关于shiro 的 session和无状态同时存在时实现思路

最新推荐文章于 2022-03-25 03:22:13 发布
最新推荐文章于 2022-03-25 03:22:13 发布
阅读量2.1k 收藏 4
点赞数 2
分类专栏: shiro 文章标签: java shiro nostateless userRealm mobilerealm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39412825/article/details/88365080
版权

关于shiro包含session和无状态同时存在时实现思路

以前概念里,关于客户端登录,没有cookieId,需要手动记录保存sessionid。
在看了shiro教程以后,了解了无状态的web应用集成
即服务端无状态,服务器端不会存储像会话这种东西,而是每次请求带上相应的用户名进行登录。
具体实现:
1、教程上讲,客户端每次申请一个token,token一次性,只能用一次。
2、服务器记录下这些token,如果之前用过就是非法请求。
关于token,本文用的是无限制的,可以用很多次。当然,一个token只能使用一次的更为安全。目前想到的,
使用一次的方案为:时间戳加固定字符串进行编码。服务端进行解码验证,
判断时间戳的时效性来判断token是否真实有效。

第一步 创建无状态使用的token

目的,根据token调用不同的relam。

	public class NoStatelessToken implements AuthenticationToken {
		private String username;
		private String params;
		.....
		
	}

第二步 写mobileUserRealm 和userRealm

	public class MobileUserRealm extends BaseAuthorizingRealm {

		//注入用到的所有服务		

		public MobileUserRealm() {
        	//根据realm绑定的token不同,登录时自动调用相关realm进行登录
        	super();
       		setAuthenticationTokenClass(NoStatelessToken.class);
   		 }
   		protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        NoStatelessToken noStatelessToken = (NoStatelessToken) token;
        String username= noStatelessToken.getusername();
        //使用jwt初始化验证得到用户
        User user = jwtService.getusername(username);
        if (user.getStatus() == Status.DENY || user.getStatus() == Status.DELETE) {
            throw new DisabledAccountException("帐号被禁用");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, authToken, getName());
        return info;
    	}
	
	}

public class UserRealm extends BaseAuthorizingRealm {
	public UserRealm() {
      setAuthenticationTokenClass(UsernamePasswordToken.class);
    }
     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        String password = new String((char[]) authenticationToken.getCredentials());
        User user = userService.findByPhone(username);
        if (user == null) {
            throw new MyException("用户不存在");
        }
        boolean check = true;
       
        if (username.equals(TEST_PHONE) && TEST_CODE.equals(password)) {
            check = true;
        }
        if (!check) {
            throw new UnknownAccountException("验证码错误!");
        }
        if (user.getStatus() == Status.DENY || user.getStatus() == Status.DELETE) {
            throw new DisabledAccountException("帐号被禁用");
        }
        logger.debug("用户{}登录成功", username);
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, getName());
        //同步user信息到,这一步可以不必做,上一步登录成功会自动同步。
        UserUtil.setUser(user);
        return info;
    }
}


public abstract class BaseAuthorizingRealm extends AuthorizingRealm {

		//授权
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        if (principalCollection == null) {
            throw new AuthorizationException("PrincipalCollection method argument cannot be null.");
        }
        User user = (User) principalCollection.getPrimaryPrincipal();
        User one = userService.get(user.getId());
        List<String> roleList = new ArrayList<>();
        if(one.getStatus() == Status.ALLOW){
            roleList = roleService.listRoleSnByUser(user.getId(), Status.ALLOW.getStatus());
        }
        logger.info("----BaseAuthorizingRealm + roleList----"+roleList);
        List<String> authorityList = new ArrayList<>();
      
            List<Integer> list =  roleService.listIdByUserIdAndFirstDepIdAndUserType(user.getId(), user.getFirstDepId(),Status.ALLOW.getStatus(),user.getUserType());
            if (list != null && list.size() > 0) {
                for (Integer integer : list) {
                    List<String> params = authorityService.listParamsByRoleId(integer,  Status.ALLOW.getStatus());
                    authorityList.addAll(params);
                }
            }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(new HashSet<>(roleList));
        info.setStringPermissions(new HashSet<>(authorityList));
        return info;
    }
		//清除权限缓存
	   public void refreshCache(RolePermissionEvent event){
        switch (event.getType()){
            case PERMISSION:
                Cache<Object, AuthorizationInfo> authorizationCache = getAuthorizationCache();
                if(authorizationCache != null){
                    getAuthorizationCache().clear();
                }
                logger.info("------------清除全部用户权限----------"+authorizationCache);
                break;
            case USER:
                User user = userService.get(event.getUserId());
                String realmName = getName();
                PrincipalCollection principals = new SimplePrincipalCollection(user, realmName);
                if(principals != null){
                    clearCachedAuthorizationInfo(principals);
                }
                logger.info("------------清除单个用户权限----------"+user);
                break;
            default:
                break;
        }
    }
}

