springboot 整和 shiro + redis 验证header令牌,实现前后端分离认证

最新推荐文章于 2023-04-13 12:17:43 发布
最新推荐文章于 2023-04-13 12:17:43 发布
阅读量981 收藏 10
点赞数 2
分类专栏: 后台架构 后端笔记 文章标签: shiro redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40516924/article/details/104915651
版权

先看一下整个项目结构:

蓝色框里面的是shiro的主要配置

 

1.引入pom依赖:(数据源之类的依赖导入自己的就好 ,本文不讲数据源)

        <!--shiro整合redis-->
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>3.2.3</version>
        </dependency>

        <!--shiro-spring-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>

 

2.自定义Realm ,创建 UserRealm.java 文件

代码如下(直接复制就好):


import com.ihrm.ihrm_manager.pojo.User;
import com.ihrm.ihrm_manager.servier.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.ArrayList;
import java.util.List;

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    /**
     * 授权
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权");
        User user = (User) principalCollection.getPrimaryPrincipal(); //拿到用户 如果认证返回的SimpleAuthenticationInfo对象 参数一 传入的是 user对象那这里取到的就是对象 如果是用户名 这里取到的就是用户名

        /********查询出 当前用户的所有详细信息 包括用户的角色和权限 这里只是模拟数据 ***************/
        User userallInfo = userService.findAllUserInfoByUsername(user.getUsername());
        
        //将用户的角色 和 所有的权限 都存储到这两个集合中即可,自己调用service层代码
        List<String> stringRoleList = new ArrayList<>();
        List<String> stringPermissionList = new ArrayList<>();

        stringRoleList.add("admin");
        stringRoleList.add("root");
        stringPermissionList.add("select");
        stringPermissionList.add("remove");
        stringPermissionList.add("update");
        stringPermissionList.add("install");
        /***********************************************************************/

        //将用户的角色 和 用户的权限 集合传进去 别返回SimpleAuthorizationInfo对象
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRoles(stringRoleList);
        simpleAuthorizationInfo.addStringPermissions(stringPermissionList);
        return simpleAuthorizationInfo;
    }

    /**
     * 认证
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证");
        String username = (String)authenticationToken.getPrincipal();

        /*****************获取 当前登录的用户名 对应的用户信息*******************/
        User user = userService.findAllUserInfoByUsername(username);
        if(user == null){
            return null;
        }
        /***********************************************************************/

        Subject subject1 = SecurityUtils.getSubject();
        Session session = subject1.getSession();
        session.setAttribute("loginUser" , user);

        // 将用户的密码和用户对象写进去返回,切记整合redis 必须要传对象
        return new SimpleAuthenticationInfo(user, user.getPassword(),this.getName());
    }
}

 

 

3.shiro配置文件,创建 ShiroConfig.java 文件

代码如下(直接复制):



import com.ihrm.ihrm_manager.config.shiro.CustomSessionManager;
import com.ihrm.ihrm_manager.config.shiro.UserRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * shiro配置类
 */
@Configuration
public class ShiroConfig {

    /**
     * ShrioFilterFactoryBean 过滤bena
     *
     * @param defaultWebSecurityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        /*  添加shiro的内置过滤器
                anon 无需认证就可以访问
                authc  必须认证才能访问
                user  必须拥有记住我功能 才能用
                perms  拥有对某个用户资源才能访问
                role   拥有某个角色权限才能访问
         */
        Map<String, String> filterMap = new LinkedHashMap<>();
        //限制同一帐号同时在线的个数
        //游客角色
        filterMap.put("/login", "anon");
        //认证拦截
        filterMap.put("/Company/**", "authc");
        //权限拦截
        filterMap.put("/Company/**" , "roles[admin]");

        //约定俗称会在后面加一个拦截剩余的路径全部要求登录
        filterMap.put("/**", "authc");

        bean.setFilterChainDefinitionMap(filterMap);
        bean.setLoginUrl("/tourist/noLogin"); //没有登录
        bean.setUnauthorizedUrl("/tourist/noAuth");  //没有权限

        //其他资源都需要认证  authc 表示需要认证才能进行访问 user表示配置记住我或认证通过可以访问的地址
        return bean;
    }

    /**
     * 安全对象  FafaulWebSecurityManager
     *
     * @param userRealm
     * @return
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        securityManager.setSessionManager(sessionManager());  // 安全管理器中 设置 sessionManager
        securityManager.setCacheManager(cacheManager());
        return securityManager;
    }

