shiro实现无状态的会话,带源码分析

最新推荐文章于 2024-05-18 09:57:41 发布
最新推荐文章于 2024-05-18 09:57:41 发布
阅读量500 收藏 1
点赞数
分类专栏: springboot 文章标签: shiro

shiro实现无状态的会话,带源码分析

一:说明

在网上都找不到相关的信息,还是翻了大半天shiro的源码才找到答案。亲试绝对可行,带源码分析

 

很多时候,开发的项目不仅仅是一个基于浏览器的项目,还可能是基于app的项目,基于小程序的项目,而这些项目都是无状态的。而普通web项目中,一个web项目的会话是由session保持的,而session又是由浏览器携带的cookie来验证身份的,可以这么说,一个会话就是依赖于cookie,但是app与小程序是没有cookie维持的。

  一般的作法会在header中带有一个token,或者是在参数中,后台根据这个token来进行校验这个用户的身份,但是这个时候,servlet中的session就无法保存,我们在这个时候,就要实现自己的会话创建,普通的作法就是重写session与request的接口,然后在过滤器在把它替换成自己的request,所以得到的session也是自己的session,然后根据token来创建和维护会话。

  但在shiro中会怎么做呢?

 

二:shiro介绍

   shiro是一个权限验证框架,它比spring security的功能要少一些,但是我却更喜欢shiro,因为spring security封装的太死了,如果要重写一些功能,特别的麻烦,而shiro中使用了大量的策略模式,使得开发人员可以很好的替换成自己的策略,灵活性更加强,可以定义自己的过滤器来实现自己需要的一些功能。

 

  shiro中的权限操作是委托给securityManager的,而securityManager管理session又是委托给sessionManager的,在开发web项目中,我们一般会使用

org.apache.shiro.web.mgt.DefaultWebSecurityManager

来创建securityManager,我们看一下这个DefaultWebSecurityManager默认是使用的哪个session管理器,它的构造方法如下

public DefaultWebSecurityManager() {
super();
((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
this.sessionMode = HTTP_SESSION_MODE;
setSubjectFactory(new DefaultWebSubjectFactory());
setRememberMeManager(new CookieRememberMeManager());
setSessionManager(new ServletContainerSessionManager());//这里可以看到是使用的servlet的默认管理器
}

可以看到,如果构造一个DefaultWebSecurityManager,它使用的是

org.apache.shiro.web.session.mgt.ServletContainerSessionManager

它是依赖于浏览器的cookie来维护session的,那肯定不能实现无状态的会话。

不过shiro还提供了另一个基于web的session管理器,它就是

org.apache.shiro.web.session.mgt.DefaultWebSessionManager

如果我们想实现自己的一套session管理器,都会选择去继承它来重写

 

小提示:笔者1.4.0的版本,当前是最新版本,无法直接在security中设置sessionManager的时候,直接new一个DefaultWebSessionManager,如下:

 

@Bean
public SecurityManager securityManager(){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setSessionManager(new DefaultWebSessionManager());
securityManager.setRealm(new WebRealm());
return securityManager;
}

 

如果直接设置为DefaultWebSessionManager,那么在有http请求的时候会报错,提示找不到SecurityManager,解决办法是写一个类来继承它,哪怕继承后什么都不做,都可以解决这个问题

 

 

三:重写shiro的sessionManager

上面说到我们要重写DefaultWebSessionManager,那我们要怎么重写呢?

import org.apache.shiro.session.mgt.SessionKey;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.Serializable;
import java.util.UUID;

/**
* @author zxj<br>
* 时间 2017/11/8 15:55
* 说明 ...
*/
public class StatelessSessionManager extends DefaultWebSessionManager {
/**
* 这个是服务端要返回给客户端,
*/
public final static String TOKEN_NAME = "TOKEN";
/**
* 这个是客户端请求给服务端带的header
*/
public final static String HEADER_TOKEN_NAME = "token";
public final static Logger LOG = LoggerFactory.getLogger(StatelessSessionManager.class);


@Override
public Serializable getSessionId(SessionKey key) {
Serializable sessionId = key.getSessionId();
if(sessionId == null){
HttpServletRequest request = WebUtils.getHttpRequest(key);
HttpServletResponse response = WebUtils.getHttpResponse(key);
sessionId = this.getSessionId(request,response);
}
HttpServletRequest request = WebUtils.getHttpRequest(key);
request.setAttribute(TOKEN_NAME,sessionId.toString());
return sessionId;
}

