shiro - 使用 token

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bhegi_seg/article/details/123792444
版权

整合文章:

在这里插入图片描述

文章目录

一、session的状态保持及弊端

当用户第一次通过浏览器使用用户名和密码访问服务器时,

  • 服务器会验证用户数据,
  • 验证成功后在服务器端写入session数据,
  • 向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,
  • 当用户再次访问服务器时,会携带sessionid,
  • 服务器会拿着sessionid从 数据库 内存(缓存) 获取session数据,然后进行用户信息查询,
  • 查询到,就会将查询到的用户信息返回,从而实现状态保持。
    在这里插入图片描述

弊端:

  1. 服务器压力增大
    通常session是存储在内存中的,每个用户通过认证之后都会将session数据保存在服务器的内存中,而当用户量增大时,服务器的压力增大。

  2. CSRF跨站伪造请求攻击
    session是基于cookie进行用户识别的, cookie如果被截获(虽然同源机制,cookie不容易被获取 ),用户就会很容易受到跨站请求伪造的攻击。

  3. 扩展性不强(这个是重点)
    如果将来搭建了多个服务器,虽然每个服务器都执行的是同样的业务逻辑,但是session数据是保存在内存中的(不是共享的),用户第一次访问的是服务器1,当用户再次请求时可能访问的是另外一台服务器2,服务器2获取不到session信息,就判定用户没有登陆过。

二、token认证机制

token与session的不同主要在

  1. 认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)

  2. 浏览器会将接收到的token值存储在Local Storage中,
    (通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)

  3. 再次访问时服务器端对token值的处理:

    1. 服务器对浏览器传来的token值进行解密,
    2. 解密完成后进行用户数据的查询,如果查询成功,则通过认证,实现状态保持,

所以,即时有了多台服务器,服务器也只是做了token的解密和用户数据的查询,它不需要在服务端去保留用户的认证信息或者会话信息,

这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。

在这里插入图片描述

Apache Shiro 用户信息保存在 Session 方案

shiro会自动将用户信息存储在shiro的 Session 中,如下图,取出Session中信息则可以通过User user = (User) SecurityUtils.getSubject().getPrincipal()获取!
在这里插入图片描述

