api 接口 shiro 权限控制 springmvc

最新推荐文章于 2024-05-25 08:00:00 发布
最新推荐文章于 2024-05-25 08:00:00 发布
阅读量7.7k 收藏
点赞数
分类专栏: shiro 文章标签: shiro api token springmvc 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvzhyt/article/details/81298370
版权

 

采用前后端分离的方式,前端api接口访问,后端通过shiro权限控制。

设置跨域访问后,ajax携带cookie需要设置允许的access-orign。

可通过如下设置动态的。

// filter 中设置
if(request.getHeader("Origin").contains("mydomain.com")) {
    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
}

<!-- springmv 配置设置 -->
<mvc:cors>
        <mvc:mapping path="/**" allowed-origins="http://localhost:8081"/>
    </mvc:cors>

现在想通过Token的方式去验证。

用户登录后返回Token即SessionId

前端:header中添加  Access-Token 值为SessionId

后端:重写DefaultWebSessionManager中的getSessionId方法。

先从Header取Token值,没有再按照默认取值:cookie->url->paramter。

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;

public class AccessTokenSessionManager extends DefaultWebSessionManager {

    public static final String ACCESS_TOKEN = "Access-Token";

    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        if(request instanceof HttpServletRequest){
            HttpServletRequest httpServletRequest = (HttpServletRequest) request;
            String sessionId = httpServletRequest.getHeader(ACCESS_TOKEN);
            if(sessionId!=null) {
                return sessionId;
            }
        }
        return super.getSessionId(request,response);
    }


}

配置文件中指定SessionManager

<bean id="sessionManager" class="com.tg.shop.context.shiro.session.AccessTokenSessionManager" ></bean>

<!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="sampleRealm"/>
        <property name="sessionManager" ref="sessionManager"/>
    </bean>

还有一个问题:API返回的json值,shiro若(登录、角色、权限)验证未通过,会跳转URL而,ajax不能重定向。API接口期望返回JSON值。解决:可自定义ShiroFilter继承 AccessControlFilter,验证失败 直接response out自定义json即可。自定义的shiro需在配置文件中配置。

<bean id="login" class="com.tg.shop.context.shiro.filter.LoginFilter"/>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="filters">
            <util:map>
                <entry key="login" value-ref="login"></entry>
            </util:map>
        </property>
</bean>

 

