Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!

最新推荐文章于 2024-08-17 14:07:10 发布
最新推荐文章于 2024-08-17 14:07:10 发布
阅读量901 收藏 8
点赞数 25
文章标签: spring boot vue.js 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85123379/article/details/139581047
版权

1. 跨域

由于开发中前端工程使用 webpack 启了一个服务,所以前后端并不在一个端口下,必然涉及到跨域:

XMLHttpRequest 会遵守同源策略 (same-origin policy). 也即脚本只能访问相同协议 / 相同主机名 / 相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守 CORS(Cross-Origin Resource Sharing) 机制。

解决跨域分两种:

1、server 端是自己开发的,这样可以在在后端增加一个拦截器

@Component

public class CommonIntercepter implements HandlerInterceptor {

private final Logger logger = LoggerFactory.getLogger(this.getClass());

@Override

public boolean preHandle(HttpServletRequest request,

HttpServletResponse response, Object handler) throws Exception {

//允许跨域,不能放在postHandle内

response.setHeader(“Access-Control-Allow-Origin”, “*”);

if (request.getMethod().equals(“OPTIONS”)) {

response.addHeader(“Access-Control-Allow-Methods”, “GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS,PATCH”);

response.addHeader(“Access-Control-Allow-Headers”, “Content-Type, Accept, Authorization”);

}

return true;

}

}

response.setHeader(“Access-Control-Allow-Origin”, “*”);

主要就是在 Response Header 中增加 “Access-Control-Allow-Origin: *”

if (request.getMethod().equals(“OPTIONS”)) {

response.addHeader(“Access-Control-Allow-Methods”, “GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS,PATCH”);

response.addHeader(“Access-Control-Allow-Headers”, “Content-Type, Accept, Authorization”);

}

由于我们在前后端分离中集成了 shiro,因此需要在 headers 中自定义一个’Authorization’字段,此时普通的 GET、POST 等请求会变成 preflighted request,即在 GET、POST 请求之前会预先发一个 OPTIONS 请求,这个后面再说。

https://blog.csdn.net/cc1314_/article/details/78272329

2、server 端不是自己开发的,可以在前端加 proxyTable。

不过这个只能在开发的时候用,后续部署,可以把前端项目作为静态资源放到后端,这样就不存在跨域。

遇到了网上很多人说的,proxyTable 无论如何修改,都没效果的现象。

1、(非常重要)确保 proxyTable 配置的地址能访问,因为如果不能访问,在浏览器 F12 调试的时候看到的依然会是提示 404。

并且注意,在 F12 看到的 js 提示错误的域名,是 js 写的那个域名,并不是代理后的域名。(l 楼主就遇到这个问题,后端地址缺少了查询参数,代理设置为后端地址,然而 F12 看到的错误依然还是本地的域名,并不是代理后的域名)

2、就是要手动再执行一次 npm run dev

4

前后端分离项目中集成 shiro

这里说一下实际开发集成过程中遇到的问题:

1、OPTIONS 请求不带’Authorization’请求头字段:

前后端分离项目中,由于跨域,会导致复杂请求,即会发送 preflighted request,这样会导致在 GET/POST 等请求之前会先发一个 OPTIONS 请求,但 OPTIONS 请求并不带 shiro 的’Authorization’字段(shiro 的 Session),即 OPTIONS 请求不能通过 shiro 验证,会返回未认证的信息。

解决方法:给 shiro 增加一个过滤器,过滤 OPTIONS 请求

public class CORSAuthenticationFilter extends FormAuthenticationFilter {

private static final Logger logger = LoggerFactory.getLogger(CORSAuthenticationFilter.class);

public CORSAuthenticationFilter() {

super();

}

@Override

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

//Always return true if the request’s method is OPTIONSif (request instanceof HttpServletRequest) {

if (((HttpServletRequest) request).getMethod().toUpperCase().equals(“OPTIONS”)) {

return true;

}

}

return super.isAccessAllowed(request, response, mappedValue);

