如何前后端分离的架构中使用Shiro框架

最新推荐文章于 2024-05-12 16:25:49 发布
最新推荐文章于 2024-05-12 16:25:49 发布
阅读量1.8k 收藏 13
点赞数 2
文章标签: 架构 前端 java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40835745/article/details/122366688
版权

文章目录

前言

现在大部分web应用都是使用前后端分离的架构开发,这就需要通过token做为前端访问后端接口时的身份标识。前端在访问登录接口时,登陆成功给前端返回一个token值,前端可以通过这个token值来访问被赋予权限的接口。

一、登录

登录接口如下所示,在登录阶段,把用户输入的用户名和密码信息与后端数据库中所存储的信息进行比对,如果比对成功且符合登录条件,后端将会产生一个token给前端。

    @GetMapping("/login")
    public ResponseVo login(String username, String password){
        if(StringUtils.isEmpty(username)){
            return ResponseVo.error("未输入用户名");
        }
        SysUserEntity user=sysUserService.findByUserName(username);
        if(user==null||!user.getPassword().equals(new Sha256Hash(password, user.getSalt()).toHex())){
               return ResponseVo.error("用户不存在或密码不正确");
        }
        if(user.getStatus()==0){
            return ResponseVo.error("用户已锁定,请联系管理员");
        }

        ResponseVo responseVo=sysUserTokenService.createToken(user.getUserId());

        return responseVo;
    }

二、配置ShiroConfig

1.编写ShiroConfig

ShiroConfig是shiro的配置类,在配置类中配置了安全管理器,shiro过滤器,生命周期后置处理器、授权资源通知器和默认通知器代理生成器。
1、AuthorizationAttributeSourceAdvisor和DefaultAdvisorAutoProxyCreator的配置是为了开启shiro注解(例如@RequiredPermissions、@RequiredRoles等)。
2、LifecycleBeanPostProcessor是用来管理shiro的生命周期。
3、shiro过滤器主要是来判定哪些接口需要认证,哪些接口可以匿名访问,由于使用了token方式,所以需要编写一个适用于token方式认证的过滤器。
4、SecurityManager做为shiro框架中的安全管理器,主要需要注入shiroRealm属性,来实现身份认证功能和授权功能。

@Configuration
public class ShiroConfig {

    @Bean
    public SecurityManager securityManager(ShiroRealm shiroRealm){
        DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(shiroRealm);
        defaultWebSecurityManager.setRememberMeManager(null);
        return defaultWebSecurityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        HashMap<String,Filter> map=new HashMap();
        map.put("oauth2",new AuthenticFilter());
        shiroFilterFactoryBean.setFilters(map);

        HashMap<String,String> filter=new HashMap();
        filter.put("/kaptcha.jpg","anon");
        filter.put("/login","anon");
        filter.put("/webjars/**","anon");
        filter.put("/swagger/**","anon");
        filter.put("/v2/api-docs", "anon");
        filter.put("/swagger-ui.html", "anon");
        filter.put("/swagger-resources/**", "anon");
        filter.put("/**","oauth2");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filter);

        return shiroFilterFactoryBean;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator autoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        autoProxyCreator.setProxyTargetClass(true);
        return autoProxyCreator;
    }
}

2.身份认证过滤器

上一小节提到,使用token方式登录需要自己编写接口的过滤器。该过滤器中一共重写了四个方法,分别是createToken、onAccessDenied、onLoginFailure和isAccessAllowed。
1、createToken是为了在后续的登录流程中产生一个AuthenticationToken对象,而这个对象是在前端请求时在Header或者Parameter中携带的(也就是在登录成功时,后端返回给前端的)。
2、onAccessDenied是拿到前端携带的token之后,进行shiro后续的身份认证流程。
3、onLoginFailure是在身份认证失败后进行的流程。
4、isAccessAllowed是允许不经过过滤器的条件。

public class AuthenticFilter extends AuthenticatingFilter {

    public final static String TOKEN="token";

