springboot整合shiro-spring-boot-web-starter实现前后端分离的跨域问题

最新推荐文章于 2022-08-13 22:56:52 发布
最新推荐文章于 2022-08-13 22:56:52 发布
阅读量6.4k 收藏 15
点赞数 5
分类专栏: springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq826303461/article/details/88538519
版权

 

最近从github上发现一个不错的项目,项目使用的是springboot整合shiro-spring-boot-web-starter实现前后端分离技术,

但部署的启动后,出现了一些问题。

这里是借鉴的文章:

https://segmentfault.com/a/1190000013630601

https://www.cnblogs.com/yfzhou/p/9813177.html

https://www.jianshu.com/p/dbe441dcdbcf

https://segmentfault.com/a/1190000014479154

这里是github上面的项目连接:

https://github.com/CaiBaoHong/biu

这里是shiro官方文档:

https://shiro.apache.org/spring-boot.html

项目本身采用的是gradle项目架构,我将其改为maven后发现了一个问题,关于登陆时,获取用户详细信息被shiro的过滤器拦截了下来。导致无法获取数据。同样的代码,在gradle上,没有问题,反而在maven架构上,出现了问题。百思不得其,实在没办法后只能通过修改shiro的过滤器,让其放行OPTIONS的请求。具体实现如下:

首先是jar:

<dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring-boot-web-starter</artifactId>
       <version>1.4.0</version>
</dependency>

前后端分离跨域解决方案是采用CORS

//这里实不实现接口没有影响
@Configuration
public class WebConfig implements WebMvcConfigurer {
//解决跨域
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration conf = new CorsConfiguration();
        conf.addAllowedHeader("*");
        conf.addAllowedMethod("*");
        conf.addAllowedOrigin("*");
        //允许cookie
        conf.setAllowCredentials(true);
        conf.setMaxAge(3600L);
        conf.addExposedHeader("set-cookie");
        conf.addExposedHeader("access-control-allow-headers");
        conf.addExposedHeader("access-control-allow-methods");
        conf.addExposedHeader("access-control-allow-origin");
        conf.addExposedHeader("access-control-max-age");
        conf.addExposedHeader("X-Frame-Options");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", conf); // 4 对接口配置跨域设置
        return new CorsFilter(source);
    }
}

这个是我shiro的验证类:

package com.mrlv.api.shiro;

import com.baomidou.mybatisplus.mapper.EntityWrapper;
import com.mrlv.api.entity.SysUser;
import com.mrlv.api.service.ISysPermService;
import com.mrlv.api.service.ISysRoleService;
import com.mrlv.api.service.ISysUserService;
import com.mrlv.api.vo.AuthVo;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.Set;
import java.util.stream.Collectors;

/**
 * 这个类是参照JDBCRealm写的
 */
public class UserRealm extends AuthorizingRealm  {

    private static final Logger log = LoggerFactory.getLogger(UserRealm.class);

    @Autowired
    private ISysUserService sysUserService;
    @Autowired
    private ISysRoleService sysRoleService;
    @Autowired
    private ISysPermService sysPermService;


    //适配密码,编写加密代码
//    @Override
//    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
//        //设置用于匹配密码的CredentialsMatcher
//        HashedCredentialsMatcher hashcredentialsMatcher = new HashedCredentialsMatcher();
//        //采用算法:Md5Hash,Sha1Hash,Sha256Hash
//        hashcredentialsMatcher.setHashAlgorithmName(Md5Hash.ALGORITHM_NAME);
//        //是否采用16进制,默认是true
//        hashcredentialsMatcher.setStoredCredentialsHexEncoded(false);
//        //哈希值
//        hashcredentialsMatcher.setHashIterations(1024);
//        super.setCredentialsMatcher(hashcredentialsMatcher);
//    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            throw new AuthorizationException("PrincipalCollection method argument cannot be null.");
        }