bhegi_seg
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-shiro-Boot-4 存储token
良之才的专栏
03-14 1777
这节主要讲用redis存储token,跟shiro基本上没有关系。 但是与是使用shiro做无状态管理所需要的。 一、token组成: (1)在redis存储 [key] tokens:UUID-key [value] usernamePasswordToken的JSON字符串 [expire] 过期时间 (2)在java的数据模型 public class Token implements Serializable { private static final long s
Spring-shiro-Boot-3 AuthenticationToken体系
良之才的专栏
03-11 898
登陆认证时,必须要先构造登陆令牌。 在是shiro,用AuthenticationToken接口来表达登陆令牌。 这里介绍shiro的AuthenticationToken体系,在实际使用,很多时候需要继承原有令牌实现私有化功能。 一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro把这个封装成了【principals】
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
Shiro——通过EhCache缓存用户信息、权限信息和角色信息来提高系统性能
程序员阿皓的博客
05-07 190
Shiro——通过EhCache缓存用户信息、权限信息和角色信息来提高系统性能
008-shiro使用token认证
这个需求,做不了
05-25 8384
实际开发,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
shiro-spring-boot-starter
warrah 南极狼
12-10 1311
springboot shiro
shiro使用爬坑记录之shiro-redis
蜀道难,难于上青天。
10-14 383
shiro使用爬坑记录之shiro-redis 前言 ​ 权限认证使用的一直都是shiro,因为项目重构导致之前的认证不可用,故本片文章记录排错过程。 环境 SpringBoot 2.1.3.RELEASE Mybatis-plus 3.1.2 Shiro 1.4.0 Jwt 3.7.0 shiro-redis 3.1.0 错误信息 class java.lang.String must has getter for field: authCacheKey or id We need a field
架构搭建记录:Spring boot web应用 + 安全框架Shiro:两种方式:shiro-spring、shiro-starter
qingdatiankong的博客
07-03 661
参考资料: https://shiro.apache.org/ https://www.w3cschool.cn/shiro 本记录,安全认证采用用户名、密码的认证方式。 第一种:使用shiro-spring包 在pom.xml文件添加jar依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId>
详解前后端分离使用Token作为标识Shiro认证登录
lailai的博客
11-26 3830
思考 为什么需要用token来做?传统的session为什么不可以?token有何优势。 session存在的问题 :①前后端分离项目,前端可能是web/app等,对于存储sessionId的cookie问题;②session存在CSRF跨站伪造请求攻击;③ 服务器压力增大,通常session存储在内存,用户量大服务器压力也大;③ 服务器分布式部署情况下,session就会不一定获取的到,存在不在一台服务器的情况,拓展性很差。 token有何优势 :token与session的不同: ①认
springboot2 集成shiro-spring-boot-web-starter
m0_67403076的博客
04-25 1362
目录 1.引包 2. 配置shiro 2.1 配置类 2.2 登录页配置 2.3 shiro默认过滤器 2.4 自定义Reaml类 3 用户登录 3.1 页面设计 3.2 登录处理 3.3 密码匹配原理 4. 权限管理 4.1 url和注解组合使用 4.2 @RequireXXX注解可能的Bug 4.3 注解权限 shiro是web开发常用的使用安全管理框架,通过shiro-spring-boot-web-starter方式集成Shiro到springboot2可以简化
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、Shiro、JWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
shiro-1.9.0版本jar包
05-10
开发者在使用Shiro-1.9.0时,可以通过官方文档了解详细的API变更和升级指南。对于源码分析,可以深入理解Shiro的工作原理,有助于定制化开发和扩展。同时,可以参考官方的示例代码或社区的实践案例,快速上手并解决...
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
shiro-demo使用ehcache做缓存.zip
12-01
在这个“shiro-demo使用ehcache做缓存”的示例,我们将深入探讨如何结合Apache Shiro和 Ehcache 实现高效的缓存管理。 Ehcache 是一个广泛使用的开源Java缓存解决方案,它提供了内存和磁盘存储,以及对缓存数据的...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
使用token作为登录凭证,不使用session,避免跨域问题 使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 . ...
golang 接口
m0_70982551的博客
07-24 895
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 477
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 591
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
springsecurity shiro sa-token 的区别和核心架构 ,以及简单使用
07-11
Spring Security、Shiro和Sa-Token都是用于身份验证和访问控制的安全框架,但它们有不同的特点和核心架构。 1. Spring Security: - 核心架构:Spring Security是基于过滤器链(Filter Chain)的安全框架,通过一系列的过滤器来对请求进行安全验证和访问控制。 - 特点:Spring Security提供了全面的安全解决方案,包括身份验证、授权、记住我等功能。它与Spring框架无缝集成,并且具有灵活性和可扩展性。 - 使用示例:在Spring Boot项目,您可以通过添加Spring Security的依赖并配置相关的安全规则来实现身份验证和授权功能。 2. Shiro: - 核心架构:Shiro是一个轻量级的Java安全框架,使用一组过滤器和拦截器来处理身份验证和授权。 - 特点:Shiro提供了简单易用的API,可以轻松地实现身份验证、授权、加密等功能。它具有灵活性和可扩展性,并且可以与任何Java应用程序集成。 - 使用示例:在Java应用程序,您可以使用Shiro的API来实现身份验证和授权。配置Shiro的INI文件或编程方式来定义安全规则。 3. Sa-Token: - 核心架构:Sa-Token是一个基于Token的轻量级Java安全框架,使用Token进行身份验证和授权。 - 特点:Sa-Token具有简单易用、高性能和低侵入性的特点。它使用Token来管理用户身份,支持多种Token生成和存储方式,并提供了丰富的权限控制功能。 - 使用示例:在Java应用程序,您可以使用Sa-Token的API来生成和验证Token,并通过注解或编程方式定义访问控制规则。 总结来说,Spring Security是一个全面的安全框架,Shiro是一个灵活易用的安全框架,而Sa-Token是一个基于Token的轻量级安全框架。您可以根据项目需求和个人偏好选择适合的框架进行使用。具体的使用方法和示例可以参考它们的官方文档或相关教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值