第三步重写sessionfactory


public class MyselfSubjectFactory extends DefaultWebSubjectFactory {



    @Override
    public Subject createSubject(SubjectContext context) {
    	//没有经过shirofilter的请求,无法强转为webSubjectContext。涉及到shiro自带的包装
        if (!(context instanceof WebSubjectContext)) {
            return super.createSubject(context);
        }
        WebSubjectContext webSubjectContext = (WebSubjectContext)context;
        HttpServletRequest request = (HttpServletRequest) webSubjectContext.getServletRequest();
        //登录状态下,不创建session不保存用户信息。 如果不加这个,会导致request为null,这个有疑点,探究后再来完善。
        if (!context.isAuthenticated()) {
        if (UserAgentUtil.isClient( request)) {
        		//不创建session
                context.setSessionCreationEnabled(false);
            } else {
           		//创建session
                context.setSessionCreationEnabled(true);

            }
        }
        return super.createSubject(context);
    }

第四步 创建拦截请求的filter

目的,区分开pc和客户端,pc还是用最基础的有session的方式,用浏览器自带cookie存储session实现用户信息会话范围内共享。

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        //手机端进行拦截,pc端直接放过
        if (UserAgentUtil.isClient((HttpServletRequest) request))) {
            //判断该请求是否登录可选,将其放入request中以做后续处理
            request.setAttribute(OPTIONAL,mappedValue==null?false:true);
//           if (mappedValue!=null){
//               return true;
//           }
            //进入下一步处理
            return false;
        } else {
            return true;
        }
    }
 protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
 	//业务处理,解析token
 	//根据token信息拿到用户信息
 	//进行subject.login 登录  NoStatelessToken 是自己定义的token,定义这个token为了区分开pc的usernamepasswordtoken,
 	//然后调用不同的realm
 	 getSubject(request, response).login(new NoStatelessToken(token, siteDto));
}

第五步 配置shiro.xml

shiro基本配置不再重复,新增的配置展示如下:

	<bean id ="subjectFactory" class="自己项目路径的MyselfSubjectFactory"/>
    <bean id="statelessAuthcFilter" class="自己项目路径的MobileFilter"/>
	<bean id="userRealm" class="自己项目路径的UserRealm">
        <!--<property name="rolePermissionResolver" ref="userRolePermissionResolver"/>-->
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
    </bean>
	 <bean id="mobielUserRealm" class="自己项目路径的MobileUserRealm">
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
        <property name="authorizationCachingEnabled" value="false"/>
    </bean>
	  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="userRealm"/>
                <ref bean="mobielUserRealm"/>
            </list>
        </property>
        <property name="subjectDAO">
        //稍后解释,为什么重写sessionStorageEvaluator
            <bean class="org.apache.shiro.mgt.DefaultSubjectDAO">
                <property name="sessionStorageEvaluator" ref="customeSessionStorge"/>
            </bean>
        </property>
        <property name="sessionManager" ref="sessionManager"/>
        <property name="cacheManager" ref="redisCacheManager"/>
        <property name="subjectFactory" ref="subjectFactory"/>
    </bean>
				
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login"/>
        <property name="filters">
            <util:map>
                <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                # some example chain definitions:
                # more URL-to-FilterChain definitions here
                /m = anon
                /news/list = statelessAuthc[optional]
                # 所有过shirofilter的请求,都走pc和客户端的验证 authc 默认验证是userrealm
                /** = statelessAuthc,authc
            </value>
        </property>
    </bean>

配置请求用的/**方式,使用下来觉得不妥,还是给方法加统一前缀,这样配置起来更简单明了。

第六步 配置web.xml

	<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <async-supported>true</async-supported>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

为什么我要把web.xml的配置贴出来,是因为,这个shiroFilter拦截的所有的请求,项目路径下面的静态文件也过了shirofilter,造成静态资源也创建了subject,还是能创建session的subject,并且缓存了用户的登录后 的信息。

重写的sessionStorge

在项目里只用到无状态的情况下,这个可以参考shiro教程的方法,配置shiro.xml即可,但是有两种情况时既有无状态,又有有session的,
需要重写区分修改配置文件如下:

	//配置文件的方式
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="realm" ref="statelessRealm"/>
	 //在这里设置
	<property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled" value="false"/>
	<property name="subjectFactory" ref="subjectFactory"/>
	<property name="sessionManager" ref="sessionManager"/>
	</bean> 

	//重写sessionstorage的方式
public class CustomeSessionStorge extends DefaultWebSessionStorageEvaluator{

    @Override
    public boolean isSessionStorageEnabled(Subject subject) {
        if(subject instanceof WebSubject){
            HttpServletRequest request = (HttpServletRequest) ((WebSubject) subject).getServletRequest();
            if (UserAgentUtil.isClient( request) ) {
                return false;
            }
        }
        return super.isSessionStorageEnabled(subject);
    }
}

贴下源码,默认的是如何存储的。。。app不带token时却能拿到身份信息,原因就在这里,存储了用户信息。

 @SuppressWarnings({"SimplifiableIfStatement"})
    @Override
    public boolean isSessionStorageEnabled(Subject subject) {
        if (subject.getSession(false) != null) {
            //use what already exists
            return true;
        }
		//没有session,切为false的时候才不存储用户身份信息,实则一一个坑。
        if (!isSessionStorageEnabled()) {
            //honor global setting:
            return false;
        }

