shiro将session认证改成token认证_源码分析shiro认证授权流程

最新推荐文章于 2022-04-25 08:42:12 发布
VIP文章 最新推荐文章于 2022-04-25 08:42:12 发布
阅读量531 收藏
点赞数
文章标签: shiro将session认证改成token认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31286719/article/details/113668337
版权
83c0e50c89f51c90a06ccabfda632413.png

1. shiro介绍

Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:

  • 认证 - 用户身份识别,常被称为用户“登录”;
  • 授权 - 访问控制;
  • 密码加密 - 保护或隐藏数据防止被偷窥;
  • 会话管理 - 每用户相关的时间敏感的状态。

对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

2. shiro源码概况

先要了解shiro的基本框架(见http://www.cnblogs.com/davidwang456/p/4425145.html)。

然后看一下各个组件之间的关系:

13938d7d4a126a2ef1130b2b61014d10.png

一下内容参考:http://kdboy.iteye.com/blog/1154644

Subject:即“当前操作用户”。但是,在Shiro中

最低0.47元/天 解锁文章
duo dou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
Spring-shiro-Boot-4 存储token
良之才的专栏
03-14 1769
这节主要讲用redis存储token,跟shiro基本上没有关系。 但是与是使用shiro做无状态管理所需要的。 一、token组成: (1)在redis中存储 [key] tokens:UUID-key [value] usernamePasswordToken的JSON字符串 [expire] 过期时间 (2)在java中的数据模型 public class Token implements Serializable { private static final long s
shirosession认证改成token认证_Shiro 运行过程
weixin_42438410的博客
01-19 1397
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权shiro架构subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证授权。securityManager:安全管理器,主体进行认证授权都是通过securityManager进行。authenticator:认证器,主体进行认证最终通过authenticator...
shirotoken无状态单点登录
weixin_45528177的博客
09-13 1002
shirotoken无状态单点登录 1.session 的运作通过一个session_id来进行。session_id通常是存放在客户端的 cookie 中,众所周知,当客户端请求成功,服务端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。session是基于
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 3673
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
spring-web项目采用token认证session创建过多导致OOM
wangfenglei123456的博客
01-18 831
本文介绍关于session过多,分问题、解决方案、分析在另写文章。 问题:spring-boot微服务互相调用时,采用的是spring-security来认证,比如A服务调用B服务用feign调用方式。 1. 浏览器访问web项目,传递token,Bearer 0d8c2dfa-5a3f-4fde-935e-96da27712687,此时,web服务会拿着token,去用户服务认证认证通过,放行。每次访问都会在web服务创建一个新的session,有效期是30分钟,即使前端下次访问的时候,传递上次响应
SpringBoot整合Redis使用x-auth-tonken实现Session共享
Jack_David的专栏
12-07 2505
文章目录SpringBoot整合Redis实现Session共享1、配置pom.xml文件2、配置application.properties文件3、配置启动类4、验证4.1、编写一个Controller类4.2、使用postman发送请求4.2.1、设置会话信息4.2.2、获取会话信息4.3、通过Redis Desktop Manager查看数据5、使用x-auth-token代替JSESSIONID5.1、配置HttpSessionStrategy5.1.1、 1.x版本的SpringBoot5.1.
shirosession认证改成token认证_Shiro框架:认证授权原理
weixin_39866867的博客
01-18 837
点击上方Java后端,选择设为星标优质文章,及时送达前言Shiro作为解决权限问题的常用框架,常用于解决认证授权、加密、会话管理等场景。本文将对Shiro认证授权原理进行介绍:Shiro可以做什么?、Shiro是由什么组成的?举个Shiro的例子呗?Shiro认证的原理是咋样的?Shiro授权的原理是咋样的?1. Shiro可以做什么?在构建一个网络应用的时候,权限检验管理作为...
shiro - 使用 token
bhegi_seg的博客
03-28 1130
整合文章: 为什么使用tokensessiontoken的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 5192
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为tokenShirotoken的实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用.
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态...
shiro管理多登录入口配置,手机端登录与网页端登录
12-20
shiro管理多登录入口配置,手机端登录与网页端登录两个的shiro配置,两个Realm,两个表单过滤,验证码生成,登录类型判断,xml详细配置
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
而且 Shiro 兴起的时代主流应用还是传统的基于 Session 的 Web 网站,并没有过多的考虑目前流行的微服务等应用形式的权限管理需求。导致其并没有提供一套无状态微服务的开箱即用的整合方案。需要在项目层面对 Shiro ...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
使用token作为登录凭证,不使用session,避免跨域问题 使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 . ...
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
Springboot下Shiro+Token使用redis做安全认证方案
程序员闪充宝
03-15 8983
以前项目中权限认证没有使用安全框架,都是在自定义 filter 中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring securi...
springboot shiro 实现token
m0_67393686的博客
04-25 900
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 3861
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
使用shiro进行登录是用的token还是session
最新发布
05-26
Shiro框架既支持使用Token进行登录认证,也支持使用Session进行登录认证。 使用Token进行登录认证流程一般如下: 1. 用户输入用户名和密码,提交到服务器。 2. 服务器验证用户名和密码,如果通过验证,则生成一个Token,并将Token返回给客户端。 3. 客户端在后续的请求中,需要在请求头中携带这个Token,以便服务器能够识别用户身份。 4. 服务器接收到请求,验证Token的有效性,如果有效,则允许访问资源。 使用Session进行登录认证流程一般如下: 1. 用户输入用户名和密码,提交到服务器。 2. 服务器验证用户名和密码,如果通过验证,则在Session中保存用户的身份信息。 3. 客户端在后续的请求中,会自动在请求头中携带Session ID,以便服务器能够识别用户身份。 4. 服务器接收到请求,验证Session ID的有效性,如果有效,则允许访问资源。 需要注意的是,使用Session进行登录认证需要在服务器端保存Session,这可能会增加服务器的负担,在高并发的情况下可能会导致性能问题。因此,在实际开发中,可以根据具体情况选择使用TokenSession进行登录认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值