java清除shiro里的token_前后分离,使用自定义token作为shiro认证标识,实现springboot整合shiro...

最新推荐文章于 2023-03-29 00:00:00 发布
最新推荐文章于 2023-03-29 00:00:00 发布
阅读量1k 收藏
点赞数
文章标签: java清除shiro里的token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29440125/article/details/114624815
版权
本文介绍了如何在SpringBoot项目中使用Shiro实现前后端分离的认证,解决跨域问题并用token替代session。首先通过配置CORSFilter解决跨域问题,然后自定义Realm和token,确保在跨域请求中使用token进行身份验证。同时,文章提供了自定义SessionIdGenerator的示例,以实现更安全的session管理。最后,展示了完整的Shiro配置和过滤器实现。
摘要由CSDN通过智能技术生成

直接进入主题,项目是使用springboot,框架用的shiro做权限,mybatis做orm框架,项目需要做前后分离,这样就会导致一个问题,shiro是根据sessionID来识别是不是同一个request,但如果前后分离的话,就会出现跨域的问题,session很可能就会发生变化,这样就需要用一个标记来表明是同一个请求。初步的方案就是用token来代替session,但本质上说,现在的这种方式,还是用的session的那一套,不过是对中间进行了处理,下面上代码:

我们要先解决的是跨域的问题:

springboot解决跨域很好解决,如下即可。

package com.common.config.cors;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.cors.CorsConfiguration;

import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

import org.springframework.web.filter.CorsFilter;

/**

* @author :LX

* 创建时间: 2019/5/30. 14:03

* 地点:广州

* 目的: 跨域访问控制

* 做前后分离的话,这个也是必配的

* 备注说明:

*/

@Configuration

public class CorsConfig {

private CorsConfiguration buildConfig() {

CorsConfiguration corsConfiguration = new CorsConfiguration();

// 允许任何域名使用

corsConfiguration.addAllowedOrigin("*");

// 允许任何头

corsConfiguration.addAllowedHeader("*");

// 允许任何方法(post、get等)

corsConfiguration.addAllowedMethod("*");

return corsConfiguration;

}

@Bean

public CorsFilter corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

// 对接口配置跨域设置

source.registerCorsConfiguration("/**", buildConfig());

return new CorsFilter(source);

}

}

然后自定义 realm ,简单点说,就是你实现查询用户角色和权限的类。这一步就省略了,不外乎查询数据库,查询当前用户的角色和权限。

接着自定义token,简单的说,这里其实就是让前端请求的时候在请求头中带一个特定的标识,然后根据这个标识找到vlues,匹配上我们的sessionId。

package com.common.config.shiro;

import org.apache.shiro.web.servlet.ShiroHttpServletRequest;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.apache.shiro.web.util.WebUtils;

import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import java.io.Serializable;

/**

* @author :LX

* 创建时间: 2019/5/30. 18:08

* 地点:广州

* 目的: shiro 的 session 管理

* 自定义session规则,实现前后分离,在跨域等情况下使用token 方式进行登录验证才需要,否则没必须使用本类。

* shiro默认使用 ServletContainerSessionManager 来做 session 管理,它是依赖于浏览器的 cookie 来维护 session 的,调用 storeSessionId 方法保存sesionId 到 cookie中

* 为了支持无状态会话,我们就需要继承 DefaultWebSessionManager

* 自定义生成sessionId 则要实现 SessionIdGenerator

* 备注说明:

*/

public class ShiroSession extends DefaultWebSessionManager {

/**

* 定义的请求头中使用的标记key,用来传递 token

*/

private static final String AUTH_TOKEN = "authToken";

