shiro session每次请求都不一样_Shiro使用Jwt达到前后端分离

最新推荐文章于 2023-07-15 18:16:57 发布
最新推荐文章于 2023-07-15 18:16:57 发布
阅读量677 收藏 1
点赞数
文章标签: shiro session每次请求都不一样 shiro 前后端分离 shiro 手动创建session shiro原理 springboot jwt token前后端分离

6da8b36bd3581a7c7cdc1480e227c562.png

作者:fzsyw

https://www.cnblogs.com/fzsyw/p/11405504.html

1,概述

前后端分离之后,因为HTTP本身是无状态的,Session就没法用了。项目采用jwt的方案后,请求的主要流程如下:用户登录成功之后,服务端会创建一个jwt的token(jwt的这个token中记录了当前的操作账号),并将这个token返回给前端,前端每次请求服务端的数据时,都会将令牌放入Header或者Parameter中,服务端接收到请求后,会先被拦截器拦截,token检验的拦截器会获取请求中的token,然后会检验token的有效性,拦截器都检验成功后,请求会成功到达实际的业务流程中,执行业务逻辑返回给前端数据。在这个过程中,主要涉及到Shiro的拦截器链,Jwt的token管理,多Realm配置等。

2,Shiro的Filter链

Shiro的认证和授权都离不开Filter,因此需要对Shiro的Filter的运行流程很清楚,才能自定义Filter来满足企业的实际需要。另外Shiro的Filter虽然原理都和Servlet的Filter相似,甚至都最终继承相同的接口,但是实际还是有些差别。Shiro中的Filter主要是在ShiroFilter内,对指定匹配的URL进行拦截处理,它有自己的Filter链;而Servlet的Filter和ShiroFilter是同一个级别的,即先走Shiro自己的Filter体系,然后才会委托给Servlet容器的FilterChain进行Servlet容器级别的Filter链执行

2.1 分析Shiro的默认Filter

在Shiro和Spring Boot整合过程中,需要配置ShiroFilterFactoryBean,该类是ShiroFilter的工厂类,并继承了FactoryBean接口。可以从该接口的方法来分析。该接口getObject获取一个实例,按照逻辑,发现调用createFilterChainManager,并创建默认的Filter(按照命名猜测Map defaultFilters = manager.getFilters())。

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {    private Map<String, Filter> filters;    private Map<String, String> filterChainDefinitionMap;     /**     *     * 该工厂类生产的产品类     */    public Object getObject() throws Exception {        if (instance == null) {            instance = createInstance();        }        return instance;    }    protected FilterChainManager createFilterChainManager() {        //创建默认Filter        DefaultFilterChainManager manager = new DefaultFilterChainManager();        Map<String, Filter> defaultFilters = manager.getFilters();        for (Filter filter : defaultFilters.values()) {            applyGlobalPropertiesIfNecessary(filter);        }        Map<String, Filter> filters = getFilters();        if (!CollectionUtils.isEmpty(filters)) {            for (Map.Entry<String, Filter> entry : filters.entrySet()) {                String name = entry.getKey();                Filter filter = entry.getValue();                applyGlobalPropertiesIfNecessary(filter);                if (filter instanceof Nameable) {                    ((Nameable) filter).setName(name);                }                manager.addFilter(name, filter, false);            }        }        Map<String, String> chains = getFilterChainDefinitionMap();        if (!CollectionUtils.isEmpty(chains)) {            for (Map.Entry<String, String> entry : chains.entrySet()) {                String url = entry.getKey();                String chainDefinition = entry.getValue();                manager.createChain(url, chainDefinition);            }        }        return manager;    }    protected AbstractShiroFilter createInstance() throws Exception {        log.debug("Creating Shiro Filter instance.");        SecurityManager securityManager = getSecurityManager();        if (securityManager == null) {            String msg = "SecurityManager property must be set.";            throw new BeanInitializationException(msg);        }        if (!(securityManager instanceof WebSecurityManager)) {            String msg = "The security manager does not implement the WebSecurityManager interface.";            throw new BeanInitializationException(msg);        }        //创建FilterChainManager        FilterChainManager manager = createFilterChainManager();        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();        chainResolver.setFilterChainManager(manager);        return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);    }       ...}

