多因素认证等功能。Auth0：Auth0身份验证和授权平台，支持多种认证方式，并提供了丰富的的事件和用户属性。

任务2-2：Shiro功能模块贰ApacheShiro是一个强大且易于使用的Java