springboot shiro 实现token

最新推荐文章于 2023-08-24 00:05:49 发布
最新推荐文章于 2023-08-24 00:05:49 发布
阅读量1.1k 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392409/article/details/124034640
版权

要求

做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。

实现步骤

有一些代码是在其他人的博客里面复制的
在原来的使用sessionId的项目基础上做以下修改:

  1. 增加SessionManager要求继承DefaultWebSessionManager。

    package com.llx.studio.config.shiro;

    import org.apache.commons.lang.StringUtils;
    import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
    import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
    import org.apache.shiro.web.util.WebUtils;

    import javax.servlet.ServletRequest;
    import javax.servlet.ServletResponse;
    import java.io.Serializable;

    public class ShiroSessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "authToken";

private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

public ShiroSessionManager(){
    super();
}

@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response){
    String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
    if(StringUtils.isEmpty(id)){
        //如果没有携带id参数则按照父类的方式在cookie进行获取

        return super.getSessionId(request, response);
    }else{
        //如果请求头中有 authToken 则其值为sessionId
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE);
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID,id);
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,Boolean.TRUE);
        return id;
    }
}

    }

  2. 在ShiroConfiguration 配置文件里面添加以下内容

    /**
    * 自定义sessionManager
    * @return
    */
    @Bean
    public SessionManager sessionManager(){
    ShiroSessionManager shiroSessionManager = new ShiroSessionManager();
    //这里可以不设置。Shiro有默认的session管理。如果缓存为Redis则需改用Redis的管理
    shiroSessionManager.setSessionDAO(sessionDAO());
    return shiroSessionManager;
    }

    @Bean
public SessionDAO sessionDAO() {
    return new MemorySessionDAO();//使用默认的MemorySessionDAO
}

3 在继承AuthorizingRealm的自定义Realm 里添加以下内容

使用spring容器获取sessionDAO 主要是用来获取所有会话(getActiveSessions)的

    @Autowired
    private SessionDAO sessionDAO;

doGetAuthenticationInfo方法下

//获取所有session
        Collection<Session> activeSessions = sessionDAO.getActiveSessions();
        //判断用户是否与登入
        for (Session s : activeSessions){
            JSONObject attribute = (JSONObject)s.getAttribute(Constants.SESSION_USER_INFO);
            //如果有登入,则销毁session
            if (attribute.getString("userName").equals(loginName)) s.stop();
        }

  1. 登入成功后直接获取SessionID,并放到body里面

    		currentUser.login(token);
		Serializable id = currentUser.getSession().getId();
		info.put("token", id);

缺点

他还是会设置cookie,我不知道怎么让shiro不是向cookie里面设置值,改成在body里面,所有我现在了同时都设置。有知道的小伙伴可以告诉我,谢谢观看!