DefaultFilterChainManageraddDefaultFilters来添加默认的Filter,DefaultFilter为一系列默认Filter的枚举类。

public class DefaultFilterChainManager implements FilterChainManager {        public MapgetFilters() {        return filters;    }    protected void addFilter(String name, Filter filter, boolean init, boolean overwrite) {        Filter existing = getFilter(name);        if (existing == null || overwrite) {            if (filter instanceof Nameable) {                ((Nameable) filter).setName(name);            }            if (init) {                initFilter(filter);            }            this.filters.put(name, filter);        }    }     /**     *     * 创建默认的Filter     */    protected void addDefaultFilters(boolean init) {        for (DefaultFilter defaultFilter : DefaultFilter.values()) {            addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);        }    }    ...}

从这个枚举类中可以看到之前添加的共有11个默认Filter,它们的名字分别是anon,authc,authcBaisc等。

public enum DefaultFilter {    anon(AnonymousFilter.class),    authc(FormAuthenticationFilter.class),    authcBasic(BasicHttpAuthenticationFilter.class),    logout(LogoutFilter.class),    noSessionCreation(NoSessionCreationFilter.class),    perms(PermissionsAuthorizationFilter.class),    port(PortFilter.class),    rest(HttpMethodPermissionFilter.class),    roles(RolesAuthorizationFilter.class),    ssl(SslFilter.class),    user(UserFilter.class);    private final Class extends Filter> filterClass;    private DefaultFilter(Class extends Filter> filterClass) {        this.filterClass = filterClass;    }    public Filter newInstance() {        return (Filter) ClassUtils.newInstance(this.filterClass);    }    public Class extends Filter> getFilterClass() {        return this.filterClass;    }    ...}

2.2    Filter的继承体系分析

  • NameableFilter给Filter起个名字,如果没有设置,默认名字就是FilterName。

  • OncePerRequestFilter用于防止多次执行Filter;也就是说一次请求只会走一次拦截器链;另外提供 enabled 属性,表示是否开启该拦截器实例,默认 enabled=true 表示开启,如果不想让某个拦截器工作,可以设置为 false 即可。

  • AdviceFilter提供了AOP风格的支持。preHandler:在拦截器链执行之前执行,如果返回true则继续拦截器链;否则中断后续的拦截器链的执行直接返回;可以进行预处理(如身份验证、授权等行为)。postHandle:在拦截器链执行完成后执行,后置处理(如记录执行时间之类的)。afterCompletion:类似于AOP中的后置最终增强;即不管有没有异常都会执行,可以进行清理资源(如接触 Subject 与线程的绑定之类的)。

  • PathMatchingFilter内置了pathMatcher的实例,方便对请求路径匹配功能及拦截器参数解析的功能,如下所示,对匹配的路径执行isFilterChainContinued的逻辑,如果都没配到,则直接交给拦截器链。

    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {    if (this.appliedPaths == null || this.appliedPaths.isEmpty()) {        if (log.isTraceEnabled()) {            log.trace("appliedPaths property is null or empty.  This Filter will passthrough immediately.");        }        return true;    }    for (String path : this.appliedPaths.keySet()) {        //对匹配路径进行处理        if (pathsMatch(path, request)) {            log.trace("Current requestURI matches pattern '{}'.  Determining filter chain execution...", path);            Object config = this.appliedPaths.get(path);            return isFilterChainContinued(request, response, path, config);        }    }    return true;}

  • AccessControlFilter提供了访问控制的基础功能,isAccessAllowed访问通过,则交给拦截器链,不通过则执行onAccessDenied来确定交给拦截器还是自己处理

    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);    }

  • AuthenticationFilter认证Filter的基类,一般在isAccessAllowed中执行认证逻辑,另外该Filter提供登录成功后跳转的功能

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object      mappedValue) {    Subject subject = getSubject(request, response);    return subject.isAuthenticated();}protected void issueSuccessRedirect(ServletRequest request, ServletResponse response) throws        Exception {    WebUtils.redirectToSavedRequest(request, response, getSuccessUrl());}

  • AuthenticatingFilter是AuthenticationFilter的子类,提供了executeLogin通用逻辑,通常由子类来实现protected abstract AuthenticationToken createToken(ServletRequest request, ServletResponse response)该方法,然后执行subject.login(token)

    public abstract class AuthenticatingFilter extends AuthenticationFilter {    public static final String PERMISSIVE = "permissive";    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {        AuthenticationToken token = createToken(request, response);        if (token == null) {            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +                "must be created in order to execute a login attempt.";            throw new IllegalStateException(msg);        }        try {            Subject subject = getSubject(request, response);            subject.login(token);            return onLoginSuccess(token, subject, request, response);        } catch (AuthenticationException e) {            return onLoginFailure(token, e, request, response);        }    }    protected abstract AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception;    protected AuthenticationToken createToken(String username, String password,                                              ServletRequest request, ServletResponse response) {        boolean rememberMe = isRememberMe(request);        String host = getHost(request);        return createToken(username, password, rememberMe, host);    }    protected AuthenticationToken createToken(String username, String password,                                              boolean rememberMe, String host) {        return new UsernamePasswordToken(username, password, rememberMe, host);    }    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,                                     ServletRequest request, ServletResponse response) throws Exception {        return true;    }    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e,                                     ServletRequest request, ServletResponse response) {        return false;    }    @Override    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {        return super.isAccessAllowed(request, response, mappedValue) ||            (!isLoginRequest(request, response) && isPermissive(mappedValue));    }    ...}

