SpringBoot 整合Shiro 实现前后端分离

最新推荐文章于 2024-04-04 12:40:21 发布
最新推荐文章于 2024-04-04 12:40:21 发布
阅读量1.2k 收藏 16
点赞数 1
分类专栏: SpringBoot 文章标签: shiro  前后端分离 SpringBoot Shiro 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a254124185/article/details/100809263
版权

SpringBoot 整合Shiro 实现前后端分离


  最近着手开发一个SpringBoot + Shiro 的后台框架, 设计到前后端分离,需要跨域请求,但是登陆成功之后再进行其他操作总是提示未登录 重定向跳转到unlogin页面(前后分离模式,重定向也要改成json返回,后续贴出代码)

1、修改登陆方法

登陆之后返回sessionId给前端

		//获取subject对象
		Subject subject = SecurityUtils.getSubject();
		//封装用户数据
		LoginAuthToken token = new LoginAuthToken(username, password,rememberMe,userType);

		try {
			//执行Shiro配置的拦截方法
			subject.login(token);
			//登录失败:用户名不存在
		} catch (UnknownAccountException e) {
			e.printStackTrace();
			return new ResultVoFailure("用户名不存在");
			//登录失败:密码错误
		} catch (IncorrectCredentialsException e) {
			return new ResultVoFailure("密码错误");
		}
		return new ResultVoSuccess("登录成功",subject.getSession().getId());

2、重写SessionManager对象

重写sessionManager对象处理session

package com.pengheng.config.shiro;
 
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;
 
/**
 * Created by Palerock
 */
public class SessionManager extends DefaultWebSessionManager {
    private static final String  TOKEN= "token";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public SessionManager() {
        super();
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getParameter(TOKEN);
        //如果请求信息中有 TOKEN 则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

3、修改ShiroConfig配置引入自定义sessionManger

package com.pengheng.config.shiro;

import com.pengheng.config.shiro.filter.MyFormAuthenticationFilter;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.mindrot.jbcrypt.BCrypt;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    /**
     * rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)
     */
    @Value("${application.cookie.cipherKey}")
    private String cookieCipherKey;

    @Value("${application.cookie.maxAge}")
    private int cookieMaxAge;

	@Value("${spring.redis.host}")
	private String host;

	@Value("${spring.redis.port}")
	private int port;

	@Bean
	public SimpleCookie rememberMeCookie() {
		// 这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
		SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
		// <!-- 记住我cookie生效时间30天 ,单位秒;-->
		simpleCookie.setMaxAge(cookieMaxAge);
		return simpleCookie;
	}

	@Bean
	public CookieRememberMeManager rememberMeManager() {
		CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
		cookieRememberMeManager.setCookie(rememberMeCookie());
		cookieRememberMeManager.setCipherKey(Base64.decode(cookieCipherKey));
		return cookieRememberMeManager;
	}

	/**
	 * ShiroFilterFactoryBean Shiro过滤器,针对IP地址进行拦截是否需要对应权限
	 */
	@Bean
	public ShiroFilterFactoryBean shiroFilterFactoryBean() {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager());
		Map<String, Filter> filters = new HashMap<>();
		//设置自定义Filter 返回json数据不跳转页面
		filters.put("authc",new MyFormAuthenticationFilter());
		shiroFilterFactoryBean.setFilters(filters);

		// 设置需要拦截的路径
		Map<String, String> filterChain = new HashMap<>();
		// 设置登出拦截
		filterChain.put("/logout", "anon");
		filterChain.put("/uploadFile", "anon");

		filterChain.put("/login", "anon");
		filterChain.put("/file", "anon");
		//后台管理自定义过滤器配置,验证是否是对应角色
		filterChain.put("/system/**","authc,roles[admin]");
		//门户网站自定义过滤器配置,验证是否是对应角色
//		filterChain.put("/portal/**","portalFilter");
		//APP管理自定义过滤器配置,验证是否是对应角色
//		filterChain.put("/app/**","appFilter");

		filterChain.put("/common/*", "anon");
		filterChain.put("/images/kaptcha.jpg", "anon");
		filterChain.put("/**/*.js", "anon");
		filterChain.put("/**/*.html", "anon");
		filterChain.put("/", "anon");

		// 拦截所有方法
		filterChain.put("/**", "authc");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChain);

