Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!

于 2024-09-02 03:04:49 发布
阅读量1.1k 收藏 15
点赞数 9
文章标签: spring boot vue.js 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86354018/article/details/141793530
版权

Springboot 就不再赘述了,Controller 层返回 Json 数据。

@RequestMapping(value = “/add”, method = RequestMethod.POST)

@ResponseBody

public JSONResult addClient(@RequestBody String param) {

JSONObject jsonObject = JSON.parseObject(param);

String task = jsonObject.getString(“task”);

List list = jsonObject.getJSONArray(“attributes”);

List attrList = new LinkedList(list);

Client client = JSON.parseObject(jsonObject.getJSONObject(“client”).toJSONString(),new TypeReference(){});

clientService.addClient(client, task, attrList);

return JSONResult.ok();

}

Post 请求使用 @RequestBody 参数接收。

3

前端

主要参考:

https://cn.vuejs.org/v2/guide/

https://github.com/PanJiaChen/vue-admin-template/blob/master/README-zh.md

https://github.com/PanJiaChen/vue-element-admin

这里主要说一下开发工程中遇到的问题:

1. 跨域

由于开发中前端工程使用 webpack 启了一个服务,所以前后端并不在一个端口下,必然涉及到跨域:

XMLHttpRequest 会遵守同源策略 (same-origin policy). 也即脚本只能访问相同协议 / 相同主机名 / 相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守 CORS(Cross-Origin Resource Sharing) 机制。

解决跨域分两种:

1、server 端是自己开发的,这样可以在在后端增加一个拦截器

@Component

public class CommonIntercepter implements HandlerInterceptor {

private final Logger logger = LoggerFactory.getLogger(this.getClass());

@Override

public boolean preHandle(HttpServletRequest request,

HttpServletResponse response, Object handler) throws Exception {

//允许跨域,不能放在postHandle内

response.setHeader(“Access-Control-Allow-Origin”, “*”);

if (request.getMethod().equals(“OPTIONS”)) {

response.addHeader(“Access-Control-Allow-Methods”, “GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS,PATCH”);

response.addHeader(“Access-Control-Allow-Headers”, “Content-Type, Accept, Authorization”);

}

return true;

}

}

response.setHeader(“Access-Control-Allow-Origin”, “*”);

主要就是在 Response Header 中增加 “Access-Control-Allow-Origin: *”

if (request.getMethod().equals(“OPTIONS”)) {

response.addHeader(“Access-Control-Allow-Methods”, “GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS,PATCH”);

response.addHeader(“Access-Control-Allow-Headers”, “Content-Type, Accept, Authorization”);

}

由于我们在前后端分离中集成了 shiro,因此需要在 headers 中自定义一个’Authorization’字段,此时普通的 GET、POST 等请求会变成 preflighted request,即在 GET、POST 请求之前会预先发一个 OPTIONS 请求,这个后面再说。

https://blog.csdn.net/cc1314_/article/details/78272329

2、server 端不是自己开发的,可以在前端加 proxyTable。

不过这个只能在开发的时候用,后续部署,可以把前端项目作为静态资源放到后端,这样就不存在跨域。

遇到了网上很多人说的,proxyTable 无论如何修改,都没效果的现象。

1、(非常重要)确保 proxyTable 配置的地址能访问,因为如果不能访问,在浏览器 F12 调试的时候看到的依然会是提示 404。

并且注意,在 F12 看到的 js 提示错误的域名,是 js 写的那个域名,并不是代理后的域名。(l 楼主就遇到这个问题,后端地址缺少了查询参数,代理设置为后端地址,然而 F12 看到的错误依然还是本地的域名,并不是代理后的域名)

2、就是要手动再执行一次 npm run dev

4

前后端分离项目中集成 shiro

这里说一下实际开发集成过程中遇到的问题:

1、OPTIONS 请求不带’Authorization’请求头字段:

前后端分离项目中,由于跨域,会导致复杂请求,即会发送 preflighted request,这样会导致在 GET/POST 等请求之前会先发一个 OPTIONS 请求,但 OPTIONS 请求并不带 shiro 的’Authorization’字段(shiro 的 Session),即 OPTIONS 请求不能通过 shiro 验证,会返回未认证的信息。

解决方法:给 shiro 增加一个过滤器,过滤 OPTIONS 请求

public class CORSAuthenticationFilter extends FormAuthenticationFilter {

private static final Logger logger = LoggerFactory.getLogger(CORSAuthenticationFilter.class);

public CORSAuthenticationFilter() {

super();

}

@Override

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

//Always return true if the request’s method is OPTIONSif (request instanceof HttpServletRequest) {

if (((HttpServletRequest) request).getMethod().toUpperCase().equals(“OPTIONS”)) {

return true;

}

}

return super.isAccessAllowed(request, response, mappedValue);

}

@Override

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

HttpServletResponse res = (HttpServletResponse)response;

res.setHeader(“Access-Control-Allow-Origin”, “*”);

res.setStatus(HttpServletResponse.SC_OK);

res.setCharacterEncoding(“UTF-8”);

PrintWriter writer = res.getWriter();

Map<String, Object> map= new HashMap<>();

map.put(“code”, 702);

map.put(“msg”, “未登录”);

writer.write(JSON.toJSONString(map));

writer.close();

return false;

}

}

贴一下我的 config 文件:

@Configuration

public class ShiroConfig {

@Bean

public Realm realm() {

return new DDRealm();

}

@Bean

public CacheManager cacheManager() {

return new MemoryConstrainedCacheManager();

}

/**

  • cookie对象;

  • rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。

  • @return

*/

@Bean

public SimpleCookie rememberMeCookie(){

//System.out.println(“ShiroConfiguration.rememberMeCookie()”);

