前后端分离--基于SpringBoot集成Shiro安全验证

最新推荐文章于 2022-10-10 20:09:48 发布
最新推荐文章于 2022-10-10 20:09:48 发布
阅读量2.2k 收藏 5
点赞数 4
分类专栏: springboot 文章标签: springboot 前后端分离 Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41018959/article/details/81001184
版权

        写这篇博客,主要是让自己忘记的时候可以翻起来看看,毕竟人老多忘事。

        对于SpringBoot集成Shiro框架,也算是蛮了解的,但是之前搭的项目,前后端都是部署在一起的,所以就不存在跨域的问题,最近接到一个项目,需要前后端分开部署。刚开始想着用SpringBoot集成shiro安全验证,直接做个后端服务系统,应该是蛮简单的,所以就开搞了。

        Shiro工作原理是服务端将SessionID写入客户端浏览器的cookie中,客户端发起请求时携带cookie信息,服务端从cookie中读取sessionId,以此来维持会话。但是在前后端分离模式下,我们的后端服务不能将sessionId写到请求浏览器cookie中,而且存在跨域问题,基于安全方面原因,ajax请求也都不带cookie信息,后端程序没办法取得sessionId,也就无法验证登录。

        既然这样,那我们可不可以模拟这种工作方式,将SessionID返回前端做保存(写入cookie或localStage中),然后前端发起请求的时候,将Sessionid传给服务器,服务器获取这个SessionID,再取对应的session呢?事实证明,这是可以行的通的,网上也有好多大牛这么做过,只是自己在动手过程中,还是碰到了好些问题,现在就一一记录下来。

        后台登录接口,需要将ShiroSession的SessionId返回给前端,前端保存到cookie中,如下:

 

} catch (LockedAccountException e) {
    e.printStackTrace();
    retMap.put("msg", "登录失败,该用户已被冻结");
    return retMap;
} catch (AuthenticationException e) {
    e.printStackTrace();
    retMap.put("msg", "用户名或密码错误");
    return retMap;
} catch (Exception e) {
    e.printStackTrace();
    retMap.put("msg", "登录异常:"+e);
    return retMap;
}
saveLog(ConstantsUtil.OPT_TYPE_LOGIN,"用户登录-User Login","login()");
retMap.put("code", 200);
retMap.put("token", req.getSession().getId()); //返回SessionID
retMap.put("user", userLogin);
return retMap;

登录成功后,前端JS中接收sessionID(token),并保存到cookie中,

 

        $.ajax({

            url: config.apiRoot()+'/test/testlogin.do',

            type: 'POST',

            beforeSend: function(xhr) {

                xhr.withCredentials = true;

            },

            crossDomain: true,

            data: JSON.stringify(params),

            contentType: "application/json;charset=UTF-8",

            cache: 'false',

            success: function(ret) {

                if(ret!=null){

                    if(ret.code==200){

                        //登录成功

                        // 登录成功 返回登录前url

                        localStorage.setItem("admin",JSON.stringify(ret.user));

                        localStorage.setItem("token",ret.token); //保存SessionID

                        $.cookie("token",ret.token);              //保存SessionID       

                        window.location.href = "index.html";

                    }else{//未定义业务接收 方法

                        _log(ret.msg);

                    }

                }

            },

            error: function(jqXHR, textStatus, errorThrown) {

                //TODO:提示消息

                _log("登录失败!");

                //_log("请求错误:"+JSON.stringify(jqXHR) + "," + textStatus + "," + errorThrown);

            }

        });     

 

       第一,修改Shiro安全配置,重写SessionManager类,创建一个MySessionManager类继承DefaultWebSessionManager类,重写getSessionId方法,先从cookie获取SessionID,取不到再从requestHeader中获取,如取不到再从请求参数中获取,具体如下:        

 

/**
     * 重写获取sessionId的方法调用当前Manager的获取方法
     *
     * @param request
     * @param response
     * @return
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        return this.getReferencedSessionId(request, response);
    }

    /**
     * 获取sessionId从请求中
     *
     * @param request
     * @param response
     * @return
     */
    private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
        String id = this.getSessionIdCookieValue(request, response);       //此方法copy自父类
        if (id == null) {
            // 获取请求头中的sessionId
            HttpServletRequest req = (HttpServletRequest) request;
//                id = WebUtils.toHttp(request).getHeader(this.authorization);
            id = req.getHeader(this.authorization);
            if (id == null) {
                id = req.getParameter(this.authorization);
                if (id == null) {
                    id = this.getUriPathSegmentParamValue(request, "SID"); //此方法copy自父类
                    if (id == null) {
                        String name = this.getSessionIdName();             //此方法copy自父类
                        id = request.getParameter(name);
                        if (id == null) {
                            id = request.getParameter(name.toLowerCase());
                        }
                    }
                }
            }
        }
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "cookie");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            return super.getSessionId(request, response);
        }
    }

