shiro实现APP保持登录状态,以及web统一登录认证和权限管理,会话保持在web和APP之间。

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量1.7w 收藏 25
点赞数 3
分类专栏: java框架 database javaEE Android login session 文章标签: java shiro app session login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaofeihu_/article/details/79447922
版权
本文介绍了如何使用Shiro在Java项目中实现APP和Web的统一登录认证及权限管理。针对APP需要长时间保持登录状态的需求,提出通过存储cookie并结合数据库策略来处理过期session的问题。当服务器session过期,APP自动发起登录请求以获取新session,同时讨论了安全性、session存储、更新频率和IP验证等策略。
摘要由CSDN通过智能技术生成

先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了

先说web端

1.因为一般网页主需要记住7天密码(或者稍微更长)的功能就可以了,可以使用cookie实现,而且shiro也提供了记住密码的功能,在服务器端session不需要保存过长时间。

再说app端

2.因为APP免密码登录时间需要较长(在用户不主动退出的时候,应该一直保持登录状态),这样子在服务器端就得把session保存很长时间,给服务器内存和性能上造成较大的挑战,存在的矛盾是:APP需要较长时间的免密码登录,而服务器不能保存过长时间的session。

 解决办法:

  • APP第一次登录,使用用户名和密码,如果登录成功,将cookie保存在APP本地(比如sharepreference),后台将cookie值保存到user表里面
  • APP访问服务器,APP将cookie添加在heade里面,服务器session依然存在,可以正常访问
  • APP访问服务器,APP将cookie添加在heade里面,服务器session过期,访问失败,由APP自动带着保存在本地的cookie去服务器登录,服务器可以根据cookie和用户名进行登录,这样服务器又有session,会生成新的cookie返回给APP,APP更新本地cookie,又可以正常访问
  • 用户手动退出APP,删除APP本次存储的cookie,下次登录使用用户名和密码登录

这种方法存在的问题:

  1. cookie保存在APP本地,安全性较低,可以通过加密cookie增加安全性
  2. 每次服务器session失效之后,得由APP再次发起登录请求(虽然用户是不知道的),但是这样本身就会增加访问次数,好在请求数量并不是很大,不过这种方式会使cookie经常更新,反而增加了安全性。

这里给出另外一种实现方式:
实现自己的SessionDao,将session保存在数据库,这样子的好处是,session不会大量堆积在内存中,就不需要考虑session的过期时间了,对于APP这种需要长期保存session的情况来说,就可以无限期的保存session了,也就不用APP在每次session过期之后重新发送登录请求了。实现方式如下:

1. 数据库设计 (需要的话自己扩展)

                       

2. 实体类 
import java.io.Serializable;
import java.util.Date;



/**
 * 用户session
 * 
 * @author flyingTiger
 * @email gaofeihu95@163.com
 * @date 2018-03-05 15:44:08
 */
public class SysUserSessionEntity implements Serializable {
	private static final long serialVersionUID = 1L;
	
	//id
	private String id;
	//session
	private String session;
	//cookie
	private String cookie;
	//user_id
	private Long userId;
	//创建时间
	private Date createTime;
	//最后更新时间
	private Date lastUpTime;
	//状态
	private String status;

	/**
	 * 设置:id
	 */
	public void setId(String id) {
		this.id = id;
	}
	/**
	 * 获取:id
	 */
	public String getId() {
		return id;
	}
	/**
	 * 设置:session
	 */
	public void setSession(String session) {
		this.session = session;
	}
	/**
	 * 获取:session
	 */
	public String getSession() {
		return session;
	}
	/**
	 * 设置:cookie
	 */
	public void setCookie(String cookie) {
		this.cookie = cookie;
	}
	/**
	 * 获取:cookie
	 */
	public String getCookie() {
		return cookie;
	}
	/**
	 * 设置:user_id
	 */
	public void setUserId(Long userId) {
		this.userId = userId;
	}
	/**
	 * 获取:user_id
	 */
	public Long getUserId() {
		return userId;
	}
	/**
	 * 设置:创建时间
	 */
	public void setCreateTime(Date createTime) {
		this.createTime = createTime;
	}
	/**
	 * 获取:创建时间
	 */
	public Date getCreateTime() {
		return createTime;
	}
	/**
	 * 设置:最后更新时间
	 */
	public void setLastUpTime(Date lastUpTime) {
		this.lastUpTime = lastUpTime;
	}
	/**
	 * 获取:最后更新时间
	 */
	public Date getLastUpTime() {
		return lastUpTime;
	}
	/**
	 * 设置:状态
	 */
	public void setStatus(String status) {
		this.status = status;
	}
	/**
	 * 获取:状态
	 */
	public String getStatus() {
		return status;
	}
}