        SysUser user = (SysUser) getAvailablePrincipal(principals);
        Set<AuthVo> roles = user.getRoles();
        Set<AuthVo> perms = user.getPerms();
        log.info("获取角色权限信息: roles: {}, perms: {}",roles,perms);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roles.stream().map(AuthVo::getVal).collect(Collectors.toSet()));
        info.setStringPermissions(perms.stream().map(AuthVo::getVal).collect(Collectors.toSet()));
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        String username = userToken.getUsername();
        if (username == null){
            //账户问题发生异常,抛出此异常
            throw new AccountException("用户名不能为空");
        }
        SysUser user = sysUserService.selectOne(new EntityWrapper<SysUser>().eq("login_name", username));
        if (user == null){
            //当用户不存在的时候,抛出此异常
            throw new UnknownAccountException("找不到用户(" + username + ")的账号信息");
        }
        //查询用户的角色和权限存到SimpleAuthenticationInfo中,这样在其它地方
        //SecurityUtils.getSubject().getPrincipal()就能拿出用户的所有信息,包括角色和权限
        Set<AuthVo> roles = sysRoleService.getRolesByUserId(user.getId());   //用户所有角色值,用于shiro做角色权限的判断
        Set<AuthVo> perms = sysPermService.getPermsByUserId(user.getId());    //用户所有权限值,用于shiro做资源权限的判断
        user.getRoles().addAll(roles);
        user.getPerms().addAll(perms);
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
        return info;
    }
}

然后配置shiroConfig:

@Configuration
public class ShiroConfig {

    @Bean
    public Realm realm() {
        return new UserRealm();
    }

    @Bean
    public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        /**
         * setUsePrefix(false)用于解决一个奇怪的bug。在引入spring aop的情况下。
         * 在@Controller注解的类的方法中加入@RequiresRole注解,会导致该方法无法映射请求,导致返回404。
         * 加入这项配置能解决这个bug
         */
        creator.setUsePrefix(true);
        return creator;
    }

    /**
     * 这里统一做鉴权,即判断哪些请求路径需要用户登录,哪些请求路径不需要用户登录。
     * 这里只做鉴权,不做权限控制,因为权限用注解来做。
     * @return
     */
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition();
        //哪些请求可以匿名访问
        chain.addPathDefinition("/auth/login", "anon");
        chain.addPathDefinition("/auth/logout", "anon");
        chain.addPathDefinition("/page/401", "anon");
        chain.addPathDefinition("/page/403", "anon");
        chain.addPathDefinition("/page/index", "anon");

        //除了以上的请求外,其它请求都需要登录,这里改成corsFilterAAAA。使用这个自定义过滤器
        chain.addPathDefinition("/**", "corsFilterAAAA");
        return chain;
    }
}

还有application-shiro.yml

shiro:
#  未经身份验证的用户重定向到登录页面时使用的登录URL
  loginUrl: /auth/page/401
#  页面将用户重定向到未经授权的页面(403页)
  unauthorizedUrl: /auth/page/403
#  用户登录后的默认登录页面(如果在当前会话中找不到替代)
  successUrl: /auth/page/index

接下来是重点:

从github上面的项目源码上,并没有看到有其他过滤器。但偏偏能完美运行,这里我采用maven构建后的项目会出现被拦截的问题。所以只能修改ShiroWebFilterConfiguration

这里我创建了一个类,继承了ShiroWebFilterConfiguration

代码如下

@Configuration
public class ShiroWebFilter extends ShiroWebFilterConfiguration {
    @Override
    protected ShiroFilterFactoryBean shiroFilterFactoryBean() {
        //采用父类的默认方法生成shiroFilterFactoryBean
        ShiroFilterFactoryBean shiroFilterFactoryBean = super.shiroFilterFactoryBean();
        //获取shiroFilterFactoryBean里的Filters集合
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        //put进一个自己编写的过滤器,并命名,上面会引用到
        filters.put("corsFilterAAAA", new CorsAuthenticationFilter());
        shiroFilterFactoryBean.setFilters(filters);
        return shiroFilterFactoryBean;
    }
}

注意,这里根据借鉴的博客中直接使用shiroConfig来继承ShiroWebFilterConfiguration 的话,会出现循环依赖的bug而导致无法启动。