@Override
protected Serializable getSessionId(ServletRequest servletRequest, ServletResponse servletResponse) {
HttpServletRequest request = (HttpServletRequest) servletRequest;
String token = request.getHeader(HEADER_TOKEN_NAME);
if(token == null){
token = UUID.randomUUID().toString();
}

//这段代码还没有去查看其作用,但是这是其父类中所拥有的代码,重写完后我复制了过来...开始
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,
ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
//这段代码还没有去查看其作用,但是这是其父类中所拥有的代码,重写完后我复制了过来...结束
return token;
}

}

 

三:源码分析

 

 

上面就是完整的重写的代码,我们一个一个方法来看

3.1:第一个方法

 

public Serializable getSessionId(SessionKey key)

 

这个方法的覆盖和它的父类其实没有太大的区别,逻辑上面都是通过一个sessionKey来获取一个sessionId,但是重写的部分多了一个把获取到的token设置到request的部分,这是因为app调用登陆接口的时候,是没有token的,登陆成功后,产生了token,我们把它放到request中,返回结果给客户端的时候,把它从request中取出来,并且传递给客户端,客户端每次带着这个token过来,就相当于是浏览器的cookie的作用,也就能维护会话了

 

这里不得不说一下sessionId和sessionKey的区别了,本人也是因为这个东西坑了好久,从字面上面看,sessionKey是一个对象,而sessionId是一个serializable对象,实际上从我们返回的token可以知道,它就是一个String。

 

sessionKey是在sessionStore中,对应存储的key值,而sessionId则就是请求带来的token,或者是浏览器请求的cookie中的jsessionid。

 

我们要想象一个,他们有什么关系呢?我们通过sessionId,应该得到sessionKey,然后通过sessionKey,能在sessionStore中找到session,那我们就把sessionId与sessionKey相等吧,这样就不用找对应关系了,因为sessionId就等于sessionKey的话,那我们也不需要保存他们之间的对应关系了,而其实DefaultWebSessionManager也是这样做的,因数sessionKey这个对象里面就有一个sessionId。

 

但是有一个值得注意的是,这个方法会被调用多次,用户登陆成功以后,会话保持成功后,怎么调用,传入的sessionKey都是一样的,但是我们把镜头拉到用户登陆的那一次请求中,就会发现一些不同的地方了。

 

  我们可以看到,第一次调用时,sessionKey里面的sessionId是空的,按照我们的逻辑,我们会调用第二个方法,取得header中的token,然后返回sessionId为token。

  断点继续,第二次调用的时候,也会传入一个sessionKey,但是这个sessionKey里面的sessionId值却已经有了,它是一个uuid,但是sessionKey里面的sessionId,与第一次返回的sessionId不一致,或者说和我们的token不一致,这是为什么呢?

  因为当得到sessionId时,session管理器会尝试到sessionStore中通过这个sessionKey去获取一个session,但是可以肯定的是,这个session肯定是得不到的,因为还没有代码给它创建,所以当检测到获取到的session为null的时候,会调用sessionStore的createSession方法,这个时候,它会生成一个随机的sessionId,然后根据这个新生成的sessionId,创建一个session,然后会把这个sessionId设置到sessionKey里面,替换掉之前的sessionId,所以我们在这个方法后面的几次调用就就会发现第一次不一样,sessionId也和第一次返回的sessionId不一样,因为它创建session的时候生成了一个新的sessionId,这个时候我们要怎么办呢?

 

 

我们就修改客户端的token,让它与最新生成的sessionId一致就行了,所以之前说的,这里面有一个把token设置到request中的代码,就是在返回给客户端的时候,通知给客户端最新的token,而不是继续沿用之前的token,因为这个token在sessionStore中是没法取出一个session的。

 

还有一个要注意的地方,我们从request取出新的token返回给客户端的时候,要在认证完成之后,因为只有当认证完成之后,才会创建session,才会得到最新的token并返回给客户端,不然返回的是老的token。

代码如下:

@RequestMapping("/")
public void login(@RequestParam("code")String code, HttpServletRequest request){
Map<String,Object> data = new HashMap<>();
if(SecurityUtils.getSubject().isAuthenticated()){
        //这里代码着已经登陆成功,所以自然不用再次认证,直接从rquest中取出就行了,
data.put(StatelessSessionManager.HEADER_TOKEN_NAME,getServerToken());
data.put(BIND,ShiroKit.getUser().getTel() != null);
response(data);
}
LOG.info("授权码为:" + code);
AuthorizationService authorizationService = authorizationFactory.getAuthorizationService(Constant.clientType);
UserDetail authorization = authorizationService.authorization(code);



