SpringBoot前后端分离下使用shiro

最新推荐文章于 2024-05-18 16:43:58 发布
最新推荐文章于 2024-05-18 16:43:58 发布
阅读量4k 收藏 17
点赞数 2
分类专栏: springboot 文章标签: springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WayneLee0809/article/details/85070308
版权

前言

很久之前就接触shiro了,那时候还停留在jsp,servlet阶段,后来到了ssm,web.xml里要配置好多东西。终于有一天,开启了SpringBoot的大门,前后端分离模式也就成了工作的内容。说实话,shiro原生不太支持前后端分离模式,源码里默认的登录页面是login.jsp,这就很尴尬了,不过,改一改还是能用的。本文主要讲的是如何在前后端分离的情况下使用shiro,而不是springboot下如何使用shiro的。

一、shiro的session处理

shiro的session是自定义的,和HttpServletRequest的cookie里的JSESSIONID有关。安卓不太支持cookie,所以为了能适配安卓应用以及其他无法携带cookie的请求,我们要重写shiro获取session的方法。

public class MySessionManager extends DefaultWebSessionManager {
	
	private Logger logger = LoggerFactory.getLogger(getClass());
	
	private static final String AUTHORIZATION = "Authorization";  
	  
	private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";  
	  
	public MySessionManager() {  
		super();  
	}  
	
	/**
	 * @param request
	 * @param response
	 * @return
	 */
	@Override
	protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
		String id=WebUtils.toHttp(request).getHeader(AUTHORIZATION);
		//如果请求头中有 Authorization 则其值为sessionId 
		if (!StringUtils.isEmpty(id)) {//id不为空
			logger.info("请求头中获取sessionId");
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
			return id;
		}else{
			 //否则按默认规则从cookie取sessionId  
			logger.info("默认方式获取sessionId");
			return super.getSessionId(request, response);
		}
	}
}

先看看请求头中有没有,有的话就拿出来放到shiro的session里,没有就用默认的方法获取session。、

二、自定义登录控制

shiro是控制登录的页面的,默认登录页面为login.jsp。但是我们是前后端分离,所以后台不用管页面的跳转。shiro有几个默认的过滤器:

anon(AnonymousFilter.class),
authc(FormAuthenticationFilter.class),
authcBasic(BasicHttpAuthenticationFilter.class),
logout(LogoutFilter.class),
noSessionCreation(NoSessionCreationFilter.class),
perms(PermissionsAuthorizationFilter.class),
port(PortFilter.class),
rest(HttpMethodPermissionFilter.class),
roles(RolesAuthorizationFilter.class),
ssl(SslFilter.class),
user(UserFilter.class);

控制登录的是FormAuthenticationFilter这个类,在源码的onAccessDenied方法中,用户未登录则直接重定向到loginUrl,为了不让他重定向,我们只要继承这个类,重写它的onAccessDenied方法就可以了。

public class MyAuthenticationFilter extends FormAuthenticationFilter {


	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
		return super.isAccessAllowed(request, response, mappedValue);
	}
	
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            
        Subject subject = SecurityUtils.getSubject();
        Object user = subject.getPrincipal();

        if (Objects.equals(user, null)) {
            Map<String, Object> result = new HashMap<String, Object>();
            result.put("code", 101);
            result.put("msg", "未登录");
            result.put("data",null);
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
      httpServletResponse.getWriter().write(JSONObject.toJSONString(result,SerializerFeature.WriteMapNullValue));
        }

        return false;
	}
}

这里我们是直接返回了一些字段信息,告诉前端程序员用户未登录,让他们控制页面跳转至登录页面。切记,一定要把这个自定义的登录控制过滤器加进shiro的filterChainDefinitionMap里,不然没有作用的。

然后在controller的登录方法里调用subject的login方法就可以了。

	@PostMapping("/login")
	public ResultBO<Object> userLogin(@RequestParam String username,
									  @RequestParam String password)throws Exception{
		
		try {
			
			Subject subject = SecurityUtils.getSubject();
			UsernamePasswordToken token = new UsernamePasswordToken(username, password);
			