		// 设置拦截返回跳转的路径
		// 未登录跳转页面
		shiroFilterFactoryBean.setLoginUrl("/unlogin");
		//登录成功跳转页面
		// shiroFilterFactoryBean.setSuccessUrl("/");
		// 未授权跳转页面
		shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");
		return shiroFilterFactoryBean;
	}

	/**
	 * DefaultWebSecurityManager 默认web安全管理器
	 */
	@Bean
	public DefaultWebSecurityManager defaultWebSecurityManager() {
		DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
		// 关联ream
		defaultWebSecurityManager.setRealm(authorizingRealm());
		//设置session manage
		defaultWebSecurityManager.setSessionManager(sessionManager());
		defaultWebSecurityManager.setCacheManager(cacheManager());
		defaultWebSecurityManager.setRememberMeManager(rememberMeManager());


		return defaultWebSecurityManager;
	}

	@Bean
	public DefaultWebSessionManager sessionManager() {
		SessionManager sessionManager = new SessionManager();
		sessionManager.setSessionDAO(redisSessionDAO());
		return sessionManager;
	}

	@Bean
	public RedisSessionDAO redisSessionDAO() {
		RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
		redisSessionDAO.setRedisManager(redisManager());
		return redisSessionDAO;
	}

	public RedisManager redisManager() {
		RedisManager redisManager = new RedisManager();
		redisManager.setHost(host);
		redisManager.setPort(port);
		return redisManager;
	}

	@Bean
	public RedisCacheManager cacheManager() {
		RedisCacheManager redisCacheManager = new RedisCacheManager();
		redisCacheManager.setRedisManager(redisManager());
		return redisCacheManager;
	}
	@Bean
	public AuthorizingRealm authorizingRealm() {
		UserRealm userRealm = new UserRealm();
		userRealm.setCredentialsMatcher((token, info) -> {
			LoginAuthToken userToken = (LoginAuthToken) token;
			// 要验证的明文密码
			String plaintext = new String(userToken.getPassword());
			// 数据库中的加密后的密文
			String hashed = info.getCredentials().toString();
			return BCrypt.checkpw(plaintext, hashed);
		});

		return userRealm;
	}
	/**
	 * 	AOP注入回调授权方法
	 * @return
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
	    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
	    authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager());
	    return authorizationAttributeSourceAdvisor;
	}
}

4、HTML模拟跨域请求代码

<html>
	<head>
		<title>测试</title>
		<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	</head>
	<body>
		<div>
			<button id="login">登录</button>
			<button id="logout">登出</button>
			
			
			<button id="get">获取</button>
			<span id="token"></span>
			
		</div>
		
		<script>
			$(function(){
				$("#login").click(function(){
					$.ajax({
						url:'http://localhost:8080/login',
						data:{userName:'zhangsan',password:'123456'},
						success:function(data){
							//登陆成功后 将token存储到浏览器
							$("#token").html(data.data)
						}
					})
				})
				$("#logout").click(function(){
					$.ajax({
						url:'http://localhost:8080/logout',
						//将登陆后返回的token返回给后台,设置请求头和请求参数都可以
						data:{token:$("#token").html()},
						success:function(data){
							alert(data.code+"-----"+data.msg);
						}
					})
				})
				
				
				$("#get").click(function(){
					$.ajax({
						url:'http://localhost:8080/common/quartz/list',
						data:{token:$("#token").html()},
						success:function(data){
							alert(data.code+"-----"+data.msg);
						}
					})
				})
			})
		</script>
	</body>
</html>

5、自定义验证shiro 验证过滤器解决未登录后重定向跳转问题

当用户未登录的情况下请求操作,默认shiro会重定向,前后端分离模式需要返回json对象,需要重写FormAuthenticationFilter 过滤器的onAccessDenied方法

package com.pengheng.config.shiro.filter;