private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

public ShiroSession() {

最低0.47元/天 解锁文章
原来是婷子啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java清除shirotoken_shiro token 分析
weixin_29693211的博客
02-25 1119
1.ShiroConfig.java 定义匿名用户可以访问的资源filterMap.put("/webjars/**", "anon");filterMap.put("/druid/**", "anon");filterMap.put("/api/**", "anon");filterMap.put("/sys/login", "anon");filterMap.put("/**/*.css", ...
java清除shirotoken_shiro 获取当前用户token
weixin_30527151的博客
02-25 780
//获取当前登录用户用户名AppSecurityUtils.obtainLoginedUsername()//获取当前用户tokenAppSecurityUtils.obtainAccessToken()AppSecurityUtils.javaimport org.apache.shiro.subject.Subject;/*** @author yangty**/public class A...
java清除shirotoken_Java shiro实战之改造成token格式的无状态restful api _好机友
weixin_39630095的博客
02-25 276
rest风格的api一般是使用oauth2协议或者是rest + jwt模式,我们这使用的是后者。改造过程主要分为以下几步:禁用shiro sessionjwt生成token与校验token自定义shiro token自定义realm中授权和认证方法的改造自定义filter中的isAccessAllowed和onAccessDenied方法的改造配置类改造需要注意的是,登录操作的模式是不变的。 ...
shiro 清除指定用户授权缓存
辛晨V的博客
11-04 1729
老规矩先上代码(干货) /** * 清空用户关联权限认证,待下次使用重新加载 */ public void clearCachedAuthorizationInfo(Principal principal) { Subject subject = SecurityUtils.getSubject(); // String realmName = subject.getPrincipals().getRealmNames().iterator().next();
shiro实现用户踢出功能
weixin_34023863的博客
01-05 2230
title: shiro实现用户踢出功能 tags: reids shiro Kickout categories: 工作日志 date: 2017-05-25 18:18:56 貌似现在javaweb界大部分还是知道开涛的大名的,许多人的springmvc,spring,shiro等的入门教程就是从开涛的博客开始的。 Shiro的单用户登录功能也是从开涛的博客代码参考过来的,第十八章 并...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
spring boot+shiro.zip_java shir_springBoot 权限
09-20
4. 用户认证:创建自定义的AuthenticationToken实现Shiro的Subject登录逻辑。 5. 权限授权:定义角色和权限的关系,以及具体的权限规则,确保每个URL或操作都有对应的权限。 6. 页面拦截:在前端使用Shiro标签库,...
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期内Token刷新方案源码+项目说明.zip
12-20
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期内Token刷新方案源码+项目说明.zip 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
3. ** JWT令牌**:为了实现前后端分离,通常会使用JSON Web Token(JWT)进行用户认证。当用户登录成功后,服务器返回一个JWT,前端保存该令牌并在后续请求中携带。Shiro可以通过JWT插件进行解析和验证。 4. **拦截...
shiro+springboot自定义sessionId
袖卷笛音的博客
07-03 7231
shiro中,默认返回的sessionId是uuid或者是random随机的,我们可能需要根据我们的需求进行重写,需要重写sessionId我们只需要写一个类实现SessionIdGenerator中的generateId就行 1.自定义sessionId生成 自定义CustomSessionIdGenerator实现SessionIdGenerator接口,重写generateId(...
shiro实现登录登出_shiro退出登陆清空缓存实现
weixin_42575325的博客
02-11 1628
上一篇介绍了使用springmvc集成shiro登陆过程(http://www.cnblogs.com/nosqlcoco/p/5579081.html),通过FormAuthenticationFilter过滤器获取到用户输入的账号密码。shiro是一个被广泛使用的安全层框架,通过xml配置方式与spring无缝对接,用户的登陆/退出/权限控制/Cookie等管理系统基础功能交给shiro来管理...
shiro(6)分布式应用鉴权方式之Shiro整合SpringBoot自定义SessionId
奇点
03-03 767
Shiro 默认的sessionid生成 类名 SessionIdGenerator 创建一个类,实现 SessionIdGenerator 接口的方法 public class RandomSessionIdGenerator implements SessionIdGenerator { private static final Logger log = Logg...
如何将访问的接口去掉token验证
热门推荐
FYW_1121的博客
08-14 1万+
如何将访问的接口去掉token验证 项目应用:springboot oath2 完成此操作需要修改两个模块的application.yml文件修改,一个是getway网关的yml文件,另一个则是接口所在模块的yml文件
接口不需要验证token
qq_33550151的博客
05-09 7065
package com.club.common.interceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation....
修改shiro的cookie的名称
m0_54861649的博客
04-28 681
1、情况 在同一个域名下部署两套不同的项目,端口号不同,都采用shiro安全框架。 2、出现问题:两个系统同登陆后会出现相互干扰的情况 3、原因:同一个域名下两个系统的cookie名称相同(shiro默认的cookie名为;JSESSIONID),相互覆盖; 4、解决方案:修改shiro默认的cookie名 springboot整合shiro修改的代码 //同一个域下两个项目使用shiro,cookie相同相互影响 /* @Bean public Cookie cookieDAO() {
Shiro 用户认证个性化修改: 如果AuthenticationToken的元素不满足实际情况,列入登陆的候需要有学校id或者 其他参数,这需要进行扩展,主要修改的地方有以下:
a3111300的博客
01-16 8401
1.重写一个Token类,实现AuthenticationToken,如下面我写的UsernamePasswordTokenModel 2.Realm类需要实现一个support方法,以让shiro识别这个AuthenticationToken的子类 3.获取到相应的Token,获取用户信息 4.登录候需要做些修改,t
springboot shiro 实现token
m0_67393686的博客
04-25 910
要求 做前端端分离的项目前端要求用token,在登入的返回集面。前端请求是将token放在请求头。同要求同一间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2524
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
springboot shiro token
最新发布
09-06
Spring Boot和Shiro是两个独立的开源项目,可以结合使用实现身份认证和授权功能。在Spring Boot中集成Shiro,可以使用Shiro提供的Token来进行用户身份认证。 在使用Shiro进行身份认证,可以使用不同类型的Token...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值