m0_67392409
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
shiro使用(使用token预热,为什么要使用token)
特别享受思考问题的过程
05-05 8013
既然要做,就做的细致一点,对得起自己! 常见问题:1.是否思考过传统web项目是如何进行请求合法性的验证?请看第一部分 2.是否认真思考过token和Session相比真正的优势在哪里?请看简单总结 3.使用token的正确姿势是什么?请看问题思考 第一部分:传统web(前后端没有分离的时代)项目是如何保证服务器接收的请...
springboot集成shiro完成token认证,以及需要注意的点
qq_26112725的博客
08-24 1063
注意 :继承 UsernamePasswordToken 类后,账号跟密码使用了 UsernamePasswordToken 类的构造方法2.自定义Realm@Override//授权@Override/*常见的方法:addRole(String role):向授权信息中添加角色。addRoles(Collection roles):向授权信息中添加多个角色。
Shiro之前后端分离时获取请求头Authorization中的token
china_hdy的博客
04-26 2万+
重写DefaultWebSessionManager(org.apache.shiro.web.session.mgt.DefaultWebSessionManager)类中的getSessionId方法,代码如下:public class CustomDefaultWebSessionManager extends DefaultWebSessionManager  { /**  * 获取se...
shiro为何获取不到请求头中的token
weixin_43999127的博客
07-16 3342
后端分离项目中,由于跨域,会导致复杂请求,即会发送预检请求(preflighted request),这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。 先简单介绍一下跨域是什么? 在开发中前后端并不在一个端口下...
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 5192
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为tokenShirotoken实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用.
008-shiro使用token认证
这个需求,做不了
05-25 8296
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
Spring-shiro-Boot-4 存储token
良之才的专栏
03-14 1769
这节主要讲用redis存储token,跟shiro基本上没有关系。 但是与是使用shiro做无状态管理所需要的。 一、token组成: (1)在redis中存储 [key] tokens:UUID-key [value] usernamePasswordToken的JSON字符串 [expire] 过期时间 (2)在java中的数据模型 public class Token implements Serializable { private static final long s
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
shiro - 使用 token
bhegi_seg的博客
03-28 1130
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
基于springboot框架,前后端分离模式下的shiro + pac4j +cas实现统一登录功能,子应用采用shiro鉴权,通过pac4j与cas交互,最终向前端返回jwt token
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
springboot-shiro
08-01
使用springboot2.0整合shiro 包含文件:sql,内容:session会话过期时间设置,缓存设置,一同整合了mybatis-generator.
手牵手带你整合Shiro+JWT实现认证功能
小咸白鱼的博客
11-23 7525
需要对 shiro 和 jwt 有一定的了解。 Shiro和JWT的区别 ​ 整合之前需要清楚Shiro和JWT的区别。 首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生成token的机制,需要我们自己编写相关的生成逻辑。 其次Shiro可以对权限进行管理,JWT在权限这部分也只能封装到token中,需要我们自己实现处理逻辑。 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存session,而是生成t.
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 3673
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
springbootshiro跨域CORS请求,拿不到headers中的token值解决
一勺菠萝丶的博客
01-04 1万+
项目背景: 最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过...
SpringBoot+Shiro后端无法获取到Header里面的Token问题
relosy的博客
06-02 2016
最近在做一个后台用Spring boot、Shiro、Mybatis plus 前台用React的项目.前端调完登录接口后。在调后台接口的时候需要在浏览器中的headers头中添加token的值,后台有一个过滤器,获取到headers中的token并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和值,并且前端会报跨域问题。 之前在写的时候一直用的postman测试,也没有遇到问题,其实是因为Postman本身就没有跨域问题。前后端联调时就遇到了.
SpringbootShiro+Token使用redis做安全认证方案
程序员闪充宝
03-15 8983
以前项目中权限认证没有使用安全框架,都是在自定义 filter 中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring securi...
springboot shiro token
最新发布
09-06
Spring Boot和Shiro是两个独立的开源项目,可以结合使用来实现身份认证和授权功能。在Spring Boot中集成Shiro,可以使用Shiro提供的Token来进行用户身份认证。 在使用Shiro进行身份认证时,可以使用不同类型的Token,比如UsernamePasswordToken、JWTToken等。这些Token实现Shiro的AuthenticationToken接口,用于传递用户的身份信息。 下面是一个使用Shiro Token进行身份认证的简单示例: 1. 首先,需要在Spring Boot的依赖管理中添加Shiro和相应的Token库的依赖,比如shiro-spring、shiro-jwt等。 2. 创建一个自定义的Token类,继承Shiro的AuthenticationToken接口,并实现其中的方法。该Token类可以封装用户的身份信息,比如用户名和密码等。 3. 在Shiro的配置类中,配置认证器(Authenticator)和Realm等相关信息。认证器负责验证用户的身份信息,并将其与数据库或其他存储中的用户信息进行比对。 4. 在需要进行身份认证的地方,可以通过SecurityUtils获取当前Subject对象,并调用其login方法进行身份认证。在login方法中,将自定义的Token对象传入即可。 5. 根据需要,可以使用Shiro的注解来进行授权操作,比如@RequiresPermissions、@RequiresRoles等。 这只是一个简单的示例,具体的使用方式还需要根据具体的需求和场景来进行调整。你可以参考Shiro的官方文档和Spring Boot的相关文档,深入了解和学习如何使用Spring Boot和Shiro实现身份认证和授权功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值