import com.pengheng.model.ResultVo;
import com.pengheng.model.ResultVoFailure;
import com.pengheng.util.Toolkits;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
@Slf4j
public class MyFormAuthenticationFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            httpServletResponse.setStatus(200);
            httpServletResponse.setContentType("application/json;charset=utf-8");
            //设置跨域允许,不然会提示跨域问题
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
            PrintWriter out = httpServletResponse.getWriter();
            ResultVo resultVo = new ResultVoFailure("用户未登录");
            out.println(Toolkits.toJson(resultVo));
            out.flush();
            out.close();
            return false;
        }
    }
}
不疯魔不成话
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot集成jwt和shiro实现前后端分离权限demo2
04-10
springboot集成jwt和shiro实现前后端分离权限demo2 添加realm中异常处理
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
java前后端分离shiro_shiro整合springboot前后端分离
weixin_35927509的博客
03-08 345
本文实例为大家分享了shiro整合springboot前后端分离的具体代码,供大家参考,具体内容如下1、shiro整合springboot的配置package com.hisi.config;import java.util.LinkedHashMap;import java.util.Map;import javax.servlet.Filter;import org.apache.shiro....
前后端分离项目中SpringBoot整合Shiro
lin8k12q的博客
06-21 430
前后端分离项目中,前端使用Angular,后端使用SpringBoot整合Shiro。 1.SpringBoot的设置 SpringBoot添加跨域设置 @SpringBootApplication public class PostfinanceApplication { @Configuration @EnableWebMvc public class WebMvcConfg implements WebMvcConfigurer { @Override public void a
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
最新发布
2401_84103903的博客
04-04 1135
javascript是前端必要掌握的真正算得上是编程语言的语言,学会灵活运用javascript,将对以后学习工作有非常大的帮助。掌握它最重要的首先是学习好基础知识,而后通过不断的实战来提升我们的编程技巧和逻辑思维。这一块学习是持续的,直到我们真正掌握它并且能够灵活运用它。如果最开始学习一两遍之后,发现暂时没有提升的空间,我们可以暂时放一放。继续下面的学习,javascript贯穿我们前端工作中,在之后的学习实现里也会遇到和锻炼到。真正学习起来并不难理解,关键是灵活运用。
springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
qq_30519365的博客
12-21 1088
【代码】springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
springBoot整合shiro前后端分离模式
qq_1641486826的博客
11-26 804
springBoot框架下我们使用shiro做权限登录验证,首先要建好五张表: 1:user表 CREATE TABLE `user` ( `id` int(16) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `basic_info_id` int(11) NOT NULL COMMENT '企业外键', `user_account` varcha...
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot+shiro+swagger2前后端分离整合
03-03
springboot+shiro+swagger2前后端分离整合: https://blog.csdn.net/wmlwml0000/article/details/104631552
Shiro+Cas微服务化及前后端完全分离
08-25
"Shiro+Cas微服务化及前后端完全分离" Shiro+Cas微服务化及前后端完全分离是当前热门的IT技术方向之一,本文将为大家详细介绍Shiro+Cas微服务化及前后端完全分离的相关知识点。 一、Shiro简介 Shiro是一个基于...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
使用Springboot和Vue开发的CRM系统,真正前后端分离的微服务架构,BAT互联网公司主流技术的集大成者
热门推荐
lgcjava的专栏
07-18 5万+
  框架特点 最新技术(Springbootshiro、MyBatis、Swagger-UI、Vue2.X、bootstrap) 真正的前后端分离,可独立部署、跨域访问,适合大型互联网项目的动态扩展 (前端纯html,使用Vue框架,后端springboot+mybatis) 移动端访问:使用Swagger-UI可清晰的查看接口定义、接口测试 支持多国语言:包括前台和后台实现i18n,...
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1285
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
apache shiro 如何升级_Springboot +Shiro +VUE 前后端分离之权限管理系统
weixin_39771351的博客
11-26 1373
点击上方Java开发联盟,选择“星标公众号”优质文章,第一时间送达简介:前后端分离:要实现前后端分离,需要考虑以下2个问题:1. 项目不再基于session了,如何知道访问者是谁?2. 如何确认访问者的权限?前后端分离,一般都是通过token实现,本项目也是一样;用户登录时,生成tokentoken过期时间,token与用户是一一对应关系,调用接口的...
SpringBoot+Shiro+MyBatisPlus搭建前后端分离的多模块项目
Ian的博客
02-05 3万+
前言  在上一篇《在前后端分离SpringBoot项目中集成Shiro权限框架》文章中,和大家分享了一下SpringBootShiro整合,但其实个人对Spring data JPA的理解也较为有限,公司的兄弟们长期使用MyBatis框架,想要转型学习成本较高,于是有了这一篇博文,将上一文中的架构与MyBatis Plus框架整合,现在分享出来希望能帮到习惯并想更优雅的使用My
SpringBoot学习:整合shiro(rememberMe记住我功能)
期待破茧成蝶
04-08 1万+
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public
springboot整合shiro前后端分离
03-16
Spring Boot整合Shiro可以实现前后端分离的安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入Shiro和Spring Boot相关依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值