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        String token=getRequestToken((HttpServletRequest) request);
        if(StringUtils.isBlank(token)){
            return null;
        }
        return new AuthenticToken(token);
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        String token=getRequestToken((HttpServletRequest) request);
        if(StringUtils.isBlank(token)){
            HttpServletResponse httpReponse= (HttpServletResponse) response;
            httpReponse.setHeader("Access-Control-Allow-Credentials","true");
            httpReponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getHeader("Origin"));

            httpReponse.getWriter().print(JSON.toJSONString(ResponseVo.error(HttpStatus.SC_UNAUTHORIZED,"invalid token")));

            return false;
        }
        return executeLogin(request,response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse= (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getHeader("Origin"));

        try {
            Throwable throwable=e.getCause();
            //throwable.getMessage()
            ResponseVo responseVo=ResponseVo.error(HttpStatus.SC_UNAUTHORIZED,null);
            httpResponse.getWriter().print(JSON.toJSON(responseVo));
        } catch (IOException e1) {
            e1.printStackTrace();
        }
        return false;
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if(RequestMethod.OPTIONS.name().equals(((HttpServletRequest) request).getMethod())){
            return true;
        }
        return false;
    }

    private String getRequestToken(HttpServletRequest request){
        String token=request.getHeader(TOKEN);
        if(StringUtils.isBlank(token)){
            token=request.getParameter(TOKEN);
        }
        return token;
    }
}

3.Shiro域

ShiroRealm重写了父类三个方法,分别是supports、doGetAuthorizationInfo和doGetAuthenticationInfo。
1、supports方法是为了让realm可以支持我们所自定义的token。在shiro框架登录的源码中,会对我们所传入的token进行判断,如果我们未重写该方法,那么登录将会失败。
在这里插入图片描述
2、doGetAuthenticationInfo,该方法是用来存储登录用户的身份认证信息。前端在登录成功后拿到后端返回的token。然后带着这个token去访问需要权限的接口时,会先经过shiro框架内部的登录流程,而登录流程的最终步骤就是调用doGetAuthenticationInfo这个方法,产生一个AuthenticationInfo类型的对象存储到当前的后台线程中,以供后续的授权服务使用。
3、doGetAuthorizationInfo,该方法是来存储用户的所拥有的授权信息。当前端所调用的方法上遇到@RequiredPermissions注解时,shiro框架就会根据我们通过该方法创建的AuthorizationInfo对象中去寻找登录用户是否拥有该权限。该方法的内容比较简单,就是通过doGetAuthenticationInfo产生的AuthenticationInfo类型的对象中的user信息从数据库中的role表中查出相对应的角色,然后拿着角色信息去权限表中查出所拥有的权限存储到AuthorizationInfo类型的对象中。

@Component
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private SysUserTokenRepository sysUserTokenRepository;
    @Autowired
    private SysUserRepository sysUserRepository;
    @Autowired
    private SysPermissionRepository sysPermissionRepository;

    //realm必须支持接受token
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof AuthenticToken;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();

        SysUserEntity user= (SysUserEntity) principals.getPrimaryPrincipal();
        Set<String> permissionSet=new HashSet<>();
        List<String> list=sysPermissionRepository.getPermsByUserId(user.getUserId());
        for(String perms:list){
            if(StringUtils.isBlank(perms)){
                continue;
            }
            permissionSet.addAll(Arrays.asList(perms.trim().split(",")));
        }
        authorizationInfo.setStringPermissions(permissionSet);
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken= (String) token.getPrincipal();
        Optional<SysUserTokenEntity> userTokenOpt=sysUserTokenRepository.getSysUserTokenEntitiesByToken(accessToken);
        if(!userTokenOpt.isPresent()){
            throw new IncorrectCredentialsException("token不存在");
        }
        SysUserTokenEntity userToken=userTokenOpt.get();
        if(userToken.getExpireTime().getTime()<System.currentTimeMillis()){
            throw new IncorrectCredentialsException("token已经失效");
        }

