008-shiro使用token认证

置顶 已于 2022-03-01 15:12:12 修改
阅读量8.3k 收藏 37
点赞数 16
分类专栏: 人在江湖之shiro详解 文章标签: shiro jwt tokenization 分布式 session
于 2021-05-25 18:24:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/116749697
版权

实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。

我们先修改一下LoginController

@RequestMapping("login")
    public MyResponse login(@RequestBody MyUser myUser){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(myUser.getUserName(), myUser.getPassword());
        usernamePasswordToken.setRememberMe(true);

        try {
            subject.login(usernamePasswordToken);
        } catch (LockedAccountException e) {
            return MyResponse.error("用户被锁定");
        } catch (AuthenticationException e){
            return MyResponse.error("用户名密码错误");
        }

        return MyResponse.success("登录成功",subject.getSession().getId());
    }

登录后直接返回sessionId(也就是我们的token)给前端,当然你也可以通过其他方式给前端提供token。

编写获取session的Controller

@RestController
@RequestMapping("testSession")
public class TestSessionController {

    @RequestMapping("getSession")
    public MyResponse getSession(){
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();

        return MyResponse.success(session);
    }
}

除了获取session,我们还可以通过subject.getPrincipal()获取我们的登录用户信息。

编写axios异步请求

当然JQuery或直接AJAX请求也可以

编写test.html文件如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="./js/axios.min.js"></script>
</head>
<body>


<button onclick="getToken()" type="button">获取token</button>
<button onclick="checkSession()" type="button">验证session</button>

<script>

    axios.defaults.withCredentials=false
    axios.defaults.crossDomain=true
    axios.defaults.headers.post['Content-Type'] = 'application/json'

    var baseUrl = "http://localhost:8099/shiro1";
    var token = '';
    var request = axios.create({
        baseURL: baseUrl, // api的base_url
        timeout: 50000, // request timeout
        data: {}
    });


    function getToken() {

        request({
            url: '/login/login',
            method: 'post',
            data : {
                userName: 'anonymous',
                password: '123456'
            }
        }).then(response => {
            console.log(response.data)
            token = response.data.content;
        });
    }

    function checkSession() {
        console.log(token)
        request({
            url: '/testSession/getSession',
            method: 'post',
            headers:{
                'X-Token':token
            }
        }).then(response => {
            console.log(response.data)
        });
    }

</script>

</body>
</html>

点击下载axios.min.js文件

html代码运行效果如下
在这里插入图片描述

  1. 获取token,是模拟的登录操作
  2. 验证session是模拟的登录后通过token获取会话的操作

编写CorsFilter解决跨域问题

在使用shiro-web的情况下,许多解决跨域问题的办法会不生效(比如我之前使用的拦截器的方式或springBoot的方式),我们此处采用Filter的方式来解决跨域的问题
CorsFilter定义如下:

package com.yyoo.mytest.shiro1.config;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 使用shiro的情况下,拦截器来处理跨域有时候不生效
 * 建议使用Filter方式处理跨域
 */
@Component
public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        // String origin = request.getHeader("Origin");
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        response.setHeader("Access-Control-Max-Age", "86400");
        // 为true时Access-Control-Allow-Origin不能为*
        response.setHeader("Access-Control-Allow-Credentials", "false");
        // 此处为允许请求携带的所以请求头,如果要限制,可自行定义
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

shiro默认是使用的cookie来实现的登录认证,这意味着我们前后端分离的项目需要设置Access-Control-Allow-Credentials为true,并且前端ajax需要设置携带cookie请求。也就是axios.defaults.withCredentials=true,才行。我们这里由于使用token方式,所以我们的Access-Control-Allow-Credentials设置为false,这意味着我们的每个请求都是不同的请求会话。

我们再来看一下SessionDao接口的定义

其获取Session的定义如下

Session readSession(Serializable sessionId) throws UnknownSessionException;

这里需要一个sessionId,这个sessionId是通过DefaultWebSessionManager获取的。查看源码,我们会找到如下方法:

public Serializable getSessionId(SessionKey key) {
        Serializable id = super.getSessionId(key);
        if (id == null && WebUtils.isWeb(key)) {
            ServletRequest request = WebUtils.getRequest(key);
            ServletResponse response = WebUtils.getResponse(key);
            id = this.getSessionId(request, response);
        }

        return id;
    }

    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        return this.getReferencedSessionId(request, response);
    }

private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
        String id = this.getSessionIdCookieValue(request, response);
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "cookie");
        } else {
            id = this.getUriPathSegmentParamValue(request, "JSESSIONID");
            if (id == null) {
                String name = this.getSessionIdName();
                id = request.getParameter(name);
                if (id == null) {
                    id = request.getParameter(name.toLowerCase());
                }
            }

            if (id != null) {
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url");
            }
        }