Oauth2UserDetail userDetail = (Oauth2UserDetail) authorization;

loginService.login(userDetail);
User user = userService.saveUser(userDetail,Constant.clientType.toString());
ShiroKit.getSession().setAttribute(ShiroKit.USER_DETAIL_KEY,userDetail);
ShiroKit.getSession().setAttribute(ShiroKit.USER_KEY,user);
data.put(BIND,user.getTel() != null);
      //这里的代码,必须放到login之执行,因为login后,才会创建session,才会得到最新的token咯
data.put(StatelessSessionManager.HEADER_TOKEN_NAME,getServerToken());
response(data);
}

我们把token返回给客户端,然后客户端每次请求时,带上这个token,我们就维持这个会话了

 

3.2:第二个方法

方法签名如下

 

protected Serializable getSessionId(ServletRequest servletRequest, ServletResponse servletResponse)

 

 

第二个方法相对简单,因为仅仅是获取token而已,可以从header获取,参数中获取,cookie中获取,当然用户第一次请求的时候,肯定是没有token的,只有登陆成功后才会得到token,所以当token为null的时候,我们生成了一个uuid,但是这个uuid并不会成为后面的token,这个在上面有讲到,因为会被后面生成session时生成的sessionId给替换掉。

 

而至少那一堆设置数据到request中的代码,我也没去看具体做什么用的,因为它的父类中,执行这个方法的时候,有这些代码的设置,复制过来,怕出什么问题。

 

四:完整配置代码

 

完整的配置代码如下:

 

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author zxj<br>
 * 时间 2017/11/8 15:40
 * 说明 ...
 */
@Configuration
public class ShiroConfiguration {

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 此处注入一个realm
     * @param realm
     * @return
     */
    @Bean
    public SecurityManager securityManager(Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setSessionManager(new StatelessSessionManager());
        securityManager.setRealm(realm);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);

        Map<String,String> map = new LinkedHashMap<>();
        map.put("/public/**","anon");
        map.put("/login/**","anon");
        map.put("/**","user");
        bean.setFilterChainDefinitionMap(map);

        return bean;
    }
}

其实完整的配置代码都已经不重要了,重要的就是sessionManager,上面红色部分说明了怎么把我们自己写的sessionManager设置到securityManager中。

 