       第二,修改Shiro配置中的session管理类,配置为我们的MySessionManager类,这里用到了redis作为缓存管理器,

 

 //配置核心安全事务管理器
    @Bean(name="securityManager")
    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {
        System.err.println("--------------shiro已经加载----------------");
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        //注入缓存管理器;  
        manager.setCacheManager(redisCacheManager());//这个如果执行多次,也是同样的一个对象;
        manager.setSessionManager(sessionManager());
        manager.setRealm(authRealm);
        return manager;
    }
/**
     *
     * @描述:sessionManager添加session缓存操作DAO
     * @创建人:
     * @创建时间:2018年4月24日 下午8:13:52
     * @return
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        MySessionManager sessionManager = new MySessionManager();//使用我们的MySessionManager管理类
        sessionManager.setSessionDAO(redisSessionDAO());
        return sessionManager;
    }
/**
 * 配置shiro redisManager
 *
 * @return
 */
@ConfigurationProperties(prefix = "spring.redis")
public RedisManager redisManager() {
    RedisManager redisManager = new RedisManager();
    return redisManager;
}
/**
 * cacheManager 缓存 redis实现
 *
 * @return
 */
public RedisCacheManager redisCacheManager() {
    RedisCacheManager redisCacheManager = new RedisCacheManager();
    redisCacheManager.setRedisManager(redisManager());
    return redisCacheManager;
}

/**
 * RedisSessionDAO shiro sessionDao层的实现 通过redis
 * <p>
 * 使用的是shiro-redis开源插件
 */
@Bean
public RedisSessionDAO redisSessionDAO() {
    RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
    redisSessionDAO.setRedisManager(redisManager());
    return redisSessionDAO;
}

        第三,在项目中添加一个过滤器类CrosFilter,处理跨域问题,其中,OPTIONS预处理请求,要返回200,表示成功,否则ajax发起post,get等请求,服务器不能响应。另外,Access-Control-Allow-Headers配置项中,要设置Authorization,而且,Access-Control-Allow-Credentials 要设置成true.

 

/**
 * 〈一句话功能简述〉跨域过滤器<br>
 * 〈〉
 *
 * @author lenovo
 * @create 2018/7/4
 * @since 1.0.0
 */
@Component
public class CorsFilter implements Filter {
    final static org.slf4j.Logger logger = org.slf4j.LoggerFactory.getLogger(CorsFilter.class);

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest)req;
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "X-Requested-With,Content-Type,Origin,Authorization, X-File-Name,Cookie,Accept,Connection,User-agent");//
        response.setHeader("Access-Control-Allow-Credentials", "true"); //设置允许携带cookie信息
        System.out.println("*********************************过滤器被使用**************************");
        if (request.getMethod().equals( "OPTIONS" )) { //这里很重要,options请求,直接返回200,表示成功
            response.setStatus(200);
            return;
        }
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {}

    @Override
    public void destroy() {}

}

        最后,前端ajax发起请求时,需要添加请求头信息,requestHeader添加Authorization项,值为登录时返回的sessionID($.cookie("token")),设置crossDomain为true。具体如下:

 

        var param={};

param.tocken= localStorage.getItem("token");

param.radom = Math.random();

param.currentTime= new Date();

$.ajax({

// 地址格式

url: getApiRoot()+"/checkActiveTT.do",

type: 'post',

beforeSend: function(xhr) {

                xhr.withCredentials = true;

                xhr.setRequestHeader("Authorization", $.cookie("token"));

            },

            crossDomain: true,

contentType: 'application/json;charset=UTF-8',

data: JSON.stringify(param),

cache: 'false',

async: false,

success: function (data) {

if (data.code=="200") {

}

else {

toLogin();

}

},

error: function (e) {

toLogin();

}

});

 