    /**
     * 创建 Realm对象 ,需要自定义Realm
     *
     * @param hashedCredentialsMatcher
     * @return
     */
    @Bean
    public UserRealm userRealm(@Qualifier("hashedCredentialsMatcher") HashedCredentialsMatcher hashedCredentialsMatcher) {
        UserRealm userRealm = new UserRealm();
        userRealm.setCredentialsMatcher(hashedCredentialsMatcher);
        return userRealm;
    }

    /**
     * MD5加密
     *
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        hashedCredentialsMatcher.setHashIterations(2);
        return hashedCredentialsMatcher;
    }

    /**
     * 会话管理器
     *
     * @return
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        CustomSessionManager sessionManager = new CustomSessionManager();
        sessionManager.setSessionDAO(redisSessionDAO());
        sessionManager.setSessionIdCookieEnabled(false);//禁用cookie
        sessionManager.setSessionIdUrlRewritingEnabled(false);//禁用url重写   url;jsessionid=id
        return sessionManager;
    }

    /**
     * 配置redisManager
     *
     * @return
     */
    public RedisManager getRedisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost("127.0.0.1:6379");
        return redisManager;
    }

    /**
     * 配置具体cache实现类
     *
     * @return
     */
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(getRedisManager());
        //设置redis过期时间,单位是秒
        redisCacheManager.setExpire(3600);
        redisCacheManager.setKeyPrefix("ihrm:shiro:cache:"); //设置权限信息缓存的名称前缀
        return redisCacheManager;
    }

    /**
     * 自定义session持久化
     *
     * @return
     */
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(getRedisManager());
        redisSessionDAO.setExpire(3600);
        redisSessionDAO.setKeyPrefix("ihrm:shiro:session:"); //设置session缓存的名称前缀
        return redisSessionDAO;
    }

    /**
     * 管理shiro一些bean的生命周期 即bean初始化 与销毁
     *
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 加入注解的使用,不加入这个AOP注解不生效(shiro的注解 例如 @RequiresGuest , 但是 一般使用配置文件的方式)
     *
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new
                AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * 用来扫描上下文寻找所有的Advistor(通知器), 将符合条件的Advisor应用到切入点的Bean中,需
     * 要在LifecycleBeanPostProcessor创建后才可以创建
     *
     * @return
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new
                DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        return defaultAdvisorAutoProxyCreator;
    }

}

 

4.上面代码中 会话管理器中shiro默认使用的是 httpSession  我们使用自定义session会话:创建 CustomSessionManager.java 文件

代码如下 直接复制:


import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * 自定义session管理器
 */
public class CustomSessionManager extends DefaultWebSessionManager {

    /**
     * 头信息中具有sessionid
     * 请求头:Authorization: sessionid
     * 指定sessionId的获取方式
     */
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头Authorization中的数据
        String id = WebUtils.toHttp(request).getHeader("Authorization");
        if (StringUtils.isEmpty(id)) {
            //如果没有携带,生成新的sessionId
            return super.getSessionId(request, response);
        } else {
            //请求头信息:bearer sessionid
            id = id.replaceAll("Bearer ", "");
            //返回sessionId
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "header");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        }
    }
}

 

 

5.测试

自定义会话中已经说明了,用户每次请求的时候(也就是前端访问接口的时候) , 需要在header中 携带 Bearer+空格+令牌。

 

登录

登录后 rides中 会有缓存数据 也就是 用户的sessionID 存储到了redis中。下次验证的时候 直接到 缓存中 验证是否有sessionID 有代表登录成功。

 

 

权限验证

 

权限登录成功后 下次 当前用户 在此访问其他接口的是否 涉及到用户权限的 不会再去查数据库 , 用户的角色权限信息都存在了redis中。

可以执行验证。

 

 

 

搞定了!!!!

 

