shiro 前后端分离的思路和部分实践

最新推荐文章于 2024-06-10 19:34:41 发布
最新推荐文章于 2024-06-10 19:34:41 发布
阅读量5.1k 收藏 22
点赞数 8
分类专栏: it java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38254467/article/details/82353725
版权
it 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
java
2 篇文章 0 订阅
订阅专栏

前后端分离的优点:1:最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小2:后台错误不会直接反映到前台,错误接秒较为友好3:由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。

思考:前后端分离我们会遇到哪些问题?

1、ajax跨域问题,因为浏览器的同源策略,导致无法在前端页面的域名下,无法访问后台域名下的接口。

2、最终要的就是会话,因为ajax请求每次过来都是无状态,导致用户前台登录后,访问敏感数据时,后台认为它没有登录。

一、跨域的解决方案

(1)jquery的jsop方式

这种方式是通过在文档中嵌入一个<script>标记来从另一个域中返回数据,这种方法拥有一个显著的缺点,那就是只支持GET操作,传输量小。

(2) CORS解决跨域

  cors解决跨域,推荐阅读cors跨域介绍

对比两种方式,推荐使用cors方式解决跨域。

二、会话的维护

在shiro框架中,我们通过看源码知道,shiro在DefaultWebSessionManager这个类中获取sessionId是从cookie中获取的,这个时候我们有了两个解决思路:

  1、第一个,重写获取sessionId的方法,从request请求头中获取sessionId.

  2、第二个,让ajax请求在提交的时候带有cookie信息,不用重写获取sessionId的方法

三、实现cors跨域+request请求头中获取sessionId

(1)、新建一个类,继承DefaultWebSessionManager 重写 getSessionId这个方法

package com.mcu.system.filter;

import java.io.Serializable;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import com.mcu.common.utils.StringUtils;
/**
 * 从请求头中获取sessionid
 * @author 35168
 *
 */
public class CustomDefaultWebSessionManager extends DefaultWebSessionManager{

	private final String TOKEN = "token";
	/** 
	* 获取session id
	* 前后端分离将从请求头中获取jsesssionid
	*/
	@Override
	protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
		// 从请求头中获取token
		String token = WebUtils.toHttp(request).getHeader(TOKEN);
		// 判断是否有值
		if (StringUtils.isNoneBlank(token)) {
			// 设置当前session状态
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url"); 
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);  
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);  
			return token;
		}
		// 若header获取不到token则尝试从cookie中获取
		return super.getSessionId(request, response);
	}
}

sessionId在用户登录的时候,返回,例如:

@Log("登录")
	@PostMapping("/login")
	@ResponseBody
	R ajaxLogin(String username, String password,HttpServletRequest request) {
		//R 是一个HashMap
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
			R r = R.ok();
			r.put("token", subject.getSession().getId());
			
			return r;
		} catch (AuthenticationException e) {
			return R.error(e.getMessage());
		}
	}

在用户登录成功后,就可以从返回信息中得到token,并在后面的请求中,都在请求头中添加上

(2)cors解决跨域问题

   在推荐文章中,我们可以了解到,要想跨域重要的是后台,返回信息,并且还有简单请求和非简单请求,我们应该在后台添加一个过滤器,例如

package com.mcu.system.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.filter.OncePerRequestFilter;

/**
 * 跨域资源共享  解决前后端分离
 * @author 35168
 *
 */
public class CorsFilter extends OncePerRequestFilter{
	private static Logger logger = LoggerFactory.getLogger(CorsFilter.class);

	@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		String origin = request.getHeader("Origin");
		if(null != origin && !"".equals(origin)){
			logger.debug("跨域资源共享  解决前后端分离Access-Control-Allow-Origin"+origin);
			response.addHeader("Access-Control-Allow-Origin",origin);//允许这个域名可以跨域
			response.setHeader("Access-Control-Allow-Headers", "Content-Type,x-requested-with,token");//允许携带的请求头
			response.setHeader("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE");//支持的请求方法
			if(request.getMethod().equals(RequestMethod.OPTIONS.name())){
				response.setStatus(200);
				response.setHeader("Access-Control-Max-Age", "86400");//如果是预检请求,设置一个有效期,在有效期内就不会再有预检请求了
				return;
			}
		}
	    filterChain.doFilter(request,response);
	}

