直接进入主题,项目是使用springboot,框架用的shiro做权限,mybatis做orm框架,项目需要做前后分离,这样就会导致一个问题,shiro是根据sessionID来识别是不是同一个request,但如果前后分离的话,就会出现跨域的问题,session很可能就会发生变化,这样就需要用一个标记来表明是同一个请求。初步的方案就是用token来代替session,但本质上说,现在的这种方式,还是用的session的那一套,不过是对中间进行了处理,下面上代码:
我们要先解决的是跨域的问题:
springboot解决跨域很好解决,如下即可。
package com.common.config.cors;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
/**
* @author :LX
* 创建时间: 2019/5/30. 14:03
* 地点:广州
* 目的: 跨域访问控制
* 做前后分离的话,这个也是必配的
* 备注说明:
*/
@Configuration
public class CorsConfig {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
// 允许任何域名使用
corsConfiguration.addAllowedOrigin("*");
// 允许任何头
corsConfiguration.addAllowedHeader("*");
// 允许任何方法(post、get等)
corsConfiguration.addAllowedMethod("*");
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
// 对接口配置跨域设置
source.registerCorsConfiguration("/**", buildConfig());
return new CorsFilter(source);
}
}
然后自定义 realm ,简单点说,就是你实现查询用户角色和权限的类。这一步就省略了,不外乎查询数据库,查询当前用户的角色和权限。
接着自定义token,简单的说,这里其实就是让前端请求的时候在请求头中带一个特定的标识,然后根据这个标识找到vlues,匹配上我们的sessionId。
package com.common.config.shiro;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;
/**
* @author :LX
* 创建时间: 2019/5/30. 18:08
* 地点:广州
* 目的: shiro 的 session 管理
* 自定义session规则,实现前后分离,在跨域等情况下使用token 方式进行登录验证才需要,否则没必须使用本类。
* shiro默认使用 ServletContainerSessionManager 来做 session 管理,它是依赖于浏览器的 cookie 来维护 session 的,调用 storeSessionId 方法保存sesionId 到 cookie中
* 为了支持无状态会话,我们就需要继承 DefaultWebSessionManager
* 自定义生成sessionId 则要实现 SessionIdGenerator
* 备注说明:
*/
public class ShiroSession extends DefaultWebSessionManager {
/**
* 定义的请求头中使用的标记key,用来传递 token
*/
private static final String AUTH_TOKEN = "authToken";
private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
public ShiroSession() {