//这个参数是cookie的名称,对应前端的checkbox的name = rememberMe

SimpleCookie simpleCookie = new SimpleCookie(“rememberMe”);

//

simpleCookie.setMaxAge(259200);

return simpleCookie;

}

/**

  • cookie管理对象;

  • rememberMeManager()方法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中

  • @return

*/

@Bean

public CookieRememberMeManager rememberMeManager(){

//System.out.println(“ShiroConfiguration.rememberMeManager()”);

CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();

cookieRememberMeManager.setCookie(rememberMeCookie());

//rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)

cookieRememberMeManager.setCipherKey(Base64.decode(“2AvVhdsgUs0FSA3SDFAdag==”));

return cookieRememberMeManager;

}

@Bean

public SecurityManager securityManager() {

DefaultWebSecurityManager sm = new DefaultWebSecurityManager();

sm.setRealm(realm());

sm.setCacheManager(cacheManager());

//注入记住我管理器

sm.setRememberMeManager(rememberMeManager());

//注入自定义sessionManager

sm.setSessionManager(sessionManager());

return sm;

}

//自定义sessionManager

@Bean

public SessionManager sessionManager() {

return new CustomSessionManager();

}

public CORSAuthenticationFilter corsAuthenticationFilter(){

return new CORSAuthenticationFilter();

}

@Bean(name = “shiroFilter”)

public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager) {

ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

shiroFilter.setSecurityManager(securityManager);

//SecurityUtils.setSecurityManager(securityManager);

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

//配置不会被拦截的链接,顺序判断

filterChainDefinitionMap.put(“/”, “anon”);

filterChainDefinitionMap.put(“/static/js/**”, “anon”);

filterChainDefinitionMap.put(“/static/css/**”, “anon”);

filterChainDefinitionMap.put(“/static/fonts/**”, “anon”);

filterChainDefinitionMap.put(“/login/**”, “anon”);

filterChainDefinitionMap.put(“/corp/call_back/receive”, “anon”);

//authc:所有url必须通过认证才能访问,anon:所有url都可以匿名访问

filterChainDefinitionMap.put(“/**”, “corsAuthenticationFilter”);

shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

//自定义过滤器

Map<String, Filter> filterMap = new LinkedHashMap<>();

filterMap.put(“corsAuthenticationFilter”, corsAuthenticationFilter());

shiroFilter.setFilters(filterMap);

return shiroFilter;

}

/**

  • Shiro生命周期处理器 * @return

*/

@Bean

public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

}

/**

  • 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return

*/

@Bean

@DependsOn({“lifecycleBeanPostProcessor”})

public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {

DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

advisorAutoProxyCreator.setProxyTargetClass(true);

return advisorAutoProxyCreator;

}

@Bean

public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

return authorizationAttributeSourceAdvisor;

}

}

2、设置 session 失效时间

shiro session 默认失效时间是 30min,我们在自定义的 sessionManager 的构造函数中设置失效时间为其他值

public class CustomSessionManager extends DefaultWebSessionManager {

private static final Logger logger = LoggerFactory.getLogger(CustomSessionManager.class);

private static final String AUTHORIZATION = “Authorization”;

private static final String REFERENCED_SESSION_ID_SOURCE = “Stateless request”;

public CustomSessionManager() {

super();

setGlobalSessionTimeout(DEFAULT_GLOBAL_SESSION_TIMEOUT * 48);

}

@Override

protected Serializable getSessionId(ServletRequest request, ServletResponse response) {

String sessionId = WebUtils.toHttp(request).getHeader(AUTHORIZATION);//如果请求头中有 Authorization 则其值为sessionId

if (!StringUtils.isEmpty(sessionId)) {

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);

return sessionId;

} else {

//否则按默认规则从cookie取sessionId

return super.getSessionId(request, response);

}

}

}

2401_86354018
关注
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。SpringbootVue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
SpringBoot + Shiro实现后端全分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现后端全分离接口安全。
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 530
作者|GIT提交不上|简书一、Shiro简介  Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
shiro前后端分离模式
最新发布
weixin_42510217的博客
11-25 1223
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
基于Spring Boot+Vue+Shiro实现前后端分离的代码生成器项目源码+详细文档,可根据数据库字段动态生成各类型代码
10-20
基于Spring Boot+Vue+Shiro实现前后端分离的代码生成器项目源码,可根据数据库字段动态生成各种类型代码 该项目可根据数据库字段动态生成 controller、mapper、service、html、jsp、vue、php、.py ... 等各种类型...
基于springboot+vue实现进销存管理系统前后端分离(springboot+vue+mybatis+JWT+shiro)
08-24
系统功能如下: ┌─销售管理 │ ├─销售报价 │ ├─销售订单 │ └─销售统计 ├─采购管理 │ ├─采购申请 │ ├─采购询价 │ ├─采购报价 │ ├─采购比价 │ ├─采购订单 │ ├─采购预付申请 ...
SpringBoot 整合 shiro 前后端分离
爱码猿的博客
06-28 797
SpringBoot 整合 shiro 前后端分离 最近看了个 github 的开源项目,里面就使用到了shiro实现前后端分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。 虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址:https://github.com/zykzhangyukang/Xinguan 1.导入依赖,编写工具类 Mavne 依赖 <!-- 前后端分离 采用 jwt生成token--> .
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot+shiro+boostrap+vue.js
09-28
此项目采用的是springboot+shiro+boostrap+vue.js 对于初学springboot,vue.js 的同学有很大的帮助,该项目采用的是maven 项目中有sql脚本,直接部署运行近可以跑起来了,登录用户名和密码都是admin
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7365
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2722
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
前后端分离SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 3045
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值