}

三、实现cors跨域+ajax请求在提交的时候带有cookie

这样我们不用重写shiro虎丘sessionId的方法,只要ajax请求带有cookie就可以了,ajax要想带有cookie信息,需要两个方面的工作

(1)、后台允许前台携带cookie

package com.mcu.system.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.filter.OncePerRequestFilter;

/**
 * 跨域资源共享  解决前后端分离
 * @author 35168
 *
 */
public class CorsFilter extends OncePerRequestFilter{
	private static Logger logger = LoggerFactory.getLogger(CorsFilter.class);

	@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		String origin = request.getHeader("Origin");
		if(null != origin && !"".equals(origin)){
			logger.debug("跨域资源共享  解决前后端分离Access-Control-Allow-Origin"+origin);
			response.addHeader("Access-Control-Allow-Origin",origin);
			response.addHeader("Access-Control-Allow-Credentials","true");//允许携带cookie
			response.setHeader("Access-Control-Allow-Headers", "Content-Type,x-requested-with");
			response.setHeader("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE");
			if(request.getMethod().equals(RequestMethod.OPTIONS.name())){
				response.setStatus(200);
				response.setHeader("Access-Control-Max-Age", "86400");
				return;
			}
		}
	    filterChain.doFilter(request,response);
	}

}

(2)、是前台提交的时候,要指定ajax可以携带cookie

$.post({
   url: '',
   dataType: "json",
   timeout:300000,
   xhrFields:{withCredentials: true},
   success: function (result) {
      
   },
   error: function () {

   }
});

这样,前台指定携带cookie,后台也允许携带cookie,那ajax在提交的时候就可以携带cookie,shiro框架也就可以从cookie中获取session

四、一些细节的问题

shiro框架,封装了很多的东西,在前后端分离的时候,我们需要考虑的,比如shiro框架实现了退出方法,然后跳转到登录页面,这个在我们前后端分离中就不太合适了,需要修改

package com.mcu.system.filter;

import java.io.PrintWriter;

import javax.servlet.ServletContext;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.session.SessionException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.LogoutFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.alibaba.fastjson.JSONObject;

/**
 * 自定义退出的拦截器,退出返回json
 * @author 35168
 *
 */
public class SystemLogoutFilter extends LogoutFilter{
	 private static final Logger log = LoggerFactory.getLogger(SystemLogoutFilter.class);
	 
	 
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        try {
            subject.logout();
        } catch (SessionException ise) {
            log.debug("Encountered session exception during logout.  This can generally safely be ignored.", ise);
        }
        response.setCharacterEncoding("UTF-8");
        PrintWriter out = response.getWriter();
        JSONObject result = new JSONObject();
        result.put("code", 0);
        result.put("msg", "成功");
        out.println(result);
        out.flush();
        out.close();
        return false;
    }
}

