SpringCloud+shiro+前后端分离

最新推荐文章于 2024-04-03 09:37:13 发布
最新推荐文章于 2024-04-03 09:37:13 发布
阅读量657 收藏 3
点赞数
分类专栏: SpringCloud开发 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JUST_lOVE_LE/article/details/108460028
版权

采用json web token的形式解决前后端缓存问题及缓存一致性问题。具体可以看我之前写的:JSON WEB TOKEN解决跨域、缓存一致性问题

首先简单介绍下shiro的关键概念
Subject:用户主体(把操作交给SecurityManager)
SecurityManager:安全管理器(关联Realm)
Realm: Shiro连接数据的桥梁
配置pom文件:

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.0</version>
</dependency>

弄一个包专门写个shiro的配置类,这里新建一个com.hykj.fiserver.env.shiro:

@Configuration
public class Config {
	/**
	 * 常用的过滤器:
	 * 	anon:无需认证就能访问 
	 *	authc:必须认证了才能访问 user:必须拥有记住我功能才能访问 
	 *	perms:拥有对每个资源的权限才能访问
	 *	role:拥有某个角色权限才能访问
	 * @return
	 */
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean() {
		
		ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
		bean.setSecurityManager(securityManager());
		LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();// 添加一个拦截器
		filterMap.put("/loginAction/login", "anon");//登录的话无需认证就能访问
		filterMap.put("/**", "authc");//拦截所有请求,有认证才能登录
		//这里没有启用授权过滤器,就是写个例子
		//filterMap.put("/user/add", "perms[user:add]");
		bean.setFilterChainDefinitionMap(filterMap);
		// 设置登录请求,这里是被拦截后回转的页面
		bean.setLoginUrl("/loginAction/loginError");
		// 设置未授权页面,这里是未授权跳转的页面,没有启动
		bean.setUnauthorizedUrl("/loginAction/noauth");
		return bean;
	}

	/**
	 * 安全管理器
	 * @return
	 */
	@Bean
	public DefaultWebSecurityManager securityManager() {
		
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setSessionManager(sessionManager());
		securityManager.setRealm(userRealm());
		return securityManager;
	}
	
	@Bean
	public SessionManager sessionManager() {
		
		 TokenSessionManager tokenSessionManager = new TokenSessionManager();
	     return tokenSessionManager; 
	}

	@Bean
	public UserRealm userRealm() {
		return new UserRealm();
	}
}

接下来写UserRealm
public class UserRealm extends AuthorizingRealm {
	
	private final static Log _logger = LogFactory.getLog(UserRealm.class);

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//这里是权限认证的地方,我项目中没有使用shiro的权限认证
		System.out.println("执行授权");
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		// info.addStringPermission("user:add");
		// 拿到当前登录的用户
		Subject subject = SecurityUtils.getSubject();
		UserCache currentUser = (UserCache) subject.getPrincipal();
		info.addStringPermission(currentUser.getOpId());
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//subject.login(token);一定会到这里来,这里就是验证登录的地方
		UserCache user = new UserCache();
		user.setOpId("test");
		user.setUserPassword("1234");
		user.setUserName("test");
		UsernamePasswordToken userToken = (UsernamePasswordToken) token;
		//这里要判断用户名和密码了,通常是去数据库核对用户名和密码了
		if(!new String(userToken.getUsername()).equals(user.getUserName())) {
			//用户名错误
			throw new UnknownAccountException();
		}
		
		
		if (!new String(userToken.getPassword()).equals(user.getUserPassword())) {
			//密码错误
			throw new IncorrectCredentialsException(); 
		}

		return new SimpleAuthenticationInfo(user, user.getUserPassword(), "");
	}

}

token就是配置在这里了,要求前端在头中加入token

public class TokenSessionManager extends DefaultWebSessionManager {
 
 private static final String TOKEN = "token";
 
 private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
 
 private final static Log _logger = LogFactory.getLog(TokenSessionManager.class);
 
 public TokenSessionManager() {
  super();
 }
 
 @Override
 public Serializable getSessionId(ServletRequest request, ServletResponse response) {
  // 
  String token = WebUtils.toHttp(request).getHeader(TOKEN);
  // 前端请求头必须传入token的值,把他的值当做是sessionId
  if (!StringUtils.isEmpty(token)) {
   
   request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
   request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);
   request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
   _logger.info("token=" + token);
   return token;
  } else {
   
   _logger.info("token为空");
   return null;
   // 否则按默认规则从cookie取sessionId
   //return super.getSessionId(request, response);
  }
 }
}

接下来进行测试,注意以下几点:
1.UserRealm做的user 其id为test,密码为1234,要都匹配才能过
2.登录失败是返回/loginAction/loginError,该接口返回一个字符串,如下代码:

	@RequestMapping(value = "/loginError", produces = "application/json; charset=utf-8")
	@ResponseBody
	public String loginError(@RequestHeader("token") String token) {
		return "hello world loginError; token = " + token;
	}

3./loginAction/login接口是不会被拦截的,其他请求会被拦截
测试工具:apipost
测试地址1:http://localhost:13001/FIServer/loginAction/userTest

	@RequestMapping(value = "/userTest", produces = "application/json; charset=utf-8")
	@ResponseBody
	public String userTest() {
		return "hello world Test";
	}

测试1结果

因为不是loginAction/login所以被拦截了,虽然有token但还是被转发到loginError
测试地址2:http://localhost:13001/FIServer/loginAction/login?username=testname&password=12345

	@RequestMapping(value = "/login", produces = "application/json; charset=utf-8")
	@ResponseBody
	public String login(String username, String password, HttpServletRequest request) {
		// 获取当前的用户
		Subject subject = SecurityUtils.getSubject();
		// 封装用户的登录数据
		UsernamePasswordToken userToken = new UsernamePasswordToken(username, password);
		
		try {
			subject.login(userToken);
			UserCache user = (UserCache) subject.getPrincipal();
			System.out.println(user.getOpId());
			String token = _jwtTokenUtil.createToken(getJSON(user));
			return "登录成功token=" + token;
		} catch (UnknownAccountException e) {
			return "用户名错误";
		} catch (IncorrectCredentialsException e) {
			return "密码错误";
		}
	}

测试2结果

很明显因为密码不是1234所以一定会返回用户名错误

测试地址3:http://localhost:13001/FIServer/loginAction/login?username=test&password=1234
测试3结果

