要求
做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。
实现步骤
有一些代码是在其他人的博客里面复制的
在原来的使用sessionId的项目基础上做以下修改:
-
增加SessionManager要求继承DefaultWebSessionManager。
package com.llx.studio.config.shiro;
import org.apache.commons.lang.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;public class ShiroSessionManager extends DefaultWebSessionManager {
private static final String AUTHORIZATION = "authToken"; private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request"; public ShiroSessionManager(){ super(); } @Override protected Serializable getSessionId(ServletRequest request, ServletResponse response){ String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION); if(StringUtils.isEmpty(id)){ //如果没有携带id参数则按照父类的方式在cookie进行获取 return super.getSessionId(request, response); }else{ //如果请求头中有 authToken 则其值为sessionId request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE); request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID,id); request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,Boolean.TRUE); return id; } }
}
-
在ShiroConfiguration 配置文件里面添加以下内容
/**
* 自定义sessionManager
* @return
*/
@Bean
public SessionManager sessionManager(){
ShiroSessionManager shiroSessionManager = new ShiroSessionManager();
//这里可以不设置。Shiro有默认的session管理。如果缓存为Redis则需改用Redis的管理
shiroSessionManager.setSessionDAO(sessionDAO());
return shiroSessionManager;
}@Bean public SessionDAO sessionDAO() { return new MemorySessionDAO();//使用默认的MemorySessionDAO }
3 在继承AuthorizingRealm的自定义Realm 里添加以下内容
使用spring容器获取sessionDAO 主要是用来获取所有会话(getActiveSessions)的
@Autowired
private SessionDAO sessionDAO;
doGetAuthenticationInfo方法下
//获取所有session
Collection<Session> activeSessions = sessionDAO.getActiveSessions();
//判断用户是否与登入
for (Session s : activeSessions){
JSONObject attribute = (JSONObject)s.getAttribute(Constants.SESSION_USER_INFO);
//如果有登入,则销毁session
if (attribute.getString("userName").equals(loginName)) s.stop();
}
-
登入成功后直接获取SessionID,并放到body里面
currentUser.login(token); Serializable id = currentUser.getSession().getId(); info.put("token", id);
缺点
他还是会设置cookie,我不知道怎么让shiro不是向cookie里面设置值,改成在body里面,所有我现在了同时都设置。有知道的小伙伴可以告诉我,谢谢观看!