I_m_you_papa
关注
专栏目录
shiro状态鉴权
qq_34609370的博客
11-20 657
1、什么是有状态鉴权: 2、什么是无状态鉴权: (1)服务器不保存用户的登录信息! (2)微服务集群中的每个服务,对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是:服务的无状态性,即: 服务端不保存任何客户端请求者信息 客户端的每次请求必须具备自描述信息(jwt),通过这些信息识别客户端身份 (3)来的好处是什么呢? 客户端请求不依赖服务端的信息,任何多次请求不需要必须...
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 385
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
49、实现shiro状态访问(自定义token)
lixiang987654321的专栏
09-07 1338
前言 http协议是无状态协议。浏览器访问服务器时,要让服务器知道你是谁,只有两种方式: 方式一:把“你是谁”写入cookie。它会随每次HTTP请求到服务端; 方式二:在URL、表单数据中上你的用户信息(也可能在HTTP头部)。这种方式依赖于从特定的网页入口进入,因为只有走特定的入口,才有机会拼装出相应的信息,提交到服务端。 大部分SSO需求都希望不依赖特定的网页入口(集成门户除外),所...
WEB中有状态和无状态会话的区别
08-09 501
状态和无状态会话的区别 1 无状态 (Stateless) 在不同方法调用间不保留任何状态 。 事务处理必须在一个方法中结束 。 通常资源占用较少;可以被共享(因为它是无状态的) 。 无状态不会"专门"保存客户端的状态----(需要强调“专门”是因为无状态会话Bean也会有成员变量,有成员变量就可以保存状...
php如何实现状态,springCloud-依赖Spring Security使用 JWT实现状态的分布式会话...
weixin_35993844的博客
03-25 267
案例在前后端分离的,后端微服务的情况下,会话已经不再适合保存在服务端,使用redis可以保存会话,但是需要在redis集群之间进行复制,如果用户较多,保存的数据量也比较大。JWT实现状态会话机制,是一个解决方案。1、什么是无状态?微服务集群中的每个服务,对外提供的都使用RESTful风格的接口。而RESTful风格的一个最重要的规范就是:服务的无状态性,即:1、服务端不保存任何客户端请求者信息...
跟我学shiro文档及源码
07-17
在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
springboot+shiro开发的公司网站源码
06-28
SpringBoot和Shiro是两个非常重要的...通过以上分析,我们可以看出这个源码项目涵盖了企业级Web开发的多个方面,包括前后端分离、数据库设计、安全控制等,对于学习和实践SpringBoot及Shiro的使用具有很高的参考价值。
Maven基于SSM+Shiro小区垃圾分类管理系统设计源码案例设计.zip
04-19
通过分析这个项目,开发者可以学习到如何将SSM框架与Shiro整合,实现一个完整的Web应用,并且掌握如何设计和实现一个与现实生活密切相关的管理系统,提升实际开发能力。同时,这个案例也提供了对垃圾分类这一社会...
尚硅谷Shiro源码
11-30
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份认证、授权(权限管理)、加密和会话...此外,分析源码也有助于提升我们对于Java安全框架的设计和实现的理解,为今后的项目提供更安全、更高效的解决方案。
基于SpringBoot、Mybaitis-Plus、Redis、Shiro+JWT构建无状态、Hadoop的云网盘存储系统
03-13
人工智能-hadoop
微信小程序实现Session功能及无法获取session问题的解决方法
01-03
因为小程序原生不支持Cookie,因此也不支持Session。 网上找到的的一些方法有缺陷,而且很多累赘,估计没有实际测试过,在此直接给出实测可用的代码。 大概思路就是借助小程序本地储存+网络请求的header可读可写来实现类似浏览器的cookies保存session功能。 直接上代码 function NetRequest({url, data, success, fail, complete, method = POST, header = { 'Content-type': 'application/x-www-form-urlencoded' }}) { let session
推荐项目:ShiroJwt - 无状态鉴权新体验
最新发布
gitblog_00033的博客
05-18 304
推荐项目:ShiroJwt - 无状态鉴权新体验 ShiroJwtAPI SpringBoot + Shiro + Java-Jwt + Redis(Jedis)项目地址:https://gitcode.com/gh_mirrors/sh/ShiroJwt 项目介绍 ShiroJwt是一个基于SpringBoot、Mybatis Generator和Shiro的现代化鉴权解决方案,它引入了Jav...
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
m0_67402125的博客
08-25 458
在这里进行用户身份验证和授权。/*** @ Description : 自定义Realm,实现Shiro认证*/@Component@Override}/*** 用户授权* @return*/@OverrideSystem.out.println("用户授权");//正确的业务流程是到数据库拿该用户的权限再去进行授权的,这里只是简单的直接授权}else {}}/*** 用户身份认证* @return*/@Override。
razor 怎样使用session变量_Shiro中的Session管理
weixin_39758041的博客
11-19 151
最近工作中用到shiro,对其session管理有些模糊,趁假期,好好理一下。Session在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时,如果该用户还没有会话,则Web服务器将自动...
must implement java.io.Serializable 错误 dubbo
热门推荐
hao1454507493的博客
03-26 1万+
dubbo 调用遇到错误 很简单 实体类 implements Serializable 就好 多层嵌套实体 每个实体都要序列化 都要实现 implements Serializable 然后就可以解决问题 ...
安全认证框架-Apache Shiro研究心得
待定的专栏
03-07 2050
最近因为项目需要,研究了一下Apache Shiro安全认证框架,把心得记录下来。(原创by:西风吹雨) Apache Shrio是一个安全认证框架,和Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供Session中)机制,这样就可以和HttpSession、EJB Session
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 4212
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
shiro-会话管理(session管理)
egegerhn的博客
08-24 348
通过jedis来实现session共享主要是重写他的一些增删改查方法,主要是通过重写AbstractSessionDAO的一些方法,我们新建自己的dao,新建session.RedisSessionDao.java。shiro自己实现了一套session管理体系可以在不借助任何web容器或servlet的情况下使用session。这样我们的JedisPool就创建成功了,我们在JedisUtils里引入。在spring.xml文件里引入spring-redis.xml。pom.xml文件中添加依赖。
Shiro源码解析:Subject与Session深度探究
"Shiro源码分析,涉及Subject和Session的创建与管理" Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。在深入学习Shiro的过程中,了解其核心组件Subject和Session的工作原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值