        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        }

        request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, this.isSessionIdUrlRewritingEnabled());
        return id;
    }

shiro 先执行getSessionId(SessionKey key) ,如果是web应用它将执行getSessionId(ServletRequest request, ServletResponse response),其实就是执行getReferencedSessionId

getReferencedSessionId方法信息量很大,总结起来就是,它会先从请求携带的cookie中获取sessionId,如果为空,则会获取请求参数JSESSIONID的值,但我们可以看到,该实现没有获取请求头的操作,所以我们将自己实现。

其中JSESSIONID这个名称是cookie的名称,这个cookie在DefaultWebSessionManager实例化的时候创建,该名称可以修改(自行实例化一个cookie来传入DefaultWebSessionManager实例即可。)

编写MyWebSessionManager继承DefaultWebSessionManager

package com.yyoo.mytest.shiro1.config;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;

public class MyWebSessionManager extends DefaultWebSessionManager {

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        Serializable sessionId = req.getHeader("X-Token");

        if(sessionId != null){
            return sessionId;
        }

        // 如果消息头获取为空,则使用shiro原来的方式获取
        return super.getSessionId(request, response);
    }
}

注意:我们此处读取的请求头信息为X-Token,请与前端对应。

修改ShiroConfig配置

@Bean
    public SecurityManager securityManager(Realm realm) {
        // 注意:这里的DefaultWebSecurityManager和我们之前的Demo使用的DefaultSecurityManager有区别
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 修改web环境下的默认sessionManager
        DefaultWebSessionManager sessionManager = new MyWebSessionManager();
        // 60分钟(此设置会覆盖容器(tomcat)的会话过期时间设置)
        sessionManager.setGlobalSessionTimeout(60*60*1000);
        securityManager.setSessionManager(sessionManager);
        // 禁用cookie来存sessionID(我们这里不用禁用,如果不传Token,则会使用原方式认证)
//        sessionManager.setSessionIdCookieEnabled(false);

        log.info("myShiro SessionManager:{}",securityManager.getSessionManager());
        log.info("myShiro SessionListeners:{}",sessionManager.getSessionListeners());
        log.info("myShiro SessionDAO:{}",sessionManager.getSessionDAO());
        securityManager.setRealm(realm);
        return securityManager;
    }

其实就修改了DefaultWebSessionManager的实现为MyWebSessionManager,然后新增了sessionManager.setSessionIdCookieEnabled(false);而已

解决OPTIONS请求无法获取x-token请求头信息的问题

以上修改完成后启动程序,登录没有问题,但是获取session调用的时候会出现如下错误:

Access to XMLHttpRequest at 'http://localhost:8099/shiro1/testSession/getSession' from origin 'http://localhost:63342' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request.

其根本原因就是前端跨域请求时,如果是复杂的跨域请求,前端会先发送一个OPTIONS请求来确认是否能够访问,但是OPTIONS请求有个问题,我们自定义的请求头x-token无法获取值,这导致该请求进入shiro认证时无法通过认证。这就意味着,如果是OPTIONS请求,我们需要跳过认证。
找到问题所在了,接下来就解决它把。

继承FormAuthenticationFilter重写onAccessDenied方法

package com.yyoo.mytest.shiro1.config;

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        HttpServletRequest req = (HttpServletRequest) request;
        if("OPTIONS".equals(req.getMethod())){
            return true;
        }

        return super.onAccessDenied(request, response);
    }
}

修改ShiroConfig配置

// shiro的authc过滤器(注意这些过滤器是有顺序的,此map类型为LinkedHashMap)
shiroFilterFactoryBeanFilters.put("authc",new MyFormAuthenticationFilter());

其实就是修改ShiroFilterFactoryBean配置中的过滤器配置将FormAuthenticationFilter修改为我们重新实现的MyFormAuthenticationFilter即可。
重启后,再次尝试结果图如下

在这里插入图片描述

到此为止,我们的shiro使用token实现就完成了。但还有些后续的问题,比如接JWT,比如分布式环境下的操作。

shiro使用JWT

我们在007-shiro的会话管理一章说到,我们可以自定义sessionID,只需实现SessionIdGenerator接口即可,SessionIdGenerator默认使用java的uuid实现,我们当前的token其实就是uuid,那么我们自定义实现用JWT来实现sessionId的生成即可。

分布式环境下的session共享

现在我们知道,shiro获取session的时候是通过sessionId来直接获取的,而我们的SessionDAO默认是MemorySessionDAO,如果我们自定义实现SessionDAO,将session存储在redis,那么我在分布式环境下,只要sessionID不变(本文其实就是token),通过sessionDao获取redis中存储的session就不会变,这样就轻松实现了session的分布式共享。

未登录或登录过期跳转首页的问题

在前后端分离的情况下,我们在请求的时候如果未登录或登录过期,shiro是会跳转到我们设置的登录页面的,我们目前设置的登录页面如下

shiroFilterFactoryBean.setLoginUrl("https://blog.csdn.net/forlinkext/article/details/115748941");