3. 在此之前我已经实现过sessionDao ,是将session放到redis里面

import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.concurrent.TimeUnit;

/**
 * shiro session dao
 *
 * @author flyingTiger
 * @email gaofeihu95@163.com
 * @date  2017/9/27 21:35
 */
&
最低0.47元/天 解锁文章
「已注销」
关注
  • 3
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
shiro实现APPweb统一登录认证权限管理
weixin_33871366的博客
05-21 1166
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了webAPP都可以用shiro认证吗?两者有什么区别?如果可以,解决方案是什么?看着大家焦急的小眼神,接下来挨个解决上面的问题。 webAPP可以用shiro统一登录认证吗? 可以。假如web和...
Shiro的退出登录状态的方式(1)
2401_84091938的博客
05-13 903
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
shiro实现AppWeb统一登录认证权限管理
weixin_43845335的博客
12-21 491
shiro实现APPweb统一登录认证权限管理 先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了webAPP都可以用shiro认证吗?两者有什么区别?如果可以,解决方案是什么?看着大家焦急的小眼神,接下来挨个解决上面的问题。 webAPP可以...
shiro实现appweb统一登录
baimo7074的博客
05-12 251
(转自:http://www.cnblogs.com/sunshine-2015/p/5515429.html) 先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了webAPP都可以用shiro认证吗?两者有什么区别?如果可...
shiro实现app web统一登陆认证权限管理
风华绝代的博客
09-20 2194
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了webAPP都可以用shiro认证吗?两者有什么区别?如果可以,解决方案是什么?看着大家焦急的小眼神,接下来挨个解决上面的问题。 webAPP可以用shiro统一登录认证吗? 可以。假如
Shiro采用shiro实现登录认证与权限授权管理
lgxzzz的博客
10-15 202
Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。 spring,springMVC,maven,shiro shiro的配置,通过maven加入shiro相关jar包 1.shiro的配置,通过maven加入shiro相关jar包 1 <!-- shiro --> 2 <depen...
SpringBoot使用Shiro实现认证和授权,多端登录实现
qq_42814833的博客
07-23 5458
SpringBoot使用Shiro 这篇文章主要用来介绍Shiro在SpringBoot框架中的使用,也会讲一些不同业务情景下的用法。 基本概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 3大组件: SecurityManager:安全管理器,提供认证和授权等框架所有功能的接口。典型的外观模式,具体实现委托给其他类 Subject:当
shiro分布式控制登录状态_SpringBoot集成Shiro实现多数据源认证授权与分布式会话(三)...
weixin_39549852的博客
12-21 163
前言前面我们利用springboot结合shiro在项目中解决了多数据源认证的问题,接下来我们来看看如何在之前的框架基础上实现分布式session管理.在一般情况下web服务器与客户端采用http协议进行通讯,大家都知道http协议本身是一种无状态的协议,即每次请求之间都是相互独立的,服务器无法记住当前请求的用户是谁,可想而知在绝大部分业务场景下,对于用户来讲这种体验是非常糟糕的,而session...
采用shiro实现登录认证与权限授权管理
热门推荐
水中加点糖
06-24 3万+
Shiro 是Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。 本文中记录的是一次使用shiro实现登录认证与权限授权的过程。 本文中主要用的技术有: spring,springMVC,maven,shiroshiro的配置,通过maven加入shiro相关jar包 org.apache.shiro shiro-c
枚举工具类
qq_43049583的博客
08-04 317
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 354
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 684
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
weixin_55745942的博客
08-01 683
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
JavaSE面向对象进阶
qq_45348840的博客
07-30 547
需求:在实际开发中,经常会遇到一些数组使用的工具类;请按照如下要求编写一个数组的工具类:ArrayUtil提供一个工具类方法printArr,用于返回整数数组的内容。返回的字符串格式如:[10,20,50,34,100 ](只考虑整数数组,且只考虑一维数组)提供这样一个工具方法getAerage,用于返回平均分。(只考虑浮点型数组,且只考虑一维数组)定义一个测试类TestDemo,调用该工具类的工具方法,并返回结果。// 私有化构造方法// 定义静态方法,方便调用。i++) {
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 637
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
花几千上万学习Java,真没必要!(三十五)
wehpd的博客
07-30 712
集合之Map
string类的模拟实现(C++)
2302_80190394的博客
08-02 1111
C++ string的功能函数实现
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值