最后是我自定义的一个过滤器CorsAuthenticationFilter。

public class CorsAuthenticationFilter extends FormAuthenticationFilter {

    //这个方法是判断是否能通过
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.out.println("测试是否通过自定义");
        boolean allowed = super.isAccessAllowed(request, response, mappedValue);
        if (!allowed) {
            // 判断请求是否是options请求
            String method = WebUtils.toHttp(request).getMethod();
            if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
                return true;
            }
        }
        return allowed;
    }

//下面这个方法,重写了登陆失败后的输出信息。
//    @Override
//    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
//        HttpServletResponse res = (HttpServletResponse)response;
//        res.setHeader("Access-Control-Allow-Origin", "*");
//        res.setStatus(HttpServletResponse.SC_OK);
//        res.setCharacterEncoding("UTF-8");
//        PrintWriter writer = res.getWriter();
//        Map<String, Object> map= new HashMap<>();
//        map.put("code", 702);
//        map.put("msg", "未登录");
//        writer.write(JSON.toJSONString(map));
//        writer.close();
//        return false;
//    }
}

如此,便解决了我遇到的问题。

月下星望
关注
专栏目录
Springboot整合Shiro+JWT
weixin_43424751的博客
04-18 531
前后端分离的项目中我们通常会采用jwttoken的方式来作为跨域身份验证解决方案。 引入依赖 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!
springboot+vue前后端分离整合shiro+jwt
weixin_45803046的博客
04-26 985
0.实现逻辑 1.导入依赖 导入shiro-redis的starter包:还有jwt的工具包 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!-
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
主要框架           Shiro架构图与基本知识 1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有security那么复杂。所以我这里也是简单介绍一下shiro的使用。 2、非常简单;其基本功能点如下图所示: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某
Spring Boot教程(十六):Spring Boot集成shiro
热门推荐
蝈蝈的博客
06-12 1万+
Apache Shiro™是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理。借助Shiro易于理解的API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的Web和企业应用程序。更多内容请查看官网 一、项目准备 为了方便,这里直接使用Spring Boot教程(十一):Spring Boot集成fastjson章节的源码。 二、添加依赖 ...
使用shiro-starter前后端分离Springboot项目
Jay的博客
08-05 1251
最近项目上使用shiro作为权限框架,因为是前后端分离springboot项目,使用传统的shiro-spring包完全不能体现springboot的自动配置和简化配置,优化开发,所有深入探究了一下shiro-spring-boot-web-starter的使用,在此对于项目中使用到的进行记录,并对和shiro整合spring的包进行比较。 传统的shiroconfig文件 @Configuration public class ShiroConfig { /** * ShiroFi
springboot+shiro整合前后端分离
J_wensHeng的博客
11-13 266
springboot整合shiro重要的是shiro配置文件的编写 添加需要的jar包 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.73</version> </dependency>
Springboot学习】SpringBoot集成Shiro前后端分离使用redis做缓存【个人博客搭建】
胡毛毛的博客
08-21 1619
shiro-redis 目录shiro-redis下载shiro-core/jedis 版本对比图使用前如何配置?设置文件Redis 独立Redis哨兵Redis 集群SpringRedis 独立Redis哨兵Redis 集群序列化器 Serializer可配置选项 Configurable OptionsRedis管理器RedisSessionDAOCacheManager 缓存管理器弹簧启动器 Spring boot starter如果您还没有创建自己的`SessionManager`或`Session
基于springboot整合shiro完整代码案例demo
最新发布
06-21