			Serializable SessionId = subject.getSession().getId();
			JSONObject json = new JSONObject();
			json.put("token",SessionId);
			
			subject.login(token);
			
			return ResultTool.success(json);
		}catch(LockedAccountException e){
			/**账号锁定*/
			return ResultTool.error(LwqExceptionEnum.USER_LOCKED);
		}catch (IncorrectCredentialsException e) {
			/**密码错误*/
			return ResultTool.error(LwqExceptionEnum.ERROR_PASS);
		} catch (UnknownAccountException e) {
			/**账号不存在*/
			return ResultTool.error(LwqExceptionEnum.USER_NOT_EXIT);
		} /*catch (ExcessiveAttemptsException eae) {
			*//**密码输入错误5次,账号锁定,一小时后再尝试*//*
			return ResultTool.error(LwqExceptionEnum.WILL_LOCK);
		} */
	
	}

三、处理权限异常

shiro自带两种赋权方式,一种是页面标签,一种是controller层的注解。我们使用注解来进行赋权。但是此时会报AuthorizationException,也就是说用户无权操作,为了进行统一管理,提高用户体验,我们要和登录一样,返给前端标准的JSON格式的信息。我们使用ControllerAdvice对shiro的异常进行统一的处理。

@ControllerAdvice
@ResponseBody
public class ShiroExceptionHandler {
	
	private static final Logger log = LoggerFactory.getLogger(ShiroExceptionHandler.class);
	
	@ExceptionHandler(value={AuthorizationException.class,UnauthorizedException.class})
	public ResultBO<Object> unAuthorizationExceptionHandler(Exception e){
		
		log.info("用户没有权限:{}",e.getMessage());
		return ResultTool.error(LwqExceptionEnum.NO_AUTH);
	}
}

ResultBO是自定义的返回数据,NO_AUTH相当于一个枚举。相当于一下代码:

Map<String, Object> result = new HashMap<String, Object>();
result.put("code", 102);
result.put("msg", "没有权限");
result.put("data",null);

return result;

四、跨域问题

前后端分离时,会导致跨域问题,可以自定义一个过滤器解决。首先在配置类中配置跨域访问路径为/**,

    /**
     * 跨域
     */
    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").allowedOrigins("*");
            }
        };
    }

然后写一个过滤器,设置Access-Control-Allow-Origin为所有请求路径,生产环境也可以设置为网站的域名。

@WebFilter(urlPatterns = "/*", filterName = "RestFilter")
public class RestFilter implements Filter{
	
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = null;  
	    if (request instanceof HttpServletRequest) {  
	    	req = (HttpServletRequest) request;  
	    }
	        
	    HttpServletResponse res = null;  
	    if (response instanceof HttpServletResponse) {  
	        res = (HttpServletResponse) response;  
	    }  
	    if (req != null && res != null) { 
	        //设置允许传递的参数  
	        res.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, Authorization, Requestfrom");  
	        //设置允许带上cookie  
	        res.setHeader("Access-Control-Allow-Credentials", "true");  
	        String origin = Optional.ofNullable(req.getHeader("Origin")).orElse(req.getHeader("Referer"));
	        //设置允许的请求来源  
	        res.setHeader("Access-Control-Allow-Origin",origin);  
	        //设置允许的请求方法  
	        res.setHeader("Access-Control-Allow-Methods", "GET, POST, PATCH, PUT, DELETE, OPTIONS");  
	    }
	       
	    chain.doFilter(request, response);  
	}
	@Override
	public void destroy() {
	}

}

这里注意的是,一定要把这个过滤器加入到shiro的filterChainDefinitionMap里。

	@Bean
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
		
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);

		/**自定义的过滤器*/
		Map<String,Filter> filterMap = new HashMap<>();
		filterMap.put("cors",new RestFilter()); //跨域
		filterMap.put("auth", new MyAuthenticationFilter());//认证
		shiroFilterFactoryBean.setFilters(filterMap);
		
		
		Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		//退出拦截器
		filterChainDefinitionMap.put("/logout", "logout");
		//匿名拦截器
		filterChainDefinitionMap.put("/login", "anon");
		filterChainDefinitionMap.put("/anon/**", "anon");
		
		filterChainDefinitionMap.put("/**", "cors,auth");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		
		return shiroFilterFactoryBean;
	}

到这里,基本算是完成了。然后自定义Realm完成用户认证和授权,shiroConfig配置shiro的session等都和正常的springhboot使用shiro没有太大的区别。

写在后面的话

我觉得像是淘宝京东类的其他电商项目或者一些网站平台,不太需要shiro这种权限管理框架。首先shiro不太适用前后端分离的开发模式;其次,在分布式中,shiro就变得很鸡肋了;另外,shiro中session的过期时间对于安卓也不太友好。

就我而言,shiro对于单体项目、OA系统、ERP系统等还是有很大用处的。但是像微信、QQ等授权登录什么的,推荐SpringSecurity结合Oauth2来实现。