        SysUserEntity user=sysUserRepository.getById(userToken.getUserId());

        SimpleAuthenticationInfo authenticationInfo=new SimpleAuthenticationInfo(user,accessToken,getName());
        return authenticationInfo;
    }
}

三、测试

1.调用/login方法进行登录操作,后端返回token。
在这里插入图片描述
2.将该token放入请求的Header中,去访问/createUser接口(该登录用户拥有sys:user:save权限)
在这里插入图片描述
3.测试结果
在这里插入图片描述

modelike
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot + Vue + Shiro 实现前后分离,写得太好了!
2401_84091580的博客
05-06 674
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
前后分离的项目整合shiro安全框架
Dumpling_skin的博客
08-09 1918
前置路由守卫:就是在路由跳转前加上自己的一些业务代码,未登录之前输入其他路径,不放行,跳转至登录页面。在main.js文件加入以下代码。
2024年前最全Shiro小白新手入门教程,一看就会,2024一位前级程序员的跳槽面经
最新发布
2401_84446513的博客
05-12 786
大厂面试问深度,小厂面试问广度,如果有同学想进大厂深造一定要有一个方向精通的惊艳到面试官,还要平时遇到问题后思考一下问题的本质,找方法解决是一个方面,看到问题本质是另一个方面。还有大家一定要有目标,我在很久之前就想着以后一定要去大厂,然后默默努力,每天看一些大佬们的文章,总是觉得只有再学深入一点才有机会,所以才有恒心一直学下去。开源分享:【大厂前面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】(1)Subject :当前用户的操作。
基于spring boot+Shiro搭建的前后分离鉴权架构
m0_67391518的博客
04-28 1000
一.简介 为何选择Shiro? Apache Shiro是一个强大且易用的Java安全框架。开发者使用shiro可以轻松完成身份验证、授权、密码和会话管理。 Shiro的主要API Authentication**:**身份认证/登录,验证用户是不是拥有相应的身份; Authorization**:**授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manag
apache shiro 如何升级_Springboot +Shiro +VUE 前后分离之权限管理系统
weixin_39771351的博客
11-26 1379
点击上方Java开发联盟,选择“星标公众号”优质文章,第一时间送达简介:前后分离:要实现前后分离,需要考虑以下2个问题:1. 项目不再基于session了,如何知道访问者是谁?2. 如何确认访问者的权限?前后分离,一般都是通过token实现,本项目也是一样;用户登录时,生成token及 token过期时间,token与用户是一一对应关系,调用接口的...
SpringBoot前后分离使用shiro
小哥哥的博客
12-18 4016
前言 很久之前就接触shiro了,那时候还停留在jsp,servlet阶段,后来到了ssm,web.xml里要配置好多东西。终于有一天,开启了SpringBoot的大门,前后分离模式也就成了工作的内容。说实话,shiro原生不太支持前后分离模式,源码里默认的登录页面是login.jsp,这就很尴尬了,不过,改一改还是能用的。本文主要讲的是如何在前后分离的情况下使用shiro,而不是spri...
前后分离使用自定义token作为shiro认证标识,实现springboot整合shiro
weixin_33704591的博客
06-06 1337
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro-demo_DEMO_shiro_shriodemo_shiro框架demo_shiro前后分离_
10-04
本项目"shiro-demo_DEMO_shiro_shriodemo"是一个基于 Shiro 实现的前后分离的演示示例,旨在帮助开发者快速理解和应用 Shiro 在实际项目的功能。 **1. Shiro 框架基础** Shiro 提供了以下核心组件: - **...
Shiro+Cas微服务化及前后完全分离
08-25
Shiro+Cas微服务化及前后完全分离Shiro的权限管理功能与Cas的身份验证功能集成到前和后两个独立的部分,提供了强大的身份验证和授权功能。 五、ShiroBaseConfig.java配置文件 ShiroBaseConfig.java是...
spring-boot-shiro:spring-boot-shiro前后分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