SpringBootShiro整合是Java Web开发中常见的安全控制技术组合,主要用于实现用户认证、授权、会话管理和安全管理等功能。下面将详细讲解这个完整代码案例的实现过程和相关知识点。 1. **Spring Boot简介** ...
框架技术---SpringBoot(八)shiro-redis-jwt整合
qq_41184981的博客
06-30 1051
一、整合流程逻辑 二、整合步骤 1. 导入shiro-redis的starter包:还有jwt的工具包,以及为了简化开发,我引入了hutool工具包。 <!--shiro-redis整合--> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <ver
springboot整合shiro
08-21
本文将详细介绍如何在Spring Boot项目中整合Shiro,以及如何基于MyBatis实现数据持久化。 **1. Shiro简介** Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和加密等安全问题。它设计简洁...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现前后端全分离接口安全。
解决 springboot跨域请求问题
05-11
springboot前后端分离,ajax跨域请求问题 前后端分离:即将后端服务层与前端展示层分别开发和部署,因而产生两个需要打包发布的项目, 将两个分别部署后,前端再去请求后端就会产生跨域请求的问题。 两种解决方案
解决springboot实现跨域session共享问题
01-25
解决springboot实现跨域session共享问题,防止sql注入。可以更有效的解决token问题,欢迎下载,有问题可以再评论下方留言,及时解答!!加群:687942640
shiro-spring-boot-starter:该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中
05-14
简介 该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中 源码地址 Github: 码云: 我的博客: 自制的小工具,欢迎使用和Star,如果使用过程中遇到问题,可以提出Issue,我会尽力完善该工具 功能介绍 修改Shiro默认Authc过滤器,增加在前后台分离项目架构下,配置未登录时跳转路径功能,做未登录时的提示信息之用。 注: Shiro默认过滤器相关路径跳转都采用重定向,导致在前后台分离的项目架构下,前台不能正确获取未登录的提示验证信息,故将相关路径跳转功能修改为转发跳转。 增加默认过滤器配置功能,可通过配置文件灵活修改Shiro的11个默认过滤器及其属性。 增加11种过滤器过滤规则配置功能 默认使用开源库org.crazycake:shiro-redis:3.2.2集成redis 增加shiro的redis独立配置功能,可
springboot+shiro跨域解决方案
技术交流,共同进步
08-03 1381
1.springboot跨域解决 添加配置以下配置即可解决 @Configuration public class CorsConfig implements WebMvcConfigurer { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMa
springBoot 跨域问题如何解决
zhuwukai的博客
03-14 1113
首先我门要知道什么是跨域:跨域是指 不同域名之间相互访问。跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。也就是如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容 如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题。什么是同一个域?同一协议,同一ip,同一端口,三同中有一不同就产生了跨域。前端解决跨域:前边也说...
2021-07-09 springboot 整合shiro(前后端分离解决方案)
m0_67265464的博客
08-13 477
解决了springboot整合shiro前后端分离场景的应用,但对于 登录时限、单点登录等功能限制还需继续完善。
Springboot-shiro前后端分离的权限管理
qq_36472439的博客
12-11 940
Springboot-shiro前后端分离的权限管理,后端使用的是Vue搭建 1:万事第一步,导包 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&...
SpringBoot+Shiro解决跨域问题
dwhhome的博客
03-21 5416
第一步: package com.guangjutx.config; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import ja...
shiro-redis-spring-boot-starter
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存数据库,其具有快速的数据存取能力和持久化支持。 shiro-redis-spring-boot-starter提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易。通过使用该Starter,我们可以方便地将Shiro的会话管理功能存储到Redis中,从而支持分布式环境下的会话共享和管理。 使用shiro-redis-spring-boot-starter可以带来以下好处: 1. 分布式环境的会话共享:通过将Shiro的会话数据存储到Redis中,不同的应用节点可以共享同一个会话,从而实现分布式环境下的会话管理和跨节点的身份验证和授权。 2. 高可用性和性能:Redis作为一个高性能的内存数据库,具有出色的数据读写能力和持久化支持,可以提供可靠的会话存储和高性能的数据访问能力。 3. 简化配置和集成:shiro-redis-spring-boot-starter提供了封装好的配置和集成方式,减少了我们自己实现集成的复杂性和工作量。 总结来说,shiro-redis-spring-boot-starter为我们提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易和高效。通过它,我们可以实现分布式环境下的会话共享和管理,提供高可用性和性能的数据存取能力,同时简化了配置和集成的复杂性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值