琴岛橙子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java api鉴权_单一入口的API接口使用shiro如果进行权限鉴权
weixin_31819459的博客
02-28 902
自定义过滤器,重写isAccessAllowed自定义realm,重写doGetAuthorizationInfo我需要根据链接参数不同进行授权,就是通过这种方法的。public class CustomRealm extends AuthorizingRealm下面是授权代码/*** 获取权限*/@Overrideprotected AuthorizationInfo doGetAuthoriz...
Spring MVC整合Shiro权限控制的方法
08-27
Spring MVC整合Shiro权限控制的方法 Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...
通过SpringMVC+Annotation实现方法、按钮级别的细粒度权限控制
热门推荐
零全零美
01-18 6万+
随着企业信息化的不断深入,各种各样的信息系统成为提高企业运营及管理效率的必备工具,越来越多的企业核心机密如销售机会、客户资料、设计方案等通过信息系统存储、备案、流转,这些核心资料一旦外泄,势必对企业造成极大损失。科技时代,信息是企业生存的命脉,信息的安全也必然成为企业极度重视的问题。如今,随着各种信息安全措施的实施,信息泄密已经从外部泄漏向内部人员泄漏转移。外部的黑客、病毒要想获取有价值的信息,必
基于JWT 和 Shiro接口权限认证
最新发布
ZL_1618的博客
05-25 941
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiro中文api_Shiro
qq_43842093的博客
09-22 999
1 shiro Apache shiro 是一个 Java 安全框架。 功能:认证、授权、加密和会话管理功能 应用环境:JavaEE、JavaSE Subject 可看做成一个用户 SecurityManager 框架的核心API Reaim 域对象,用于取数据库中的数据,进行权限比对。 | 名词 | 名词中文解释 | | -------------- | ------------ | | Subject | 主体 | | Security | 安全 | | Realm | 领域、范围 | | Aut.
Shiro权限管理
qq_45455594的博客
01-07 151
1.sql语句权限表 CREATE TABLE role ( id INT NOT NULL AUTO_INCREMENT COMMENT 'ID', name VARCHAR(20) NOT NULL COMMENT '角色名称', description VARCHAR(200) COMMENT '描述', PRIMARY KEY (id) ) ENGINE = InnoDB COMMENT '角色'; ​ CREATE...
apache shiro jar包_shiro 安全框架(1)
weixin_39953244的博客
11-27 229
一.简介Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可 以用在JavaSE环境,也可以用在JavaEE环境。二.架构图1.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。如 下图:2.2.从Shiro内部看Shiro的架构,如下图所示:三、Shiro配...
shiro-1:springmvc+shiro 代码级别的权限控制
06-03
在这个“shiro-1:springmvc+shiro 代码级别的权限控制”项目中,我们将深入探讨如何将 Shiro 集成到 SpringMVC 应用中,实现细粒度的权限控制。 1. **Shiro 概述** Apache Shiro 提供了一套简单的 API 来处理身份...
springmvc shiro
12-07
综上所述,SpringMVCShiro的整合使得Web应用在处理用户身份验证、权限控制等方面变得更加便捷,而"无sql"配置则可能意味着在实现安全功能时,采用了非数据库的方式来存储用户信息,简化了系统架构。
cas结合 springmvc shiro 单点登录
04-30
我们可以利用ShiroAPI,根据用户角色和权限进行细粒度的控制,决定用户可以访问哪些资源。 7. **异常处理**:在实际应用中,需要对各种可能出现的异常情况进行处理,如网络错误、票据验证失败等,确保系统的稳定...
基于springmvc+shiro权限项目
04-12
Shiro提供了灵活的API,可以方便地集成到SpringMVC项目中,实现基于角色的访问控制(RBAC)。 **用户授权**: 项目实现了基于用户的授权,意味着每个用户都有特定的权限。用户可以被分配不同的角色,每个角色拥有...
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制
中文版参考手册Shiro_API.rar
06-11
Apache_Shiro中文参考手册,拿去用吧,学习Shiro用得着啊,不客气了!
Spring MVC 整合 Shiro 权限控制
Innocence_0的博客
01-13 259
Spring MVC 整合 Shiro 权限控制
Spring Mvc处理CORS跨域问题
haitunxiaomo的专栏
08-26 552
对于前端来说,跨域问题会经常遇到,前端有很多的处理方法,例如JSONP 就是使用的比较多的方案,但 JSONP 是一个非官方的跨域协议同时也只支持 GET 请求。所以这里就使用CORS处理跨域。这种处理方式,将工作完全交付给了后台java层去做了。下面简单说明下使用的步骤: 1、在web.xml中添加如下代码: <filter> <filter-name>cors</filter-name> <filter-class>myCORSFi.
SpringMVC接口权限拦截器的实现
weixin_34072159的博客
03-06 551
为什么80%的码农都做不了架构师?>>> ...
(2)Shiro学习过程中我用到的类和API
千里之行始于足下
09-21 551
Shiro常用的类首先是配置shiro的几个类1.LifecycleBeanPostProcessor 这个类是shiro的生命周期bean2.DefaultAdvisorAutoProxyCreator 代理对象 主要为shiro配置代理3.CredentialsMatcher 凭证匹配器所用到的类(一般我们用自己实现的凭证匹配器)4.AuthRealm 安全域 也用自己实现的域5.Def
014-Spring MVC处理CORS跨域
这个需求,做不了
11-11 1351
Spring MVC中处理CORS跨域 Spring MVC中处理CORS跨域有如下几种方式 @CrossOrigin(注解) CorsRegistry(全局配置) SpringMVC拦截器 实现Filter接口 编写axios异步请求 当然JQuery或直接AJAX请求也可以 编写test.html文件如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8">
springmvc+shiro,跨域配置好action能访问,静态资源却不可访问的可能的问题
sinat_33155679的博客
07-05 1615
springmvc跨域配置:&lt;mvc:cors&gt; &lt;mvc:mapping path="/**/**" allowed-origins="http://127.0.0.1:8099" allow-credentials="true" allowed-headers="*" max-age="1800" allowed-methods="
SpringMVC+Shiro实战:权限控制详解
- Shiro提供了简单易用的API,使得权限控制代码清晰明了。 - 它可以很好地与SpringMVC集成,不需要复杂的配置和编码。 - Shiro支持多种认证和授权模式,适用于多种应用场景。 SpringMVCShiro的结合为Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值