}

@Override

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

HttpServletResponse res = (HttpServletResponse)response;

res.setHeader(“Access-Control-Allow-Origin”, “*”);

res.setStatus(HttpServletResponse.SC_OK);

res.setCharacterEncoding(“UTF-8”);

PrintWriter writer = res.getWriter();

Map<String, Object> map= new HashMap<>();

map.put(“code”, 702);

map.put(“msg”, “未登录”);

writer.write(JSON.toJSONString(map));

writer.close();

return false;

}

}

贴一下我的 config 文件:

@Configuration

public class ShiroConfig {

@Bean

public Realm realm() {

return new DDRealm();

}

@Bean

public CacheManager cacheManager() {

return new MemoryConstrainedCacheManager();

}

/**

  • cookie对象;

  • rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。

  • @return

*/

@Bean

public SimpleCookie rememberMeCookie(){

//System.out.println(“ShiroConfiguration.rememberMeCookie()”);

//这个参数是cookie的名称,对应前端的checkbox的name = rememberMe

SimpleCookie simpleCookie = new SimpleCookie(“rememberMe”);

//

simpleCookie.setMaxAge(259200);

return simpleCookie;

}

/**

  • cookie管理对象;

  • rememberMeManager()方法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中

  • @return

*/

@Bean

public CookieRememberMeManager rememberMeManager(){

//System.out.println(“ShiroConfiguration.rememberMeManager()”);

CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();

cookieRememberMeManager.setCookie(rememberMeCookie());

//rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)

cookieRememberMeManager.setCipherKey(Base64.decode(“2AvVhdsgUs0FSA3SDFAdag==”));

return cookieRememberMeManager;

}

@Bean

public SecurityManager securityManager() {

DefaultWebSecurityManager sm = new DefaultWebSecurityManager();

sm.setRealm(realm());

sm.setCacheManager(cacheManager());

//注入记住我管理器

sm.setRememberMeManager(rememberMeManager());

//注入自定义sessionManager

sm.setSessionManager(sessionManager());

return sm;

}

//自定义sessionManager

@Bean

public SessionManager sessionManager() {

return new CustomSessionManager();

}

public CORSAuthenticationFilter corsAuthenticationFilter(){

return new CORSAuthenticationFilter();

}

@Bean(name = “shiroFilter”)

public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager) {

ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

shiroFilter.setSecurityManager(securityManager);

//SecurityUtils.setSecurityManager(securityManager);

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

//配置不会被拦截的链接,顺序判断

filterChainDefinitionMap.put(“/”, “anon”);

filterChainDefinitionMap.put(“/static/js/**”, “anon”);

filterChainDefinitionMap.put(“/static/css/**”, “anon”);

filterChainDefinitionMap.put(“/static/fonts/**”, “anon”);

filterChainDefinitionMap.put(“/login/**”, “anon”);

filterChainDefinitionMap.put(“/corp/call_back/receive”, “anon”);

//authc:所有url必须通过认证才能访问,anon:所有url都可以匿名访问

filterChainDefinitionMap.put(“/**”, “corsAuthenticationFilter”);

shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

//自定义过滤器

Map<String, Filter> filterMap = new LinkedHashMap<>();

filterMap.put(“corsAuthenticationFilter”, corsAuthenticationFilter());

shiroFilter.setFilters(filterMap);

return shiroFilter;

}

/**

  • Shiro生命周期处理器 * @return

*/

@Bean

public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

}

/**

  • 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return

*/

@Bean

@DependsOn({“lifecycleBeanPostProcessor”})

public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {

DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

advisorAutoProxyCreator.setProxyTargetClass(true);

return advisorAutoProxyCreator;

}

@Bean

public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

return authorizationAttributeSourceAdvisor;

}

}

2、设置 session 失效时间

shiro session 默认失效时间是 30min,我们在自定义的 sessionManager 的构造函数中设置失效时间为其他值

public class CustomSessionManager extends DefaultWebSessionManager {

private static final Logger logger = LoggerFactory.getLogger(CustomSessionManager.class);

private static final String AUTHORIZATION = “Authorization”;

private static final String REFERENCED_SESSION_ID_SOURCE = “Stateless request”;

public CustomSessionManager() {

super();

setGlobalSessionTimeout(DEFAULT_GLOBAL_SESSION_TIMEOUT * 48);

