基于shiro框架无状态登录的一种处理方法

最新推荐文章于 2024-05-18 09:57:41 发布
置顶 最新推荐文章于 2024-05-18 09:57:41 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: javaWEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27619637/article/details/81535834
版权

在项目初期使用shiro进行权限管理,后期因为要进行移动端开发,就想试试shiro的无状态登录,在网上找了一些资料发现如果不修改现有框架进行权限管理基本不可能,于是尝试通过修改sessionid,后面发现这个方法行不通,于是通过重写Subject类+缓存完成功能,该方法有什么漏洞还需要在后续开发过程中发现,步骤如下:

  1. 重写Subject类,通过对登录的subject进行输出发现该类实际是subject类的子类:WebDelegatingSubject,而WebDelegatingSubject是不支持缓存存储,也就是没有实现Serializable接口,因此需要重写该类,代码如下: 
    import java.io.Serializable;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.support.DelegatingSubject;
import org.apache.shiro.web.subject.support.WebDelegatingSubject;

public class StatelessSubject extends WebDelegatingSubject implements Serializable {
	public StatelessSubject(PrincipalCollection principals, boolean authenticated, String host, Session session,
			ServletRequest request, ServletResponse response, SecurityManager securityManager) {
		super(principals, authenticated, host, session, request, response, securityManager);
		// TODO Auto-generated constructor stub
	}

	public StatelessSubject(WebDelegatingSubject subject) {
		super(subject.getPrincipals(), subject.isAuthenticated(), subject.getHost(), null, null, null, subject.getSecurityManager());
		// TODO Auto-generated constructor stub
	}

	public WebDelegatingSubject coverToSuper() {
		return new WebDelegatingSubject(this.principals, this.authenticated, this.host, null, null, null, this.securityManager);
	}
}

    在用户登陆成功之后,加入缓存

    currentUser.login(token);
				EHCacheUtil.addSubjectCache(request.getSession().getId(),
						new StatelessSubject((WebDelegatingSubject) currentUser));

     

  2. 重写StatelessSecurityManager类进行拦截处理,代码如下:

    import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.session.mgt.SessionKey;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.SubjectContext;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.subject.support.WebDelegatingSubject;
import org.apache.shiro.web.util.WebUtils;

import com.txy.util.EHCacheUtil;

public class StatelessSecurityManager extends DefaultWebSecurityManager {

	@Override
	public Subject createSubject(SubjectContext subjectContext) {
		SessionKey sessionKey = getSessionKey(subjectContext);
		if (WebUtils.isHttp(sessionKey)) {
			ServletRequest request = WebUtils.getRequest(sessionKey);
			ServletResponse response = WebUtils.getResponse(sessionKey);
			String token = request.getParameter("token");
			if (token != null) {
				try {
					Subject subjectCache = EHCacheUtil.getSubjectCache(token);
					if (subjectCache != null) {
						Subject subject = super.createSubject(subjectContext);
						WebDelegatingSubject subject2 = (WebDelegatingSubject) subject;
						return new WebDelegatingSubject(subjectCache.getPrincipals(), subjectCache.isAuthenticated(),
								subject2.getHost(), subject2.getSession(), request, response,
								subject2.getSecurityManager());
					}
				} catch (Exception e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
		}
		return super.createSubject(subjectContext);
	}

}

    注意其中的token就是移动端需要传上来的缓存id,其实只需要subject的PrincipalCollection principals, boolean authenticated这两个属性是当前用户的,其他都取当前的subject就ok了,

  3. 修改配置文件

    <bean id="securityManager"
		class="XXx.XXX.StatelessSecurityManager">
		<property name="realm" ref="systemRealm" />
		<property name="cacheManager" ref="shiroEhcacheManager" />
	</bean>

     

 测试代码如下:

String name = request.getParameter("name");
			String password = request.getParameter("password");

			Subject currentUser = SecurityUtils.getSubject();
			UsernamePasswordToken token = new UsernamePasswordToken(name, ShiroUtil.encriptPwd(password));
			if (currentUser.isAuthenticated()) {
				System.out.println("已登录");
			} else {
				currentUser.login(token);
				EHCacheUtil.addSubjectCache(request.getSession().getId(),
						new StatelessSubject((WebDelegatingSubject) currentUser));
				System.out.println("登录中");
			}

测试结果如下:

第一次使用postman登录输出:登录中,并获取sessionId为token;