重写shiro的退出过滤器,在注册的时候注册我们自己写的这个过滤器,其他的有返回页面的也都是类似的处理,保证给前台统一返回的都是json数据

枪兵幸运E
关注
  • 8
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
Springboot+Vue+Shiro+ElementUI前后端分离权限快速上手项目实战开发
06-15
适用人群Java开发人员,Vue开发人员,前后端分离开发人员,权限管理和配置开发人员 课程概述【讲师介绍】讲师职称: 现某知名大型互联网公司资深架构师,技术总监,职业规划师,首席面试官,曾在某上市培训机构,...
前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
最新发布
2401_85123379的博客
06-10 828
三套“算法宝典”算法刷题LeetCode中文版(为例)人与人存在很大的不同,我们都拥有各自的目标,在一线城市漂泊的我偶尔也会羡慕在老家踏踏实实开开心心养老的人,但是我深刻知道自己想要的是一年比一年有进步。最后,我想说的是,无论你现在什么年龄,位于什么城市,拥有什么背景或学历,跟你比较的人永远都是你自己,所以明年的你看看与今年的你是否有差距,不想做咸鱼的人,只能用尽全力去跳跃。祝愿,明年的你会更好!
前后端分离开发技术思路
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-09 336
阅读文本大概需要3分钟。本文作者:忧郁的马赛克原文地址:https://www.cnblogs.com/shanrengo/p/6397734.html关于前后端分离已经...
shiro 前后端分离_前后端分离
weixin_39709194的博客
11-22 1848
1、背景 前后端分离已成为互联网项目开发的业界标准使用方式,通过nginx+tomcat的方式(也可以中间加一个nodejs)有效的进行解耦,并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。这个步骤是系统架构从猿进化成人的必经之路。核心思想是前端HTML页面通过AJ...
前后端分离接口规范
公众号:Java后端
05-30 509
作 者:猿码道来 源:jianshu.com/p/c81008b68350广而告之:由于此订阅号换了个皮肤,系统自动取消了读者的公众号置顶。导致用户接受文章不及时。可以打...
RuoYi-Vue基于SpringBoot + Vue的前后端分离权限管理系统。.zip
12-28
前后端分离是现代Web开发的主流模式,它将前端视图层与后端服务层解耦,提高了开发效率和用户体验。RuoYi-Vue通过RESTful API进行通信,前端通过HTTP请求获取后端数据,实现了数据和展示的分离。 四、权限管理 ...
基于SpringBoot+Vue前后端分离的Java医院陪诊管理系统源码+项目说明.zip
05-22
通过学习和实践这个项目,你可以深入理解SpringBoot和Vue.js的集成应用,掌握前后端分离开发模式,以及医院陪诊管理系统的基本业务逻辑和设计思路。同时,还能提升数据库设计、权限管理、API设计等方面的技能。
Maven spring+springMvc+MyBatics+Redis+Shiro+PageHelp+Quartz+Log4j
10-23
【标题】"Maven Spring+SpringMvc+MyBatis+Redis+Shiro+PageHelp+Quartz+Log4j" 涵盖了一系列...通过这个整合的项目,初学者可以快速了解和学习这些技术的实战应用,而有经验的开发者则可以借鉴其设计思路和最佳实践
基于Java的商城项目资料和项目源码.zip
03-05
5. **RESTful API**:为了实现前后端分离,项目可能采用了RESTful API设计原则,定义清晰的HTTP接口,使得前端可以通过发送HTTP请求获取数据或触发后台操作。 6. **支付集成**:电商平台通常需要集成第三方支付接口...
shiro前后端分离场景无状态登录身份验证和授权
07-05
本DEMO结合前后端分离场景,实现了用户登录后返回token无状态身份验证和授权访问资源,技术使用springboot+mybatis+shiro+jwt(auth0)+MD5,包含了数据库建表语句。
shiro前后端分离模式
weixin_42510217的博客
11-25 1077
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
shiro前后端分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 6040
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 521
作者|GIT提交不上|简书一、Shiro简介  Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 2998
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7198
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
shiro的前后的分离的使用(SpringBoot)
JackMa的博客
09-22 1228
shiro的前后的分离的使用(SpringBoot)
Spring Boot + Vue + Shiro 实现前后端分离、权限控制 (附源码)
全栈开发者社区
03-23 487
点击上方[全栈开发者社区]→右上角[...]→[设为星标⭐]原项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返...
shiro前后端分离
09-05
是的,"shiro前后端分离"是一种常见的应用架构模式。Shiro是一个用于身份验证、授权和会话管理的Java开源框架。在前后端分离的架构中,前端和后端分别独立开发,通过API进行通信。在这种模式下,Shiro通常被用于后端服务的身份验证和授权功能。 具体来说,前端负责用户界面的展示和交互,而后端则处理业务逻辑和数据存储。前端通过发送HTTP请求调用后端的API,后端接收请求并根据Shiro进行身份验证和授权操作。Shiro可以对用户进行认证,确保其身份有效,并对用户进行授权,控制其访问权限。 通过将Shiro应用于后端服务,可以实现对用户身份和权限的管理,保护系统的安全性和数据的机密性。同时,前后端分离的架构也使得前端与后端可以独立开发和部署,提高了开发效率和系统的可维护性。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值