Shrio权限认证,APP验证-2

最新推荐文章于 2022-08-13 16:52:49 发布
最新推荐文章于 2022-08-13 16:52:49 发布
阅读量138 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangdaoyin2010/article/details/94057522
版权

参考:https://www.cnblogs.com/zhuxiaojie/p/7809767.html#autoid-2-0-0

方法1、添加参数JSESSIONID

 0、修改默认SessionManager

  public DefaultWebSecurityManager() {
        ((DefaultSubjectDAO)this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
        this.sessionMode = "http";
        this.setSubjectFactory(new DefaultWebSubjectFactory());
        this.setRememberMeManager(new CookieRememberMeManager());
        this.setSessionManager(new ServletContainerSessionManager());//默认使用ServletContainerSessionManager进行session管理,
    }

 从上面的构造函数中可以发现默认使用ServletContainerSessionManager进行session管理

可以通过下面修改为DefaultWebSessionManager

 securityManager.setSessionManager(new DefaultWebSessionManager());
1、在进行登录的时候讲JSESSIONID进行返回
   UsernamePasswordToken toke = new UsernamePasswordCaptchaToken();
            toke.setPassword(password.toCharArray());
            toke.setUsername(userName);
            Subject subject = SecurityUtils.getSubject();
            subject.login(toke);
            Object sd = subject.getPrincipal();
            sessionId = (String) subject.getSession().getId();
return sessionId ;

2、在请求参数中添加JSESSIONID参数为登录时返回的sessionId

查看DefaultWebSessionManager源码

 private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
        String id = this.getSessionIdCookieValue(request, response);
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "cookie");
        } else {
            id = this.getUriPathSegmentParamValue(request, "JSESSIONID");
            if (id == null) {
                String name = this.getSessionIdName();//得到JSESSIONID参数名称
                id = request.getParameter(name);//获取到参数的值
                if (id == null) {
                    id = request.getParameter(name.toLowerCase());
                }
            }

            if (id != null) {
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url");
            }
        }

        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        }

        request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, this.isSessionIdUrlRewritingEnabled());
        return id;
    }
从上面的代码中看到注释行,英此可以通过在参数中添加JSESSIONID参数进行登录验证

 

wangdaoyin2010
关注
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3969
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
Apache Shiro去掉URL中的JSESSIONID
热门推荐
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url有时候会带上jsessionid有时候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
shiro实现APP、web统一登录认证权限管理
weixin_33871366的博客
05-21 1172
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证权限控制。好的,那么问题来了web和APP都可以用shiro认证吗?两者有什么区别?如果可以,解决方案是什么?看着大家焦急的小眼神,接下来挨个解决上面的问题。 web和APP可以用shiro统一登录认证吗? 可以。假如web和...
shiro实现APP保持登录状态,以及web统一登录认证权限管理,会话保持在web和APP之间。
gaofeihu_的博客
03-05 1万+
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证权限控制。好的,那么问题来了:先说web端1.因为一般网页主需要记住7天密码(或者稍微更长)的功能就可以了,可以使用cookie实现,而且shiro也提供了记住密码的功能,在服务器端session不需要保存过长时间。再说app端2...
shiroapp利用token进行交互的解决方案
a785975139的博客
03-25 4538
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
再见 Shiro 权限认证我选择 Sa-Token:简单、优雅
java_beautiful的博客
08-13 727
Sa-Token是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。Sa-Token 的 API 设计非常简单,有多简单呢?// 在登录时写入当前会话的账号id// 然后在需要校验登录处调用以下方法:// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常复制代码至此,我们已经借助 Sa-Token 完成登录认证!...
基于SpringBoot + Vue 开发的前后端分离外卖点单系统,采用Shiro进行权限管理,使用uni-app开.zip
最新发布
02-03
在本外卖点单系统中,Shiro用于实现用户权限管理,比如登录验证、角色权限分配等。它能确保只有经过身份验证和授权的用户才能访问特定的资源和服务。 4. **uni-app**: uni-app是H5跨平台开发工具,由Echarts团队...
Shiro配置跳过权限验证
s724542558的博客
06-16 9902
通过重写Shiro PermissionAnnotationHandler 和Bean替换 完成 晚点完善
C/S,APP架构中,通过shiro重写session,用shiro实现权限管理?
u012916287的专栏
02-19 2310
最近在做一个C/S架构的后台的时候,需要做权限管理。一开始想的是用redis保存用户登录凭证和登录信息,然后用redis来实现类似于session的东西。然后自己写一套权限管理系统出来。但是觉得工作量比较大。后来通过网上查阅资料,最后决定要用shiro来做权限管理,这样C/S和B/S架构都可以用这套权限管理系统。 因为C/S架构在客户端不能存储jsessionId,所以需要借助shiro来重写一
shiro的会话管理器SessionManager
zsg88的专栏
06-28 4745
SessionManager会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。 public interface SessionManager { Session start(SessionContext context); //启动会话  Session getSession(SessionKey key) throws SessionExce
使用 Shiro 配合微信小程序或者app登录,做验权
weixin_45390688的博客
09-15 1497
由于本人第一次使用微信小程序配合 Shiro 做验权, 发现小程序不能像普通网页那样做验权, 后台 Shiro 根本识别不到小程序客户端的状态 原因 原来是小程序不自带 cookie 的管理,导致 Shiro 下发的 SessionId, 再小程序下次请求时,不会带上之前的 SessionId 解决方案 自己手动存储 cookie ,并在所有请求中带上 cookie 这是最简单粗暴的方法之一 (当然,也可以去自定义 Shiro 的 Session 管理,等等其他方法) 第一次登录请求时,保存 cookie
DefaultWebSessionManager与ServletContainerSessionManager解析
ystyaoshengting的专栏
09-15 7563
下图是sessionManager的一个结构图,最右边的securityManager已经在前面的博文中了解了; 这里来了解DefaultWebSessionManager与ServletContainerSessionManager这两个sessionManager 在上文中提到,DefaultWebSecurityManager中默认使用的是ServletContainerSessio...
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro权限认证:角色-菜单-权限数据库设计与建表SQL
Shiro权限认证的实现中,一个常见的设计是利用多对多的关系来管理角色、菜单、用户之间的权限分配。根据提供的文件内容,我们主要关注以下几个关键表及其结构: 1. sys_menu (菜单表) - 这个表用于存储系统中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值