第二次使用javahttp登录,参数为第一次登录的token,输出:已登录

两次请求的sessionId不同但是返回的subject关键信息是一致的。

初步测试权限部分使用正常。

-syso-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro中获取当前user出错
ITbasketplayer的专栏
04-26 8225
准确场景描述应该是: 1、在应用层使用“线程池等会缓存线程的组件”,比如Executors.newFixedThreadPool(n);在线程里进行 getUser(); 2、可能A用户获取到B用户。 下面分析一下原理: 顺着shiro源码去找,获取当前用户方法SecurityUtils.getSubject();/*ThreadContext线程上下文环境,主要靠InheritableT
shiro session丢失
三郎的博客
08-09 7341
shiro session信息丢失
推荐项目:ShiroJwt - 无状态鉴权新体验
最新发布
gitblog_00033的博客
05-18 283
推荐项目:ShiroJwt - 无状态鉴权新体验 项目地址:https://gitcode.com/dolyw/ShiroJwt 项目介绍 ShiroJwt是一个基于SpringBoot、Mybatis Generator和Shiro的现代化鉴权解决方案,它引入了Java-JWT实现无状态鉴权,并集成了AES-128加密方式和Redis缓存系统,旨在提供安全、高效的API接口访问控制。该项目还提供...
shiro分布式控制登录状态_使用Shiro和token进行无状态登录
weixin_39661405的博客
12-21 1009
使用Shiro和token进行无状态登录使用Shiro和token进行无状态登录我们之前可以使用shiro实现登录,但这些都是基于session或是cookie实现的,这些只能用于单机部署的服务,或是分布式服务共享会话,显然后者开销极大,所以JWT(JSON Web Token)应运而生,JWT是一套约定好的认证协议,通过请求携带令牌来访问那些需鉴权的接口。我们在这里使用token,原理类似,但是...
前台和后台是两个不同的项目可以吗_前后端分离项目shiro的未登录和权限不足...
weixin_39623271的博客
12-04 420
在前后端分离的项目中、前端代码和后端代码几乎不在同一个目录下,甚至不是在一台服务器上;我这个项目部署在linux、同一台服务器,不同目录下;所有的页面跳转由前台路由,后台只是提供返回的数据;干货↓ /admin/unauth.do=anon /admin/unauthorized.do=anon /admin/logout.do=anon /admin/validate.do=...
shiro手机无状态登录访问和电脑端登录访问两种方式处理
tom9238的博客
12-26 4447
shiro stateless Demo of shiro session and stateless 安全框架shiro的一个同时支持无状态和session登录的添加部分自定义的demo 完整demo项目github源码 什么是shiro 官网地址 Shiro is a powerful and easy-to-use Java security framework that performs ...
shiro状态web集成的示例代码
08-29
2. **HMAC认证**:基于哈希的消息认证码(HMAC)是一种安全的身份验证方法,它利用密钥和消息生成消息摘要。在示例中,客户端与服务器之间的通信通过HMAC来验证消息的完整性和来源,确保数据不被篡改。 3. **加密...
Shiro + Java-JWT无状态鉴权认证机制
07-30
总结,SpringBoot + Mybatis + PageHelper + 通用Mapper的组合为我们构建了一个高效的数据处理平台,而Shiro和JWT的整合实现了无状态的鉴权认证,提升了系统的安全性。配合Redis的缓存能力,整个系统在保障安全的...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
springMVC整合shiro框架
02-12
SpringMVC 和 Shiro 框架的整合是企业级Web开发中常见的一种安全控制解决方案。SpringMVC 是一个强大的MVC(Model-View-Controller)框架,负责处理请求、展示视图以及业务逻辑;而 Apache Shiro 则是一个轻量级的...
基于SpringBoot、Mybaitis-Plus、Redis、Shiro+JWT构建无状态、Hadoop的云网盘存储系统
03-13
【标题】基于SpringBoot、Mybatis-Plus、Redis、Shiro+JWT构建的无状态、Hadoop云网盘存储系统,旨在实现一个高效、安全、可扩展的分布式存储解决方案。这个项目融合了现代Web开发技术和大数据处理框架,为用户提供...
shiro前后端分离场景无状态登录身份验证和授权
07-05
本DEMO结合前后端分离场景,实现了用户登录后返回token无状态身份验证和授权访问资源,技术使用springboot+mybatis+shiro+jwt(auth0)+MD5,包含了数据库建表语句。
shiro中subject创建,以及shiro如何保证用户登录状态
qq_45507768的博客
03-19 1501
在该仓库下的adminsys项目)。重要概念什么是subject:subject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
shiro授权拦截器的重写
lanlansir的博客
12-01 1400
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
springboot集成shiro重写权限验证规则,动态加载权限
qq_36306227的博客
10-20 620
shiro的对接口权限的控制,一般都是在接口上加注解,每次进行请求时,在realm中加载用户的角色信息,由角色信息判断是否拥有对该接口的访问权限,无法动态的增加和删除角色对应的接口权限,也无法动态的增加接口绑定的角色权限信息 为此重写shiro的权限过滤器能帮助我们去实现自己的权限过滤规则,动态的改变权限,为角色增加和减去权限 shiro的过滤器类别 1.重写shiro的权限过滤器PathMatchingFilter继承该类 import java.util.HashMap; import java.u
shiro 认证 + 授权 重写
TimeLongRiver的博客
11-06 229
import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; impor...
shiro 登陆成功后subject依然为空
热门推荐
淡淡的博客
11-08 1万+
shiro框架是一个强大的轻量级java安全框架。它提供了权限验证、加密、session管理的功能。shiro易用、上手快,应用场景大到企业级应用、小到手机应用都可以使用。本文就针对shiro的subject一个点展开,讲讲这个subject的来龙去脉。 我关注这个类要从一次错误说起。在我的项目里面突然就出现subject无法获得principals字段信息的情况,自然我每次登陆再请求什么都是su...
解决Shiro在Tomcat重启之后丢失登录信息
哈哈哈哈哈哈哈
08-11 3869
解决Shiro在Tomcat重启之后丢失登录信息 相关环境: Spring Boot + Shiro + Tomcat 在项目中遇到这样一个问题: 需要在后台修改某一项配置,该配置采用配置文件的形式,并通过Spring映射为配置Bean,现在需要修改配置文件能够控制前端界面显示。 要实现的目标有两个: 1.修改完配置文件后需要将新配置写入到配置文件。 2.配置立即生效。 在调试环境...
shiro状态鉴权
qq_34609370的博客
11-20 638
1、什么是有状态鉴权: 2、什么是无状态鉴权: (1)服务器不保存用户的登录信息! (2)微服务集群中的每个服务,对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是:服务的无状态性,即: 服务端不保存任何客户端请求者信息 客户端的每次请求必须具备自描述信息(jwt),通过这些信息识别客户端身份 (3)带来的好处是什么呢? 客户端请求不依赖服务端的信息,任何多次请求不需要必须...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值