springboot集成jwt和shiro实现前后分离权限demo2
04-10
在现代Web应用开发,前后分离是一种常见的架构模式,它可以提高开发效率并提供更好的可维护性。Spring Boot作为Java领域的轻量级框架,广泛应用于后服务开发。而JWT(JSON Web Token)和Shiro是两个常用于权限...
前后分离集成cas
04-30
本项目是关于前后分离集成CAS(Central Authentication Service)的一个实例,主要使用了Spring Boot、Shiro、Oracle数据库以及Vue.js等技术。 首先,Spring Boot是基于Spring框架的轻量级开发工具,它简化了新...
shiro配置 在springboot前后分离,集成shiro认证授权框架
easy4use
09-21 5450
一:介绍 Apache Shiro是Java的一个安全框架。由于它相对小而简单,现在使用的人越来越多。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具...
SpringBoot+Security+Vue前后分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后分离开发。包括图形展示、权限管理、用户管理等功能。【后技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前技术】Vue       互联网最火的前框架Vue Router路由框架Vuex全局状态管理框架Axios前 HTTP 框架Element UI前 UI 框架Vue Element Admin前模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
前后分离使用shiro登录认证cookie跨域问题踩坑
gitcat的博客
10-30 3535
基于cookie, session的登录认证一般后需要将session id保存在cookie,这样下次请求时浏览器带上cookie,服务器才知道是同一个会话,根据session id取出session保存的用户信息,以确定用户是否已登录。 在前后分离模式下,前一般通过ajax请求向服务器请求数据,但是如果前后部署在不同的域名下,因为一些安全机制,cookie无法跨域携带,所以如果还想基于cookie, session来实现就要做一些配置以实现cookie可以跨越携带。 ...
Springboot + Vue + shiro 实现前后分离、权限控制
KHOST的博客
05-19 5196
本文总结自实习对项目的重构。原先项目采用Springboot+freemarker模版,开发过程觉得前逻辑写的实在恶心,后Controller层还必须返回Freemarker模版的ModelAndView,逐渐有了前后分离的想法,由于之前,没有接触过,主要参考的还是网上的一些博客教程等,初步完成了前后分离,在此记录以备查阅。 一、前后分离思想 前从后剥离,形成一个前工程,前...
在前后分离的项目,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制
热门推荐
palerock的博客
06-19 6万+
前后分离的项目,ajax跨域和保存用户信息是其的重点和难点。 如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。 在前一篇文章,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后分离的项目使用shrio的session(会话管理系统)。 但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前ajax框架所公认的,我们需要一种更
shiro权限控制+前后分离+复杂请求(OPTIONS+POST)遇到的问题
feinifi的博客
01-03 1万+
我们知道,shiro做权限控制,能够对请求的url做控制,如果用户未登陆,那么对于有些请求,就会出现禁止访问的情况。 对于前后分离的项目,存在跨域的问题,shiro做权限控制,也是有解决办法的,就是让前的所有异步ajax请求带上cookie。比如: 通过xhrFields:{withCredentials:true}属性,我们就让我们的前跨域 请求带上了cookie,用户登录之后,再...
shiro前后分离
09-05
是的,"shiro前后分离"是一种常见的应用架构模式。Shiro是一个用于身份验证、授权和会话管理的Java开源框架。在前后分离架构,前和后分别独立开发,通过API进行通信。在这种模式下,Shiro通常被用于后服务的身份验证和授权功能。 具体来说,前负责用户界面的展示和交互,而后则处理业务逻辑和数据存储。前通过发送HTTP请求调用后的API,后接收请求并根据Shiro进行身份验证和授权操作。Shiro可以对用户进行认证,确保其身份有效,并对用户进行授权,控制其访问权限。 通过将Shiro应用于后服务,可以实现对用户身份和权限的管理,保护系统的安全性和数据的机密性。同时,前后分离架构也使得前与后可以独立开发和部署,提高了开发效率和系统的可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值