        //SHIRO-350: non-web subject instances can't be saved to web-only session managers:
        //since 1.2.1:
        if (!(subject instanceof WebSubject) && (this.sessionManager != null && !(this.sessionManager instanceof NativeSessionManager))) {
            return false;
        }

        return WebUtils._isSessionCreationEnabled(subject);
    }
西瓜个球
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
JWT结合Springboot+shirosessiontoken存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2572
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro实现session和无状态token认证共存
bbq烤鸡的后宫
01-04 6408
默认shiro鉴权是基于session认证,也能实现状态Web。项目改造成前后端分离,在原有的session认证下扩展出一套无状态认证。将问题分离成以下几点 1、拦截无状态请求 2、实现realm共存 一个realm处理原先的session认证 一个处理无状态认证 3、开启原先的session管理 禁用无状态请求的session管理 否则 一个浏览器同存在两种请求会。。。 建一个过滤器拦...
Shiro】SpringMVC Mybatis Shiro RestTemplate的实现客户端无状态验证及访问控制
每一名出色的架构师,必定是一位优秀程序员
04-03 2235
A.首先需要搭建SpringMVC+Shiro环境 a1.pom.xml配置  spring:  org.springframework spring-webmvc 4.1.0.RELEASE org.springframework spring-aop 4.1.0.RELEASE org.springframework
如何搭建springboot+shiro状态验证的文章
weixin_30376163的博客
09-16 223
这个博主说的非常的详细,在这里我就不去复制他的东西了,大家可以去借鉴下 https://www.doufuplus.com/blog/shiro-jwt01.html 转载于:https://www.cnblogs.com/jfaith/p/11527648.html...
Shiro实现session和jwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1834
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
spring boot整合redis实现shiro的分布式session共享的方法
08-28
Spring Boot 整合 Redis 实现 Shiro 的分布式 Session 共享 Shiro 是一个优秀的 Java 安全框架,提供了强大的身份验证、授权和会话管理功能。然而,在分布式架构中,Shiro 的会话管理机制需要进行特殊处理,以便...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
shiro-redisson 是一个 Apache Shiro 的扩展组件,提供了基于 redis 实现的缓存和会话,以支持分布式环境下的应用。底层使用了 redisson 作为 redis 客户端。
shiro状态web集成的示例代码
08-29
本篇文章主要介绍了shiro状态web集成的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro前后端分离场景无状态登录身份验证和授权
07-05
本DEMO结合前后端分离场景,实现了用户登录后返回token状态身份验证和授权访问资源,技术使用springboot+mybatis+shiro+jwt(auth0)+MD5,包含了数据库建表语句。
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
SessionToken认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3873
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
Spring Boot Shiro实战
11-14
在Spring Boot中集成Shiro,可以了解到如何使用Spring MVC,;如何使用Spring Data JPA进行数据的持久化;如何使用Shiro安全框架;如何使用Thymeleaf模板引擎;如何使用ehcache缓存管理!
基于shiro框架无状态登录的一种处理方法
qq_27619637的博客
08-09 3243
在项目初期使用shiro进行权限管理,后期因为要进行移动端开发,就想试试shiro的无状态登录,在网上找了一些资料发现如果不修改现有框架进行权限管理基本不可能,于是尝试通过修改sessionid,后面发现这个方法行不通,于是通过重写Subject类+缓存完成功能,该方法有什么漏洞还需要在后续开发过程中发现,步骤如下: 重写Subject类,通过对登录的subject进行输出发现该类实际是subj...
shiro手机无状态登录访问和电脑端登录访问两种方式处理
tom9238的博客
12-26 4439
shiro stateless Demo of shiro session and stateless 安全框架shiro的一个同支持无状态session登录的添加部分自定义的demo 完整demo项目github源码 什么是shiro 官网地址 Shiro is a powerful and easy-to-use Java security framework that performs ...
Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
热门推荐
tobe27的博客
08-19 2万+
本文源码:github 上一篇Shiro的demo:SpringMVC框架下使用shiro权限管理 最近一直在研究Shiro,因为项目里面要使用Shiro进行权限控制。由于项目不只是在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求都在请求头里面添加token,后端验证有效性。所以Shiro自...
shiro集成redis实现分布式session和单点登录
luckyxl029的博客
06-08 1万+
shiro是一款出色的权限框架,能够实现诸如登录校验、权限校验等功能,默认情况下,shir将session保存到内存中,这在应用分布式部署的情况下会出现session不一致的问题,所以我们要将session保存到第三方,应用始终从第三方获取session,从而保证分布式部署session始终是一致的,这里我们采用redis保存session。单点登陆的实现逻辑是在用户登陆,生成token,然后...
shiro session
最新发布
09-07
你也可以在网上找到更多关于Shiro session共享的文章来进一步学习和了解。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* [基于spring redis的shiro ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值