2.3 在Shiro中添加自定义的Filter

从上面源码分析,知道了Shiro会提供11个默认的Filter,也是按照拦截器模式交由FilterChainManager来管理Filter,并最终返回SpringShiroFilter。所以添加自定义的Filter,主要有三步。

  • 实现自己的Filter

如下实现了自己的JwtFilter,主要逻辑可以参考FormAuthenticationFilter。JwtFilter主要是对前端的Api进行校验,检验失败,则抛出异常信息,不给拦截器链处理。

@Slf4jpublic class JwtFilter extends AuthenticatingFilter {       private static final String TOKEN_NAME = "token";        /**     * 创建令牌     */    @Override    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {        final String token = getToken((HttpServletRequest) servletRequest);             if(StringUtils.isEmpty(token)) {            return null;        }               return new JwtToken(token);         }        /**     * 获取令牌     * @param httpServletRequest     * @return     */    private String getToken(HttpServletRequest httpServletRequest) {        String token = httpServletRequest.getHeader(TOKEN_NAME);        if(StringUtils.isEmpty(token)) {            token = httpServletRequest.getParameter(TOKEN_NAME);        };        if(StringUtils.isEmpty(token)) {            Cookie[] cookies = httpServletRequest.getCookies();            if(ArrayUtils.isNotEmpty(cookies)) {                for(Cookie cookie :cookies) {                    if(TOKEN_NAME.equals(cookie.getName())) {                        token = cookie.getValue();                        break;                    }                }            }        };          return token;    }     /**     * 未通过处理     * @param servletRequest     * @param servletResponse     * @return     * @throws Exception     */    @Override    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {        return executeLogin(servletRequest, servletResponse);    }    /**     * 登录失败执行方法     * @param token     * @param e     * @param request     * @param response     * @return     */    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request,            ServletResponse response) {        response.setContentType("text/html;charset=UTF-8");        try(OutputStream outputStream = response.getOutputStream()){            outputStream.write(e.getMessage().getBytes(SystemConsts.CHARSET));            outputStream.flush();                   } catch (IOException e1) {            e1.printStackTrace();        }           return false;    }    ...}

  • 将Filter添加到Shiro中

将自定义的Filter添加到Shiro,并要指定的匹配路径。

public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired          org.apache.shiro.mgt.SecurityManager securityManager, @Autowired JwtFilter jwtFilter) {        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();        Map<String, Filter> filterMap = new LinkedHashMap<>();        filterMap.put("jwt", jwtFilter);        shiroFilterFactoryBean.setFilters(filterMap);            Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();        filterChainDefinitionMap.put("/**", "jwt");         shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);    ...        return shiroFilterFactoryBean;    }

注意:SpringBoot自动帮我们注册了我们的Filter(Filter是注册到整个Filter链,而不是Shiro的Filter链),但是在Shiro中,我们需要自己实现注册,但是又需要Filter实例存在于Spring容器中,以便能使用其他众多服务(自动注入其他组件……)。所以需要取消Spring Boot的自动注入Filter。可以采用如下方式:

@Beanpublic FilterRegistrationBean registration(@Qualifier("devCryptoFilter") DevCryptoFilter filter){    FilterRegistrationBean registration = new FilterRegistrationBean(filter);    registration.setEnabled(false);    return registration;}

3,Jwt整合

使用Jwt需要我们提供对token的创建,校验和获取token中信息的方法。网上有很多,可以借鉴,而且token中也可以存一些其他数据。

public class JwtUtil {    /**     * 检验token     * @return boolean     */    public static boolean verify(String token, String username) {        ...    }    /**     * 获得token中的属性     * @return token中包含的属性     */    public static String getValue(String token, String key) {        ...    }    /**     * 生成token签名EXPIRE_TIME 分钟后过期     *      * @param username     *            用户名     * @return 加密的token     */    public static String createJWT(String userId) {        ...    }}

