Shiro是一个关于java的安全框架，可以实现用户的认证和授权，简单易用。

首先导入依赖

        <dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.4.1</version></dependency><!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt --><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency><!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>4.4.0</version></dependency>

JwtRealm 验证配置

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String jwt = (String) token.getPrincipal();if (jwt == null) {throw new NullPointerException("jwtToken 不允许为空");}// 判断if (!jwtUtil.isVerify(jwt)) {throw new UnknownAccountException();}// 可以获取username信息，并做一些处理String username = (String) jwtUtil.decode(jwt).get("username");logger.info("鉴权用户 username：{}", username);return new SimpleAuthenticationInfo(jwt, jwt, "JwtRealm");
}

在 doGetAuthenticationInfo 方法中，使用 jwtUtil.isVerify(jwt) 方法做验证处理。

JwtFilter 过滤器

public class JwtFilter extends AccessControlFilter {private Logger logger = LoggerFactory.getLogger(JwtFilter.class);/*** isAccessAllowed 判断是否携带有效的 JwtToken* 所以这里直接返回一个 false，让它走 onAccessDenied 方法流程*/@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {return false;}/*** 返回结果为true表明登录通过*/@Overrideprotected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {HttpServletRequest request = (HttpServletRequest) servletRequest;// 如果你设定的 token 放到 header 中，则可以这样获取；request.getHeader("Authorization");JwtToken jwtToken = new JwtToken(request.getParameter("token"));try {// 鉴权认证getSubject(servletRequest, servletResponse).login(jwtToken);return true;} catch (Exception e) {logger.error("鉴权认证失败", e);onLoginFail(servletResponse);return false;}}/*** 鉴权认证失败时默认返回 401 状态码*/private void onLoginFail(ServletResponse response) throws IOException {HttpServletResponse httpResponse = (HttpServletResponse) response;httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);httpResponse.getWriter().write("Auth Err!");}}

这是一个自定义的 Filter 在 onAccessDenied 获取 request 请求的 token 入参信息，之后调用 getSubject 进行验证处理。

ShiroConfig 启动配置

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();shiroFilter.setSecurityManager(securityManager());shiroFilter.setLoginUrl("/unauthenticated");shiroFilter.setUnauthorizedUrl("/unauthorized");// 添加jwt过滤器Map<String, Filter> filterMap = new HashMap<>();// 设置过滤器【anon\logout可以不设置】filterMap.put("anon", new AnonymousFilter());filterMap.put("jwt", new JwtFilter());filterMap.put("logout", new LogoutFilter());shiroFilter.setFilters(filterMap);// 拦截器，指定方法走哪个拦截器 【login->anon】【logout->logout】【verify->jwt】Map<String, String> filterRuleMap = new LinkedHashMap<>();filterRuleMap.put("/login", "anon");filterRuleMap.put("/logout", "logout");filterRuleMap.put("/verify", "jwt");shiroFilter.setFilterChainDefinitionMap(filterRuleMap);return shiroFilter;
}

这部分是一个设置过滤器和拦截处理，把 jwt 的过滤器设置上，之后拦截指定的 /verify 方法。如果是 /** 就是拦截所有除了 login、logout 配置的其他方法了。通常也是 Web 请求的一些配置操作。

ApiAccessController

@RestController
public class ApiAccessController {private Logger logger = LoggerFactory.getLogger(ApiAccessController.class);@RequestMapping("/authorize")public ResponseEntity<Map<String, String>> authorize(String username, String password) {Map<String, String> map = new HashMap<>();// 模拟账号和密码校验if (!"xyb".equals(username) || !"123".equals(password)) {map.put("msg", "用户名密码错误");return ResponseEntity.ok(map);}// 校验通过生成tokenJwtUtil jwtUtil = new JwtUtil();Map<String, Object> chaim = new HashMap<>();chaim.put("username", username);String jwtToken = jwtUtil.encode(username, 24*60 * 60 * 1000, chaim);map.put("msg", "授权成功");map.put("token", jwtToken);// 返回token码return ResponseEntity.ok(map);}/*** http://localhost:8080/verify?token=*/@RequestMapping("/verify")public ResponseEntity<String> verify(String token) {logger.info("验证 token：{}", token);return ResponseEntity.status(HttpStatus.OK).body("verify success!");}@RequestMapping("/success")public String success(){return "test success by xfg";}
}

 专门用于授权分配Token和验证处理的操作。不过这里的登录目前还没有走数据库，只是简单的验证处理。

测试：http://localhost:8080/authorize?username=xyb&password=123 - 你会获得一个 Token 信息。用于访问 http://localhost/api?token=【添加到这里】 - 这个地址是 Nginx 提供的 

Nginx配置如下：

location /api/ {auth_request /auth;# 鉴权通过后的处理方式proxy_pass http://localhost:8080/success;
}
location = /auth {# 发送子请求到HTTP服务，验证客户端的凭据，返回响应码internal;# 设置参数set $query '';if ($request_uri ~* "[^\?]+\?(.*)$") {set $query $1;}# 验证成功，返回200 OKproxy_pass http://localhost:8080/verify?$query;# 发送原始请求proxy_pass_request_body off;# 清空 Content-Typeproxy_set_header Content-Type "";}

相关类的解释说明；

1. JwtToken：Token 的对象信息，你可以设置用户ID、用户密码
2. JwtRealm：一个自定义的验证服务，需要继承 AuthorizingRealm 类。
3. JwtFilter：自定义的 Filter 过滤器。
4. JwtUtil：token的创建、解析、验证工具类。
5. ShiroConfig：Shiro 的一个配置启动类。
6. ApiAccessController：新增加的API访问准入管理；当访问 OpenAI 接口时，需要进行准入验证。