要求
做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。
实现步骤
有一些代码是在其他人的博客里面复制的
在原来的使用sessionId的项目基础上做以下修改:
- 增加SessionManager要求继承DefaultWebSessionManager。
package com.llx.studio.config.shiro;
import org.apache.commons.lang.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;
public class ShiroSessionManager extends DefaultWebSessionManager {
private static final String AUTHORIZATION = "authToken";
private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
public ShiroSessionManager(){
super();
}
@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response){
String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
if(StringUtils.isEmpty(id)){
//如果没有携带id参数则按照父类的方式在cookie进行获取
return super.getSessionId(request, response);
}else{
//如果请求头中有 authToken 则其值为sessionId
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID,id);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,Boolean.TRUE);
return id;
}
}
}
- 在ShiroConfiguration 配置文件里面添加以下内容
/**
* 自定义sessionManager
* @return
*/
@Bean
public SessionManager sessionManager(){
ShiroSessionManager shiroSessionManager = new ShiroSessionManager();
//这里可以不设置。Shiro有默认的session管理。如果缓存为Redis则需改用Redis的管理
shiroSessionManager.setSessionDAO(sessionDAO());
return shiroSessionManager;
}
@Bean
public SessionDAO sessionDAO() {
return new MemorySessionDAO();//使用默认的MemorySessionDAO
}
3 在继承AuthorizingRealm的自定义Realm 里添加以下内容
使用spring容器获取sessionDAO 主要是用来获取所有会话(getActiveSessions)的
@Autowired
private SessionDAO sessionDAO;
doGetAuthenticationInfo方法下
//获取所有session
Collection<Session> activeSessions = sessionDAO.getActiveSessions();
//判断用户是否与登入
for (Session s : activeSessions){
JSONObject attribute = (JSONObject)s.getAttribute(Constants.SESSION_USER_INFO);
//如果有登入,则销毁session
if (attribute.getString("userName").equals(loginName)) s.stop();
}
- 登入成功后直接获取SessionID,并放到body里面
currentUser.login(token);
Serializable id = currentUser.getSession().getId();
info.put("token", id);
缺点
他还是会设置cookie,我不知道怎么让shiro不是向cookie里面设置值,改成在body里面,所有我现在了同时都设置。有知道的小伙伴可以告诉我,谢谢观看!