4,多Realm配置

用户密码认证和Jwt的认证需要不同的两个Realm,多Realm需要处理不同的Realm,获取到指定Realm的AuthenticationToken的数据模型。

  • 实现ModularRealmAuthenticator的方法

    public class MultiRealmAuthenticator extends ModularRealmAuthenticator {    @Override    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)             throws AuthenticationException {        assertRealmsConfigured();                List realms = this.getRealms()                .stream()                .filter(realm -> {                    return realm.supports(authenticationToken);                })                .collect(Collectors.toList());                return realms.size() == 1 ? this.doSingleRealmAuthentication(realms.get(0), authenticationToken) :             this.doMultiRealmAuthentication(realms, authenticationToken);    }}

  • AuthenticatingRealm中实现getAuthenticationTokenClass方法

    public Class getAuthenticationTokenClass() {    return JwtToken.class;}

  • 在SecurityManager中配置

    @Bean(name = "securityManager")public org.apache.shiro.mgt.SecurityManager defaultWebSecurityManager(@Autowired UserRealm      userRealm,  @Autowired TokenRealm tokenValidateRealm) {    securityManager.setAuthenticator(multiRealmAuthenticator());    securityManager.setRealms(Arrays.asList(userRealm, tokenValidateRealm));    ...    return securityManager;}

5,整合Swagger

5.1 添加Swagger依赖

<dependency>    <groupId>io.springfoxgroupId>    <artifactId>springfox-swagger2artifactId>    <version>2.9.2version>dependency><dependency>    <groupId>io.springfoxgroupId>    <artifactId>springfox-swagger-uiartifactId>    <version>2.9.2version>dependency>

5.2 添加Swagger的配置

@Configurationpublic class Swagger2Config {    @Bean    public Docket createRestApi() {        return new Docket(DocumentationType.SWAGGER_2)                .apiInfo(apiInfo())                .select()                .apis(RequestHandlerSelectors.basePackage("XXX"))                .paths(PathSelectors.any())                .build();    }    private ApiInfo apiInfo() {        return new ApiInfoBuilder()                .title("XXX")                .description("经供参考")                .version("1.0")                .build();    }}

6,总结

在整个过程中,遇到的坑就是在Spring boot中Filter的自动注入,中间考虑有不使用注入的方式解决,即直接使用new JwtFilter()的方式,虽然也能解决问题,但是不是很完美,最终还是在网上找到解决方案。对Shiro的Filter链的执行过程加强了理解,能够使用自定的Filter解决实际问题。还有一个后续的问题,退出登录时的Jwt的token处理,它本身不能像Session一样,退出就清除,理论上只要没过期,就一直存在。可以考虑使用缓存,退出时清除即可,然后在校验时,先从缓存获取进行判断。