        经验证,前后端可以正常交互。这个问题,搞了两天,头壳疼。。

      【转载请注明出处——大道迷途】

大道迷途
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
2401_84091580的博客
05-06 676
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
java 后端框架_Java后端精选技术:Shiro安全框架入门篇(登录验证实例详解)
weixin_40002692的博客
12-02 208
一、Shiro框架简单介绍Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是...
SpringBoot集成Shiro(一)验证用户登录验证
江湖人称小程的博客
06-19 2111
SpringBoot集成Shiro(一)验证用户登录验证 SpringBoot集成Shiro(二)验证用户角色 SpringBoot集成Shiro(三)验证用户权限 SpringBoot集成Shiro(四)验证用户角色升级版 学习这篇文章之前,需要对 shiro 有一个简单的了解。 在SpringBoot集成Shiro安全认证框架也很简单,大概可以分为以下几步: 创建项目并添加依赖 增加登录方法 增加验证方法 配置Shiro 创建项目 首先在 https://start.spring.io/ 创建.
Spring Boot+shiro+redis 安全框架权限认证前后端分离【完整版】总结
一只软件小白的博客
03-06 792
一、导入依赖只导入redis以及shiro <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-re...
shiro与jwt前后端分离项目集成
Codewarning
10-10 742
springboot项目中使用shiro和jwt开发前后端分离项目,编写的demo模板
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
Shiro可以很好地与SpringBoot集成,为RESTful API提供安全防护。 在实现前后端全分离的场景下,前端和后端通过JSON交换数据,安全策略通常由后端实现。以下是SpringBootShiro结合实现接口安全的关键步骤: 1. **...
springboot集成jwt和shiro实现前后端分离权限demo2
04-10
这个"springboot集成jwt和shiro实现前后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现前后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWT和Shiro使用技巧...
SpringBoot + Shiro前后端分离权限
08-25
SpringBootShiro的结合可以很好地处理权限管理,尤其是在前后端分离的场景下。本文将详细介绍如何在SpringBoot项目中利用Shiro实现前后端分离的权限控制。 首先,Shiro是一个轻量级的安全框架,提供了认证、授权...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot集成Shiro,可以创建Filter进行登录验证和权限校验: ```java @Configuration @EnableWebSecurity public class ShiroConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
shiro整合springboot前后端分离
08-25
shirospringboot集成,可以实现高效、安全的web应用程序开发。本文将详细介绍shirospringboot集成,特别是前后端分离的实现。 一、shiro的基本概念 shiro是一款基于Apache License的开源安全框架,提供了...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
shiro配置 在springboot前后端分离中,集成shiro认证授权框架
easy4use
09-21 5459
一:介绍 Apache Shiro是Java的一个安全框架。由于它相对小而简单,现在使用的人越来越多。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具...
前后端分离SpringBoot + Jwt 登录验证token
_wanshuang_
08-27 2万+
前后端分离SpringBoot + Jwt 登录验证token 写在前面:近期在做一个前后台分离的项目 Springboot + vue 登录验证的时候选用了shiro 因为是拿来即用的 所以前后端部署完成后出现很多bug...   种种原因 最后选择了友好又亲切的Jwt  : ) 好了 直接上代码了 wait 粗暴上代码之前让我先小小说下这个小模块是什么原理 (毕竟鱼的记忆力) 以我的...
apache shiro 如何升级_Springboot +Shiro +VUE 前后端分离之权限管理系统
weixin_39771351的博客
11-26 1387
点击上方Java开发联盟,选择“星标公众号”优质文章,第一时间送达简介:前后端分离:要实现前后端分离,需要考虑以下2个问题:1. 项目不再基于session了,如何知道访问者是谁?2. 如何确认访问者的权限?前后端分离,一般都是通过token实现,本项目也是一样;用户登录时,生成token及 token过期时间,token与用户是一一对应关系,调用接口的...
spring boot 2.x + shiro + redis实现前后端分离的项目
zhourenfei17的专栏
10-30 1万+
简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 demo地址在最下方给出。 本文主要实现shiro的以下几个功能: 1.当用户没有登陆时只能访问登录接口,访问其他接口会返回无效的授权码   2.当用户...
Spring Boot 集成Shiro和CAS
热门推荐
小单的博客专栏
01-17 6万+
请大家在看本文之前,先了解如下知识点: 1、Shiro 是什么?怎么用? 2、Cas 是什么?怎么用? 3、最好有Spring基础可以先看看这两篇文章,按照这2篇文章的内容做一遍: Spring Boot Shiro 权限管理 CAS单点登录首先看一下下面这张图: 第一个流程是单纯使用Shiro的流程。 第二个流程是单纯使用Cas的流程。 第三个图是Shiro集成Cas后的流程。【流
springboot整合shiro前后端分离
最新发布
03-16
Spring Boot整合Shiro可以实现前后端分离安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入Shiro和Spring Boot相关依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值