shiro手机无状态登录访问和电脑端登录访问两种方式处理

最新推荐文章于 2024-05-18 09:57:41 发布
最新推荐文章于 2024-05-18 09:57:41 发布
阅读量4.4k 收藏 15
点赞数 3
分类专栏: java 文章标签: java shiro 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tom9238/article/details/85258026
版权

shiro stateless

Demo of shiro session and stateless
安全框架shiro的一个同时支持无状态和session登录的添加部分自定义的demo

完整demo项目github源码

什么是shiro

官网地址

Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

shiro是一个java服务端控制访问权限的安全框架

使用场景

由于公司手机端不能存cookie,所以传统的session存储登录信息的登录方式(后面简称session登录)不能用,所以需要一个既支持session登录后访问有访问权限控制的url又支持无状态化夹带加密token访问有访问权限控制的url的shiro配置。

这个demo适合以下几类情形人员服用:

  1. 面临上面我说的情况
  2. 接触过shiro,接触过spring boot。但不知道具体shiro拦截的是怎么起到作用的
  3. 接触过shiro,接触过spring boot。想把shiro 官方ini配置改写成java config配置的

这个demo不适合没有接触过shiro的人员,如果想要了解shiro基础的东西,推荐开涛的shiro的系列博客,地址
开涛博客 你们看完后会发现我的一些代码也是参考他的。我开始用shiro也是先看文档后看开涛的博客然后又参考了一些别的博客,再自己打断点看shiro源码来摸索的。

shiro默认访问步骤

shiro访问一个普通的url步骤大致是这样的

  1. 到 shiro 的 PathMatchingFilter preHandle 方法判断一个请求的访问权限是可以直接放行还是需要 shiro 自己实现的AccessControlFilter 来处理访问请求
  2. 假设到了 AccessControlFilter 实现类,首先在 isAccessAllowed 判断是否可以访问,如果可以则直接放行访问,如果不可以则到 onAccessDenied 方法处理,并继续调用 realm doGetAuthorizationInfo 授权判断是否有足够的权限来访问
  3. 假设有足够的权限的话就访问到自己定义的 controller了

如果这个url是登录请求的话,
那接下来:

  1. 在你自己的代码里会写到获取shiro的Subject,创建一个token,通常是UsernamePasswordToken,将请求参数的账户密码填充进去,然后调用subject.login(token)
  2. 接下来到支持处理这个token的realm中调用 realm doGetAuthenticationInfo 鉴权,鉴权后,session中就存有你的登录信息了