Ark方舟
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于springboot+mybatis+shiro+redis+vue构建的前后端分离的企业通用办公管理系统,特别适合个人学习
06-16
基于 springboot+mybatis_+shiro + redis+activiti+quarts+quartz+vue 写的一个前后分离办公企业管理系统 ,通用服务端,用于学习。 使用技术 服务端: springboot(2.2.1) + mybatis-push + shiro(1.4.0) + redis +...
Shiro JWT shiro自定义filter实现前置拦截获取header中的token,并且放行登录和注册接口
Falser101的博客
09-06 1970
1.自定义filter @Slf4j public class ShiroFilter extends FormAuthenticationFilter { @Autowired(required = false) private RedisUtils redisUtils; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Objec
Shiro中的session和cookie
m0_67265464的博客
08-24 2069
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
04 SaaS平台权限shiro的开发
wangyongxun1983的博客
09-14 381
01、spring整合Shiro <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> <dependency> <groupId>org.apache.shiro</gro
Shiro的session id 变化很快,导致验证码过期,用不了
wilsonke的专栏
03-10 3399
今天,以shiro做一个项目研究,发现shiro的session id变化很快,查了很久,结果在网上发现了一个说法: &lt;bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"&gt; &lt;property name="sessionDAO" ...
Shiro session的一些问题
Kainx
05-26 630
问题 问题1:会话cookie通过URL传递 org.apache.shiro.session.UnknownSessionException: There is no session with id [2e9e317f-7575-4bb0-98c4-3e6e5d2578f5] 问题2:session找不到报空指针错误 https://localhost/login;JSESSIONID=eefe2007-a31b-492e-a56f-4d1fa8bd61c6 问题3:当进入登录界面时(包括
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统
06-19
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有: 权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。 项目在线预览地址:...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、ShiroRedis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
最新发布
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
springboot+shiro实现自定义header登录认证
技术交流,共同进步
08-09 4029
springboot+shiro实现自定义header登录认证 基本配置 config子包的ShiroConfig引入了Shiro并配置了shirFilter、realm和sessionManager; shiroFilter配置只允许少量url可以匿名访问,其他url都需要登录才能访问; realm设置的是shiro子包的AdminAuthorizingRealm类,该类作用是认证和授权的功能;...
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 5554
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
Spring Cache Redis缓存key生成策略
star_apple的博客
03-22 4612
今天有人问我为什么我之前使用spring cache redis时,redis里面的key是cacheName::cacheKey格式,而现在cacheName的前缀没了?下面我们来分析一下key的生成逻辑。 源码分析 Spring Boot应用启动时,会自动加载redis相关的配置。我们主要关注一下RedisCacheConfiguration类。该类会创建一个RedisCacheManager...
Redis缓存的使用和基于SpringBoot1.x和SpringBoot2.x的RedisCacheManager配置使用详解
xy294636185的博客
01-12 3271
* Redis是一个开源的,内存中的数据机构存储系统,它可以作为数据库,缓存和消息中间件。 * 使用:安装redis,引入redis的starter,配置redis * 原理:CacheManager == Cache 缓存组件来实际给缓存中存取数据,替换默认的SimpleCacheConfiguration * 1.引入redis的starter,容器中保存的是RedisCacheManager * 2.RedisCacheManage...
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权验证以及token刷新
weixin_51542566的博客
04-13 1543
1. 本身AccessToken的过期时间为5分钟,RefreshToken过期时间为30分钟,当登录后时间过了5分钟之后,当前AccessToken便会过期失效,再次带上AccessToken访问JWT会抛出TokenExpiredException异常说明Token过期,开始判断是否要进行AccessToken刷新,首先redis查询RefreshToken是否存在,以及时间戳和过期AccessToken所携带的时间戳是否一致,如果存在且一致就进行AccessToken刷新。
分布式shiro单点登录跨域、请求等相关问题
m0_37928046的博客
12-13 1517
先讲一下此次项目的基本架构 使用springcloudalibaba 做的分布式项目shiro实现单点登录,前后端分离,前端使用vue。 使用shiro结合redis存储session信息登录之后返回token字符串,前端请求携带在header里以Authorization携带到后台。 1跨域问题 在gateway进行统一配置 @Configuration public class CorsConfig { @Bean public CorsWebFilter corsWebFil
008-shiro使用token认证
这个需求,做不了
05-25 8428
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
springboot+shiro+jwt实现token认证登录
qq_40997700的博客
12-17 4952
准备: springboot 2.5.5 jdk 1.8 没有操作刷新token功能,也没有放redis做缓存 1.先贴代码 2.后讲一下验证逻辑 1.导入依赖 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&gt
java热部署实现shiro,SpringBoot2.x+shiro+redis+jwt+swagger+mybatis 前后端分离实战脚手架(一)...
05-14
很高兴听到您正在开发这样一个项目!Java热部署可以帮助您在不停止服务器的情况下更新代码,从而提高开发效率。以下是一些实现Java热部署的方法: 1. 使用IDE自带的热部署功能。例如,Eclipse和IntelliJ IDEA都有自带的热部署插件,可以在代码更改后自动重新编译并重新加载类。 2. 使用Spring Boot DevTools。Spring Boot DevTools是一个开发工具包,可以在不需要重启应用程序的情况下自动重新加载类。 3. 使用JRebel。JRebel是一个商业软件,可以在不需要重启应用程序的情况下重新加载类。它支持各种Java框架和技术,包括Spring和Hibernate。 无论您使用哪种方法,它们都可以让您实现Java热部署。祝您的项目开发顺利!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ark方舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值