在前后端分离的项目中,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制

最新推荐文章于 2023-12-21 22:06:08 发布
最新推荐文章于 2023-12-21 22:06:08 发布
阅读量6.5w 收藏 86
点赞数 13
分类专栏: JAVAWEB 前后端分离 文章标签: ajax shiro session 前后端分离 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/palerock/article/details/73457415
版权

在前后端分离的项目中,ajax跨域和保存用户信息是其中的重点和难点。

如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。

在前一篇文章《在前后端分离的项目中,ajax跨域请求怎样附带cookie》中,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目中使用shrio的session(会话管理系统)。

但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更好的模式来使用session。

在传统的前后端分离模式中,我们通常是在请求头中增加一个请求头Authorization,它的值是一串加密的信息或者密钥,在后台通过对这个请求头值的读取,获取用户的信息。

而在这样的模式中,通常都是开发者自己设计的session或者加密方式来读取和保存用户信息,而在shiro中,集成了权限控制和用户管理在它的session系统中,这就意味着我们只能通过他所规定的session+cookie来保存用户信息,在这种情况下,该以什么方式在前后端分离的项目中使用shiro?

通过资料的查询,和对shiro设计模式的解读,我发现shiro和servlet一样实在cookie中存储一个session会话的id然后在每次请求中读取该session的id并获取session,这样就可以获取指定session中储存的用户信息。

我的想法就是通过重写shiro中获取cookie中的sessionId的方法来获取请求头Authorization中的密钥,而密钥储存的便是登录是返回的sessionId,从而实现在前后端分离的项目中使用shiro框架。

接下来就是代码演示(使用SpringMVC+Shiro),只贴出核心代码:

首先是登录的代码:

    @ResponseBody
    @RequestMapping(value = "/login", method = RequestMethod.POST, produces = "application/json;charset=utf-8")
    public String login(
            @RequestParam(required = false) String username,
            @RequestParam(required = false) String password
    ) {

        JSONObject jsonObject = new JSONObject();

        Subject subject = SecurityUtils.getSubject();

        password = MD5Tools.MD5(
最低0.47元/天 解锁文章
苍石
关注
  • 13
    点赞
  • 86
    收藏
    觉得还不错? 一键收藏
  • 40
    评论
专栏目录
springboot 2.1 + shiro + redis + layUI后台权限管理系统.zip
03-23
该系统可以帮助学生理解并掌握软件开发的全过程,包括需求分析、系统设计、编码实现以及测试部署等。
后台管理系统前后端分离后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
最新发布
02-22
后台管理系统前后端分离后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen
后端页面分离导致session无法正常获取的问题
热门推荐
qq_22824481的博客
07-11 1万+
后端页面分离导致的跨域问题和session丢失问题的解决 前几天遇到个由于经验不足,导致找了很久才找到的问题。就是我在我的电脑虚拟机上编写的java服务端接口,在做登录与检查登录接口用到了session储存用户数据,当在html放在我的项目里面,能够很好地获取到session值,但是把html放到前端人员自己的电脑上session不能获取到对应的值。 网上查询后知道...
基于session的登录权限控制及redis缓存引入
TZJ0709的博客
06-06 373
一、容器端session   1、当浏览器第一次访问服务器使用request.getSession()方法,服务器会创建一个Session对象和具有JSESSIONID键值的cookie,成功返回后浏览器会得到一个包含sessionId的Cookie。   2、浏览器再次访问服务器,会携带具有JSESSIONID属性的cookie到服务器,再次使用request.getSess...
vue2 前后端分离项目ajax跨域session问题解决方法
08-30
本篇文章主要介绍了vue2 前后端分离项目ajax跨域session问题解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于session做的权限控制
weixin_33829657的博客
09-26 1524
一直听说做权限将登陆信息放在session,实际也说不太出个所以然来,幸运在工作当接触到了对应的代码的copy。 实现思路:   类似于粗粒度的权限控制   将权限控制的文件按包分隔好,对应的url前缀也遵照一些标准统一。   定义包装用户信息类,包括登录后的用户信息和登录状态,用户授权信息等   使用过滤器,拦截通用请求、登录请求之外的所有请求。     过滤器进行session包装用户...
前后端分离项目使用Shiro
m0_59092234的博客
08-28 306
super();}//前端ajax的headers必须传入Authorization的值//如果请求头有 Authorization 则其值为sessionIdif (!return id;} else {//否则按默认规则从cookiesessionId}}}
21.Shiro在springboot与vue前后端分离项目里的session管理
s_156的博客
05-21 893
1.前言 当决定前端后端代码分开部署,发现shiro自带的session不起作用了。 然后通过对请求head的分析,然后在网上查找一部分解决方案。 最终就是,登录成功之后,前端接收到后端传回来的sessionId,存入cookie。 之后,前端后端发送请求,请求Head都会带上这个sessionid。 后端代码通过对这个sessionid的解析,拿到正确的session。 2.代码改造 (1)后端代码改造 添加CustomSessionManager.java /** * 类的详细说明 * *
权限框架Shiro快速整合前后端分离项目
Robot Kevin的世界
08-23 2235
欢迎关顾我的博客 开端 好的,起因是我把最近做好的项目给一部分人进行了测试,发现大部分朋友都提出了同一个问题,你的系统权限管理是如何实现的。我只能尴尬的说一句,不好意思这部分还没开发。然而我也知道,其实对于一个项目来说,权限可以说是最主要的一部分。后端除了对权限进行处理,其实也就是提供一些业务逻辑对 CRUD 进行组合拼装。所以我打算接下来学习权限控制方面的知识并整合到我的项目去,顺便把我的学习笔记分享给大家。 而对于权限控制框架呢,听的最多的还是 Shiro 还有 Spring Security。Sp
Shiro实战系列--用Session控制权限
IT利刃出鞘的博客
10-18 7340
原文网址: 其他网址 Shiro实例系列 Shiro--实例--SpringBoot_IT利刃出鞘的博客-CSDN博客(本文)Shiro--实例--SpringBoot--shiro-redis_IT利刃出鞘的博客-CSDN博客Shiro--实例--SpringBoot--jwt_IT利刃出鞘的博客-CSDN博客 参考网址 SpringBoot - 安全框架Shiro的整合与使用教程(附样例)Spring Boot 整合 Shiro ,两种方式全总结! - SegmentFault 思否sp
功能:Session与Vue:登录获取权限,并完成session存储
qq_43548684的博客
12-14 7711
有问题的话,或者有更优解,请各位大佬指出来哇哇哇~~~
拦截器session实现权限控制
qq_36022463的博客
05-11 414
拦截器: 自定义一个拦截器 继承 HandlerInterceptorAdapter 将自定义拦截器添加到springmvc,,实现WebMvcConfigurer,,重写addInterceptors() 代码: 配置类: @Component public class AuthInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServletRequest
springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
qq_30519365的博客
12-21 1249
【代码】springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
Session与Token认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3894
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
shiro获取session的数据
choubeihao6224的博客
03-18 2564
使用shiro: 页面拿Session的user对象:<shiro:principal > 代表user对象。 程序Session的user对象:SecurityUtils.getSubject();-->subject.get p...
shiro登录接口session获取
qq_21246715的博客
11-04 765
import com.visystem.framework.shiro.session.OnlineSession; public void login(ServletRequest request) { //用户session OnlineSession session = (OnlineSession) request.getAttribute(ShiroConstants.ONLINE_SESSION); .
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值