shiro开发步骤

原本shiro默认只支持session登录,不支持无状态形式的访问请求,只能做到阻止未登录用户访问需要访问权限的url,不符合我的需求。

要改的话就要看有没有一个东西来改变根据session控制访问逻辑。

可以实现 AccessControlFilter 来修改控制访问的逻辑

要做的有下面几方面

最低0.47元/天 解锁文章
Routz
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
shiro分布式控制登录状态_使用Shiro和token进行无状态登录
weixin_39661405的博客
12-21 1009
使用Shiro和token进行无状态登录使用Shiro和token进行无状态登录我们之前可以使用shiro实现登录,但这些都是基于session或是cookie实现的,这些只能用于单机部署的服务,或是分布式服务共享会话,显然后者开销极大,所以JWT(JSON Web Token)应运而生,JWT是一套约定好的认证协议,通过请求携带令牌来访问那些需鉴权的接口。我们在这里使用token,原理类似,但是...
shiro实现APP、web统一登录认证和权限管理
weixin_33871366的博客
05-21 1165
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后,在后使用shiro进行登录认证和权限控制。好的,那么问题来了web和APP都可以用shiro认证吗?两者有什么区别?如果可以,解决方案是什么?看着大家焦急的小眼神,接下来挨个解决上面的问题。 web和APP可以用shiro统一登录认证吗? 可以。假如web和...
推荐项目:ShiroJwt - 无状态鉴权新体验
最新发布
gitblog_00033的博客
05-18 283
推荐项目:ShiroJwt - 无状态鉴权新体验 项目地址:https://gitcode.com/dolyw/ShiroJwt 项目介绍 ShiroJwt是一个基于SpringBoot、Mybatis Generator和Shiro的现代化鉴权解决方案,它引入了Java-JWT实现无状态鉴权,并集成了AES-128加密方式和Redis缓存系统,旨在提供安全、高效的API接口访问控制。该项目还提供...
基于shiro框架状态登录的一种处理方法
qq_27619637的博客
08-09 3249
在项目初期使用shiro进行权限管理,后期因为要进行移动端开发,就想试试shiro的无状态登录,在网上找了一些资料发现如果不修改现有框架进行权限管理基本不可能,于是尝试通过修改sessionid,后面发现这个方法行不通,于是通过重写Subject类+缓存完成功能,该方法有什么漏洞还需要在后续开发过程中发现,步骤如下: 重写Subject类,通过对登录的subject进行输出发现该类实际是subj...
shiro与token无状态单点登录
weixin_45528177的博客
09-13 1042
shiro与token无状态单点登录 1.session 的运作通过一个session_id来进行。session_id通常是存放在客户的 cookie 中,众所周知,当客户请求成功,服务写入session数据,向客户浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。session是基于
springboot+shiro+jwt+redis+cache实现无状态token登录
saienenen的博客
12-11 4072
一,前言 网上关于shiro的整合文章不少,但很多并不适用于前后分离/移动端的项目 shiro默认的拦截跳转都是跳转url页面,这在前后分离的项目中显然行不通 shiro默认使用session做登录校验,分离后当然这也是不推荐的 强行使用也可以,但是就必须做其它大量的工作,除了需要解决刚提到的跳转路径问题,其它的如跨域sessionId问题、或需修改为传递sessionId做shiro登录校验,以及集群下session共享问题。emmm,还有session机制本身的安全问题等等。 这显然是费时费力的
shiro前后分离场景无状态登录身份验证和授权
07-05
综上所述,这个DEMO展示了如何在前后分离的环境中,使用SpringBoot、MyBatis、Shiro、JWT和MD5实现一个无状态登录系统。通过Shiro进行身份验证和授权,利用JWT生成令牌,MD5加密密码,MyBatis处理数据库操作,...
shiro管理多登录入口配置,手机登录与网页登录
12-20
在"shiro管理多登录入口配置,手机登录与网页登录"这个场景下,我们需要考虑如何为不同的登录入口(手机和网页)设置独立的验证流程。 首先,Shiro 的核心组件 Realm 负责与应用数据源交互,验证用户身份。...
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求...
shiro获取登录状态和用户信息
08-04
Shiro 提供了多种方式来获取当前用户的登录状态,其中一种常用的方式是通过Session来获取。 ##### 2.1 检查登录状态代码示例 ```java public boolean isAuthenticated(String sessionID, HttpServletRequest ...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
shirodemo实现web登陆
10-10
shiro在web的实现,使用jsp实现,给html实现了登陆测试。
shiro+jwt+redis - 无状态token登录(三)鉴权篇
Hello-huang
03-17 1092
上文授权篇中,我们已经完成了对token的颁发及清除,上述操作实际上并不需要真正与shiro进行整合。在这一篇章中我将会说明关于整合shiro后如何进行token的鉴权,同时这也将是实现无状态登录鉴权的最后重头戏。 一、Maven配置 主要配置如下: <!-- Spring boot --> <dependency> <groupId>org.springframework.boot</groupId>
Shiro单点登录 并实现PC端手机能同时在线
qq_45186545的博客
01-19 1783
Shiro单点登录 并实现PC端手机能同时在线 本文适用于有一定shiro使用经验的人。因为最近遇到需要在项目中拓展PC端手机同时在线,且满足单点登录。由于之前接手代码已经实现PC端单点登录,以及数据处理,在次基础上做的拓展。 ...
Spring Boot集成无状态Shiro
坤哥的博客
11-22 3961
最近这些天一直在用Spring Boot集成Shiro,由于我们要做的是RESTful调用,所以只能使用无状态的,不能使用会话机制。用户每次过来请求的时候都会带着用户名和签名,每次都要对其做验证(登录)。网上很多参考资料都是基于spring mvc来做的,配置之类的基本放在xml文件或者ini文件中,尤其是多realm的时候,直接都是放到ini文件中(少部分在xml中配置),还没找到直接在代码中设置
shiro app
weixin_34026484的博客
04-11 209
写在前面 我们知道,shiro框架Java Web应用中使用时,本质上是通过filter方式集成的。 也就是说,它是遵循过滤器链规则的:filter的执行顺序与在web.xml中定义的顺序一致,如下所示: <filter> <filter-name>securityFilter</filter-name> <filter-cla...
shiro实现APP保持登录状态,以及web统一登录认证和权限管理,会话保持在web和APP之间。
热门推荐
gaofeihu_的博客
03-05 1万+
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后,在后使用shiro进行登录认证和权限控制。好的,那么问题来了:先说web1.因为一般网页主需要记住7天密码(或者稍微更长)的功能就可以了,可以使用cookie实现,而且shiro也提供了记住密码的功能,在服务器session不需要保存过长时间。再说app2...
Spring Boot 整合 Shiro 实现登录认证权限控制
cpown的博客
07-30 522
在互联网软件开发过程中,我们项目中必不可少的是安全框架,如何做好项目的安全是一个app最基本的一步。 我们现阶段使用最多的安全框架一个是springboot的security框架,另一种是Apache Shiro,今天我们来学习一下shiro的使用。 一、简介 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,
shiro如何实现后台和手机不同登录校验
03-08
Shiro可以通过自定义Realm来实现后台和手机不同的登录校验。在Realm中可以根据不同的请求来源,使用不同的认证方式和校验规则,从而实现不同的登录校验。例如,可以在后台管理系统中使用用户名和密码进行认证,而在手机则使用手机号和验证码进行认证。同时,Shiro还支持多Realm的配置,可以根据需要配置多个Realm来实现不同的登录校验。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值