在axios请求下会有如下问题

Access to XMLHttpRequest at 'https://blog.csdn.net/forlinkext/article/details/115748941' (redirected from 'http://localhost:8099/shiro1/testSession/getSession') from origin 'http://localhost:63342' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

我们可以将登陆页面地址设置为一个后端的不验证登录的地址,然后该地址直接返回未登录的状态给前端,前端axios统一处理该状态(跳转到登陆页)即可。

总结

由于时间原因,shiro使用JWT和session共享,没有详细编写,只提了基本思路,后续如果有空实现的话我们再来编写把。
上一篇:007-shiro的会话管理

没事儿写两篇
关注
  • 16
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、ShiroJWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
Springboot下Shiro+Token使用redis做安全认证方案
程序员闪充宝
03-15 1万+
以前项目中权限认证没有使用安全框架,都是在自定义 filter 中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring securi...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3007
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
shiro - 使用 token
bhegi_seg的博客
03-28 1191
整合文章: 为什么使用tokensessiontoken的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 5439
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为tokenShirotoken的实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用.
easy-shiro的登录认证、鉴权例子,
04-09
Easy-Shiro拦截器会检查Subject是否存在有效的SessionToken,如果存在则表示用户已经登录,否则将重定向到登录页面。 2. 权限鉴权(Authorization): 授权是确定用户是否有权限执行特定操作的过程。Easy-Shiro...
springboot-shiro认证系统框架--成型框架
09-17
SpringBoot-Shiro 认证系统框架是一个成熟的解决方案,它整合了SpringBoot和Apache Shiro这两个强大的工具,旨在简化Web应用的安全管理。这个成型框架提供了一个完整的认证中心服务,支持分布式环境,非常适合在生产...
spring-boot-shiro-demo
04-22
同时,通过建立统一的认证中心和Token机制,可以进一步实现单点登录。在"spring-boot-shiro-demo"项目中,可能会涉及到票据管理、会话同步和登录状态验证等多个环节。 **5. 基于注解的权限控制** Shiro提供了一...
shiro-jwt-oauth权限认证
11-11
1. **基于JWTToken认证方式**:在这种模式下,用户登录成功后,服务器会返回一个JWT,包含了用户的身份信息以及过期时间等。客户端每次请求时将JWT放在请求头中,服务器通过验证JWT来确认用户身份。这种方式的优点...
Shiro自定义Token
drhrht的博客
08-24 1293
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
shiroshiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 2839
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token的刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
springboot使用shiro完成token认证
lovely960823的博客
03-15 2638
现在都是token无状态的认证,今天记录一下如何使用shiro完成token登录认证,话不多说,直接上代码 依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </depend
解决前后端分离 Shiro 的用户 Token 认证问题
weixin_44338092的博客
04-17 709
【代码】解决前后端分离 Shiro 的用户 Token 认证问题。
Shiro实现Token认证
梅子黄时雨
05-10 1331
shiro使用
springboot集成shiro完成token认证,以及需要注意的点
最新发布
qq_26112725的博客
08-24 1436
注意 :继承 UsernamePasswordToken 类后,账号跟密码使用了 UsernamePasswordToken 类的构造方法2.自定义Realm@Override//授权@Override/*常见的方法:addRole(String role):向授权信息中添加角色。addRoles(Collection roles):向授权信息中添加多个角色。
token,Shiro
qq_41981122的博客
11-03 690
token 1.令牌,临时的意思,用作标记.一般作为邀请,登录系统使用. 2.token服务器端产生,客户端频繁像服务器请求数据,服务端频繁和数据库操作,做出相应的提示,在这样的背景下,引入token 3.Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 为什么要用 Token? 解决问题: Token 完全由应用管理,所以它可以避开同源策略 ...
shiro之前后端分离(基于jwttoken安全认证
weixin_45390688的博客
12-25 6000
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 3794
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证Token认证JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
sa-token框架和springsecurity和shiro的区别
06-11
sa-token、Spring Security 和 Shiro 都是 Java 中常见的安全框架,它们的主要区别如下: 1. 功能特点: - sa-token:专注于会话管理,提供了轻量级的权限认证和角色认证功能,支持多种会话存储方案。 - Spring Security:提供了完整的安全框架,包含认证、授权、攻击防护等各种安全特性,但是配置相对复杂。 - Shiro:提供了完整的安全框架,包含认证、授权、攻击防护等各种安全特性,配置相对简单。 2. 应用场景: - sa-token:适用于小型项目和快速开发,具有简单易用、灵活性强等特点。 - Spring Security:适用于大型项目和对安全性要求较高的场景。 - Shiro:适用于中小型项目和对安全性要求较低的场景,具有易于扩展、简单易用等特点。 3. 社区支持: - sa-token:社区相对较小,但是作者积极维护和更新。 - Spring Security:社区非常活跃,有大量的第三方插件和扩展。 - Shiro:社区活跃度较高,有大量的第三方插件和扩展。 总的来说,三个框架各有优劣,选择哪个框架主要根据具体应用场景和需求来决定。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值