}

@Override

protected Serializable getSessionId(ServletRequest request, ServletResponse response) {

String sessionId = WebUtils.toHttp(request).getHeader(AUTHORIZATION);//如果请求头中有 Authorization 则其值为sessionId

总结

三套“算法宝典”

28天读完349页,这份阿里面试通关手册,助我闯进字节跳动

算法刷题LeetCode中文版(为例)

人与人存在很大的不同,我们都拥有各自的目标,在一线城市漂泊的我偶尔也会羡慕在老家踏踏实实开开心心养老的人,但是我深刻知道自己想要的是一年比一年有进步。

最后,我想说的是,无论你现在什么年龄,位于什么城市,拥有什么背景或学历,跟你比较的人永远都是你自己,所以明年的你看看与今年的你是否有差距,不想做咸鱼的人,只能用尽全力去跳跃。祝愿,明年的你会更好!

由于篇幅有限,下篇的面试技术攻克篇只能够展示出部分的面试题,详细完整版以及答案解析,有需要的可以关注

2401_85123379
关注
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
SpringBoot + Shiro实现后端全分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现后端全分离接口安全。
springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题
最新发布
DN金猿的博客
08-17 154
2、sessionId问题,因前后端分离无法使用cookie,所以修改为登陆校验后返回sessionId给前端,前端拿到sessionId后放在请求头中,后端重写 DefaultWebSessionManager 中的 getSessionId 方法,从请求头中获取对应的sessionId。前端调用后台接口后,发现没有鉴权的请求,直接302错误,并没有对应的返回值,所以下面针对302问题进行解决。此文为我在改造springboot+shiro整合适用前后端分离项目中的记录,如果有错误的地方,还请及时指出。
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 533
作者|GIT提交不上|简书一、Shiro简介  Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
shiro前后端分离模式
weixin_42510217的博客
11-25 1242
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
SpringBoot 整合 shiro 前后端分离
爱码猿的博客
06-28 806
SpringBoot 整合 shiro 前后端分离 最近看了个 github 的开源项目,里面就使用到了shiro实现前后端分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。 虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址:https://github.com/zykzhangyukang/Xinguan 1.导入依赖,编写工具类 Mavne 依赖 <!-- 前后端分离 采用 jwt生成token--> .
基于Spring Boot+Vue+Shiro实现前后端分离的代码生成器项目源码+详细文档,可根据数据库字段动态生成各类型代码
10-20
基于Spring Boot+Vue+Shiro实现前后端分离的代码生成器项目源码,可根据数据库字段动态生成各种类型代码 该项目可根据数据库字段动态生成 controller、mapper、service、html、jsp、vue、php、.py ... 等各种类型...
基于springboot+vue实现进销存管理系统前后端分离(springboot+vue+mybatis+JWT+shiro)
08-24
系统功能如下: ┌─销售管理 │ ├─销售报价 │ ├─销售订单 │ └─销售统计 ├─采购管理 │ ├─采购申请 │ ├─采购询价 │ ├─采购报价 │ ├─采购比价 │ ├─采购订单 │ ├─采购预付申请 ...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。SpringbootVue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot+shiro+boostrap+vue.js
09-28
此项目采用的是springboot+shiro+boostrap+vue.js 对于初学springboot,vue.js 的同学有很大的帮助,该项目采用的是maven 项目中有sql脚本,直接部署运行近可以跑起来了,登录用户名和密码都是admin
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7387
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2729
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
前后端分离SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 3048
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
SpringBoot 集成 Shiro 实现前后端分离
进阶的球儿
09-27 4918
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目是前后端分离的,所以要求做到实现前后端分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro 做授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
Spring Boot + Shiro + Vue实现的RBAC权限管理系统
资源摘要信息: "基于Spring BootShiroVue的权限管理系统是一个综合性的后台管理系统开发项目,该项目结合了Spring Boot作为后端开发框架,Shiro作为安全框架以及Vue作为前端用户界面框架,共同实现了一个完整的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值