红藕香残玉簟秋
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
SpringBoot 集成 Shiro 实现前后分离
进阶的球儿
09-27 4877
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目是前后分离的,所以要求做到实现前后分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro 做授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
shiro整合springboot前后分离
08-25
"shiro整合springboot前后分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
shiro前后分离场景无状态登录身份验证和授权
07-05
本DEMO结合前后分离场景,实现了用户登录后返回token无状态身份验证和授权访问资源,技术使用springboot+mybatis+shiro+jwt(auth0)+MD5,包含了数据库建表语句。
Spring boot整合shiro+jwt实现前后分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
【Ruoyi管理后台】本地运行前后分离版本
最新发布
05-18 1156
详细介绍本地部署运行若依管理系统的前后分离版本
shiro(session+redis),基于springboot,基于前后分离,从登录认证到鉴权
web13618542420的博客
03-28 1432
这个demo是基于springboot项目的。 名词介绍: Shiro 主要分为 安全认证 和 接口授权 两个部分,其中的核心组件为 Subject、 SecurityManager、 Realms,公共部分 Shiro 都已经为我们封装好了,我们只需要按照一定的规则去编写响应的代码即可… Subject 表示主体,将用户的概念理解为当前操作的主体,因为它即可以是一个通过浏览器请求的用户,也可能是一个运行的程序,外部应用与 Subject 进行交互,记录当前操作用户。Subject 代表了当前用户的安全操作
在前后分离项目中使用Shiro
qq_42814833的博客
06-21 2953
本文是我在前后分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
springboot+shiro前后分离实现!!
weixin_42375707的博客
12-13 6984
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
SpringBoot+Shiro框架整合实现前后分离的权限管理基础Demo
蚂蚁舞
03-29 2470
记录一下使用SpringBoot集成Shiro框架实现前后分离Web项目的过程,后使用SpringBoot整合Shiro,前使用vue+elementUI,达到前后使用token来进行交互的应用,这种方式通常叫做无状态,后只需要使用Shiro框架根据前传来的token信息授权访问相应资源。
shiro之前后分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 5951
前后分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
shiro 前后分离_Spring Boot整合Shiro实现前后分离
weixin_39774808的博客
12-08 504
作者|GIT提交不上|简书一、Shiro简介  Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
SpringBoot + Shiro实现前后分离接口安全框架
09-02
SpringBoot-Shiro前后分离框架,通过shiro控制权限,实现前后分离接口安全。
Springboot+Vue+shiro实现前后分离、权限控制的示例代码
08-18
主要介绍了Springboot+Vue+shiro实现前后分离、权限控制的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot + Shiro前后分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
前后分离项目使用Shiro
马尾与发圈
06-13 1764
前后分离项目使用Shiro 前面文章将的shiro使用都是局限于单体应用,但是在前后分离中就会有会话存储的问题,所以这篇文章就是为了解决前后分离项目中使用shiro的会话问题。 我们用到的是redis来存储会话信息。 一:导入shiro整合redis的jar包 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis</artifactId>
Spring Boot + Vue + Shiro 实现前后分离,写得太好了!
2401_84103903的博客
04-04 1141
javascript是前必要掌握的真正算得上是编程语言的语言,学会灵活运用javascript,将对以后学习工作有非常大的帮助。掌握它最重要的首先是学习好基础知识,而后通过不断的实战来提升我们的编程技巧和逻辑思维。这一块学习是持续的,直到我们真正掌握它并且能够灵活运用它。如果最开始学习一两遍之后,发现暂时没有提升的空间,我们可以暂时放一放。继续下面的学习,javascript贯穿我们前工作中,在之后的学习实现里也会遇到和锻炼到。真正学习起来并不难理解,关键是灵活运用。
前后分离的项目整合shiro安全框架
Dumpling_skin的博客
08-09 1914
前置路由守卫:就是在路由跳转前加上自己的一些业务代码,未登录之前输入其他路径,不放行,跳转至登录页面。在main.js文件中加入以下代码。
前后分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
shiro的前后的分离使用SpringBoot
JackMa的博客
09-22 1204
shiro的前后的分离使用SpringBoot
springboot前后分离shiro
03-16
SpringBoot前后分离中,Shiro可以作为后的安全框架来保护RESTful API。Shiro提供了认证、授权、加密等功能,可以有效地保护API不被恶意访问。你可以在SpringBoot中通过引入Shiro的starter来使用Shiro

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值