随着微服务架构的普及和前后端分离的趋势，越来越多的项目开始采用无状态的认证机制，其中JSON Web Token（JWT）成为了一种流行的选择。与此同时，Apache Shiro作为一个强大且易于使用的Java安全框架，仍然被广泛应用于企业级应用的安全管理中。

1. JWT简介

JWT是一种开放标准（RFC 7519），用于在各方之间安全地传输信息。JWT由三个部分组成：头部（Header）、载荷（Payload）和签名（Signature）。JWT的最大特点是它是自包含的，这意味着所有必要的信息都存储在令牌本身内，因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享（CORS）场景下的认证。

2. Apache Shiro概述

Apache Shiro是一个强大且易用的Java安全框架，提供了认证、授权、加密和会话管理功能。Shiro的设计目的是让开发人员能够轻松地处理安全相关的问题，而无需深入理解底层的安全细节。Shiro支持多种认证机制，包括传统的基于会话的认证以及无状态的认证，如JWT。

3. JWT与Shiro的集成

要在Java项目中使用JWT和Shiro，需要完成以下几个步骤：

3.1 引入依赖

首先，在项目的pom.xml文件中添加Shiro和JWT相关的依赖库。例如，使用jjwt库来处理JWT操作：

<dependencies><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.7.1</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.2</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.2</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId><version>0.11.2</version></dependency>
</dependencies>

3.2 配置Shiro

接下来，需要配置Shiro以支持JWT。这通常涉及到创建自定义的Realm来处理JWT认证逻辑，并设置过滤器链来决定哪些URL需要认证。

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;public class JwtRealm extends AuthorizingRealm {@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String jwt = (String) token.getPrincipal();Claims claims = Jwts.parser().setSigningKey("your-secret-key").parseClaimsJws(jwt).getBody();// 验证JWT有效性...if (claims != null) {return new SimpleAuthenticationInfo(claims.getSubject(), jwt, getName());}throw new AuthenticationException("Invalid JWT token");}
}

3.3 创建JWT

为了生成JWT，可以利用io.jsonwebtoken库提供的方法：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;public String createJwt(String username) {return Jwts.builder().setSubject(username).signWith(SignatureAlgorithm.HS256, "your-secret-key").compact();
}

3.4 验证JWT

每当收到客户端的请求时，都需要验证JWT是否有效。这通常在过滤器中实现：

import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;public class JwtFilter extends BasicHttpAuthenticationFilter {@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {HttpServletRequest httpServletRequest = (HttpServletRequest) request;String token = httpServletRequest.getHeader("Authorization");try {if (token == null || !validateToken(token)) {return false;}} catch (Exception e) {return false;}return true;}private boolean validateToken(String token) {// 在这里实现JWT验证逻辑...return true; // 示例代码}
}

4. 总结

通过上述步骤，可以在Java项目中实现基于JWT和Shiro的安全认证机制。这种做法的好处在于它不仅简化了认证过程，而且提高了系统的可扩展性和安全性。需要注意的是，实际项目中还需要考虑更多的细节，比如JWT的过期处理、刷新机制等。此外，为了保证安全性，应该使用足够复杂的密钥，并且定期更换密钥。