这次就没有问题啦,注意登录的时候是没有token的,并且还会生产token返回给前端,就是图中看不懂的那一堆字符

北落师门_Orz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro如何返回token给前端_Spring Boot整合Shiro实现前后端分离
weixin_28738021的博客
01-16 2790
作者|GIT提交不上|简书一、Shiro简介  Apache ShiroJava的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
shiro如何返回token给前端_前后端分离架构下,如何通过shiro进行认证和权限控制?...
weixin_30824577的博客
01-25 2982
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理,无论什么时候,用户认证和权限控制都是一个永恒的话题,前后端分离是当前很火的一种开发模式,便于前、后端人员专注于自己的逻辑实现,也更有利于大规模协作开发,在此开发模式下,如何使用shiro呢?本文的方案基于token认证授权,来自于实际项目,现将主要思路整理出来分享给大家,欢迎探讨,如需要源码请私信...
Spring Cloud微服务分布式物联网平台前后端分离源码
最新发布
2401_83947434的博客
04-03 256
还有更多的Redis、MySQL、JVM、Kafka、微服务、Spring全家桶等学习笔记这里就不一一列举出来JAVA架构专题的面试点+解析+我的一些学习的书籍资料**[外链图片转存中…(img-iLK7YiWm-1712108222689)]还有更多的Redis、MySQL、JVM、Kafka、微服务、Spring全家桶等学习笔记这里就不一一列举出来。
前后分离,使用自定义token作为shiro认证标识,实现springboot整合shiro
weixin_33704591的博客
06-06 1336
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro如何返回token给前端_Spring Boot+OAuth2,如何自定义返回的 Token 信息?
weixin_35810012的博客
01-09 654
在本系列前面的文章中,正常情况下,OAuth2 返回的 access_token 信息一共包含五项:分别是:access_tokentoken_typerefresh_tokenexpires_inscope具体如下:{"access_token":"b9c9e345-90c9-49f5-80ab-6ce5ed5a07c9","token_type":"bearer",...
Springboot+Vue前后端分离实现token登录验证和状态保存
qq_40348465的博客
12-14 6988
token可用于登录验证和权限管理。 大致步骤分为: 前端登录,post用户名和密码到后端。 后端验证用户名和密码,若通过,生成一个token返回给前端。 前端拿到token用vuex和localStorage管理,登录成功进入首页。 之后前端每一次权限操作如跳转路由,都需要判断是否存在token,若不存在,跳转至登录页。 前端之后的每一个对后端的请求都要在请求头上带上token,后端查...
Spring Cloud + React+ Mysql写的一个中型的游戏分享网站源码.zip
05-19
写一个中型的游戏分享网站 后端技术运用Spring+SpringMVC+SpringBoot + SpringCloud微服务全家桶 数据库中间件Mybatis 缓存数据库Redis(未来可能引入MongoDB做消息缓存及日志处理) 数据库MysSQL 安全框架Shiro ......
Springboot+Vue+Shiro+ElementUI前后端分离权限快速上手项目实战开发
06-15
适用人群Java开发人员,Vue开发人员,前后端分离开发人员,权限管理和配置开发人员 课程概述【讲师介绍】讲师职称: 现某知名大型互联网公司资深架构师,技术总监,职业规划师,首席面试官,曾在某上市培训机构,...
springcloud-hichat(前后端分离
10-25
核心框架:Spring Boot Spring Cloud(用到的组件有eureka、feign、zuul、hystrix、ribbon) 安全框架:Apache Shiro 持久层框架:MyBatis 数据库连接池:Alibaba Druid 缓存框架:Redis 日志管理:logback 数据库:...
word源码java-jeecg-boot:SpringCloud+Vue
06-05
SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发! JeecgBoot 引领新的低代码开发模式(OnlineCoding-> 代码生成器-> ...
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud,认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
热门推荐
长草颜团子
07-14 12万+
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码...
使用shiro前后端分离时,获取不到session
qq_34763130的博客
04-30 3214
前端必须要在ajax请求里加上xhrFields: {withCredentials: true}, crossDomain: true。 $.ajax({ url: xxx/xxx // 将XHR对象的withCredentials设为true xhrFields: { withCredentials: true }, crossDomain: true...
shiro登录后 返回旧地址_Spring Security 实战干货:登录后返回 JWT Token
weixin_39906130的博客
11-21 135
我是 码农小胖哥。天天有编程干货分享。觉得写的不错。点个赞,转发一下,关注一下。本文为个人原创文章,转载请注明出处,非法转载抄袭将追究其责任。1. 前言欢迎阅读 https://www.felord.cn/categories/spring-security/,https://www.felord.cn/spring-security-custom-jwt.html 我们实现了 JWT 工具。本篇...
spring-shiro记住我功能(session无法获取)
xqhys的博客
08-14 3772
转载:https://blog.csdn.net/u011277123/article/details/70214599 it浪子号 2017-04-09 18:57 记住我功能在各大网站是比较常见的,实现起来也是大同小异,主要就是利用cookie来实现,而shiro对记住我功能的实现也是比较简单的,只需要几步即可。 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些...
shiro 前后端分离不能用session_springbootshiro前后端分离跳转和异常处理
weixin_35773916的博客
01-25 522
因为前后端分离所以要重写sessionId的获取方式public class MySessionManager extends DefaultWebSessionManager { /** * * 获取session id * token */ @Override protected Serializable getSessionId(Serv...
Shiro获取不到用户问题/不同请求不同session
MOKE_SPACE
07-16 4425
这个问题困扰了我好久,看源码从线程分析到Session,最后确定是 session 的问题,我发现每次在 swagger 请求后,后台的 Shiro 都是重新创建一个 session,且没有把用户信息更新到新的 session 中。 也就是说,swagger 的每次请求是没有携带 JSESSIONID 的,而无意间听到前辈说,后端 swagger 一般是不会出现跨域问题,而我却为 swagger ...
springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题
wmy_0707的博客
08-28 6291
近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。 下面记录在整个过程中涉及的几个大问题:1、跨域问题 2、sessionId问题 3、302鉴权问题 1、springboot跨域问题解决 package net.sino...
spring boot + shiro便利店系统
05-16
Spring Boot是一个开源的Java框架,可以在极短的时间内创建一个独立的、基于Spring的应用程序。Shiro是一个强大的、易用的Java安全框架,提供身份验证、授权、Session管理等功能。便利店系统是一个类似超市的零售店,提供快捷购买各种日常用品、食品等商品的服务。将这三者结合起来,可以快速创建极具安全性和高度可定制性的便利店系统。 在Spring Boot中,可以使用各种开发和扩展组件,如开发Web服务(RESTful服务)、使用Spring Data来访问数据库等。借助Shiro,可以实现用户身份验证和授权、密码加密、单点登录等功能。整合ShiroSpring Boot,可以轻松整合安全框架到应用,从而为便利店系统提供可靠的安全控制。 对于便利店系统,需要实现全面管理功能,如商品销售管理、库存管理、用户信息管理、供应商管理等。在这里,可以使用Spring BootShiro来创建一个基于Web的应用程序,实现所有的管理和操作。使用Spring Boot自带的Thymeleaf视图模版和Shiro的安全控制机制,可以创建适用于多用户、多角色的便利店系统。 综上所述,使用Spring BootShiro创建便利店系统是一个非常可行的选择。这种结合可以为应用程序提供高效、易于扩展的架构,同时保障系统的安全性和可靠性,提高开发效率,为用户提供优质的购物体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值