weixin_39653405
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssm+shrio前后端分离详解
zy13765287861的博客
11-05 484
Shiro概述 1、什么是Shiro Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2、为什么要学shiro 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 3、基本功能 【Authentication】 身份认证/登录,验证
springboot项目前后端分离使用shiro的情况解决sessionid不同问题
热门推荐
chenyidong521的博客
08-12 1万+
遇到的问题 开发中遇到开发app或者前后端分离的项目时候,使用ajax等方式向后台访问的时候session每次都不同,这样使用shiro验证全是不能通过.原来我们使用的是token的方式,可以自己通过验证token来实现权限判断问题,但是使用shiro我们还需要自己重写权限判断.那么如何实现shiro中通过token来进行sessionid不变呢. 我们通过配置shirosession管理器来解...
shiro session每次请求都不一样_Shiro--->02
weixin_39532466的博客
11-26 353
SSM-Shiro整合配置文件配置web.xml文件的Shiro Filter:Shiro是一个安全框架,web进行配置的时候,选择是filter标签进行安全过滤。配置applicationContext.xml文件:1、配置凭证匹配器: 注册bean标签,也就是交给Spring容器来管理。HashedCredentialsMatcher,和之前安全框架的shiro.ini的配置基本上一致。 2...
请求session为null 或 每次请求session都不同的问题。
Xiaofeng_Lu__的博客
08-17 4457
在项目开发中,使用session保存邮箱验证的验证码,当使用swagger测试时没有问题,但是vue项目中测试的时候,明明验证码都发送成功了,也填写了发送过来的验证码,却返回“验证码未发送”。这是验证验证码的代码,返回“验证码未发送”,则可以知道,该浏览器在服务器的session为null,即传过来的sessionid为空,因为服务器要根据请求cookie中的sessionid找服务器中对应的session。可是,......
跨域每次请求sesseionid不同_解决Springboot+ajax跨域及每次请求sessionId不一样的问题...
weixin_39564368的博客
01-17 635
1、问题复现:项目中后端使用Springboot搭建,使用Shiro做安全管理。前后端分离后,前端使用ajax访问服务端程序。在未做任何处理前,ajax报错:Access to XMLHttpRequest at 'http://127.0.0.1:8080/login/checkLogin' from origin'http://localhost:63342' has been blocked...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis ... (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。  (2)shiro默认使用的登录拦截校验机制恰恰就是使用session。  这当然不是我们
springboot整和jwtshiro、redis实现token自动刷新
08-19
springboot整和jwtshiro、redis实现token自动刷新
xmljava系统源码-lanjerry-framework:基于SpringBoot2、JWTShiro实现的前后端分离开发框架,接口遵循
06-06
SpringBoot2、JWTShiro实现的前后端分离开发框架,接口遵循RESTful风格,文档使用swagger。 在线演示 账号:admin 密码:123456 项目源码 后端源码 前端源码 github 码云 特性 使用MyBatis-Plus作为持久层框架,...
SpringSecurity与shiro使用
10-07
Spring Security与Shiro使用 Spring Security和Shiro都是流行的Java安全框架,用于保护Web应用程序免受未经授权的访问。下面我们将分别介绍Spring Security和Shiro使用Shiro框架 Shiro是一个轻量级的安全...
connect time out 获取token失败_记一次token安全认证的实践
weixin_39543835的博客
11-25 500
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!本文作者:[Java知音] 瑾似流年推荐阅读1.Java 性能优化:教你提高代码运行的效率2.基于token的多平台身份认证架构设计3.select count(*)底层究竟做了什么?4.Springboot启动原理解析阅读此文前请先阅读上一篇SpringBoot整合JWT实现用户认证了解JWT。背景介绍:因项目需...
shirosession的问题
2301_77664771的博客
07-15 339
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
jwt单点登录_使用jwt技术实现系统间的单点登录
weixin_39518840的博客
12-03 259
----我是吕一明,这是我的第四期进阶训练营,评论还不错,欢迎参加。----作者:君之见https://blog.csdn.net/jewelry008/article/details/72771489单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。一、JWT定义及其组...
jwt token 太长_理解 JWT 鉴权的应用场景及使用建议
weixin_39608509的博客
12-03 1247
JWT 介绍JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。虽然JWT可以加密以提供各方之间的保密性,但我们将重点关注已签...
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4134
关于spring security整合jwt实现前后端权限认证和授权管理
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1367
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
Shiro获取不到用户问题/不同请求不同session
MOKE_SPACE
07-16 4419
这个问题困扰了我好久,看源码从线程分析到Session,最后确定是 session 的问题,我发现每次在 swagger 请求后,后台的 Shiro 都是重新创建一个 session,且没有把用户信息更新到新的 session 中。 也就是说,swagger 的每次请求是没有携带 JSESSIONID 的,而无意间听到前辈说,后端 swagger 一般是不会出现跨域问题,而我却为 swagger ...
Shiro关于session时间刷新规则重写,变更调用touch()逻辑,shiro可不刷新session
z362249834的博客
12-30 2286
Shiro关于session时间刷新规则重写 为了迎合代码需求,前端需要对后台做轮训请求,于是遇到一个问题:由于每次请求shiro会对session做LastAccessTime时间更新,则导致用户只要浏览器保持页面,session将永远无法失效,那关于30分钟失效时间在这种场景下就不再有意义,所以我们需要做是的指定接口请求时不再刷新session时间,保证用户静默时能在理论失效时间后自动登出系统。 实际需求 指定请求路径,依旧会过shiro鉴权、有效判断,但不会刷新当前session时间。 源码分析 首先
问题2:shiro配置redis管理session后,每次重新请求重新生成session问题
a151605的博客
04-24 8555
使用shiro时,配置了redis缓存session,但是每次请求,包括刷新页面都会在redis中重新保存一个session,后来发现是cookie设置的domian问题,导致每次请求域名不同,后台会自动重新生成session.@Bean(name="sessionIdCookie") public SimpleCookie sessionIdCookie(){ //coo...
springboot shiro 前后端分离
最新发布
09-23
SpringBoot中实现前后端分离的开发模式下使用Shiro,可以通过以下步骤进行操作: 1. 配置Shiro的Maven依赖,添加ShiroSpringBoot的相关依赖。 2. 创建自定义的Realm,继承自`AuthorizingRealm`,并实现其中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值