Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API

最新推荐文章于 2022-03-28 13:01:32 发布
置顶 最新推荐文章于 2022-03-28 13:01:32 发布
阅读量2.2w 收藏 39
点赞数 6
分类专栏: shiro 文章标签: ssm shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42058600/article/details/81837056
版权

本文源码:github

上一篇Shiro的demo:SpringMVC框架下使用shiro权限管理

最近一直在研究Shiro,因为项目里面要使用Shiro进行权限控制。由于项目不只是在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。

至于shiro的介绍,搬来官网介绍:https://shiro.apache.org/introduction.html

如上介绍,由于使用JWT需要禁用session,所以该demo只是使用了认证Authentication和授权Authorization两大块。

一开始直接照着网上的例子做demo,一直出错。所以放弃shiro写了个拦截器用来拦截,只是没法细粒度的控制权限,如下:

package filter;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import util.JwtUtil;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ControllerInterception extends HandlerInterceptorAdapter {
    private Logger logger = LoggerFactory.getLogger(ControllerInterception.class);

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String url = request.getServletPath();
        logger.info("url"+url);
        String token = request.getHeader("token");
        logger.info("开始验证token");
        if (JwtUtil.verifyToken(token)) {
            logger.info("验证token通过");
            String role = (String) JwtUtil.parseToken(token).get("role");
            logger.info("role"+role);
            if (url.indexOf(role) == 1){
                logger.info("匹配url通过");
                return true;
            }
        }
        logger.info("验证token失败");
        response.sendRedirect(request.getContextPath()+"/login");
        return false;

    }
}

<!--登录拦截器-->
<mvc:interceptors>
    <mvc:interceptor>
        <!--拦截器拦截的类型-->
        <mvc:mapping path="/**"/>
        <!--不拦截以下请求-->
        <mvc:exclude-mapping path="/login"/>
        <mvc:exclude-mapping path="/index"/>
        <bean id="controllerInterception" class="filter.ControllerInterception"/>
    </mvc:interceptor>
</mvc:interceptors>

但是不想放弃使用shiro,所以自己一直在研究到底禁用session后shiro如何将JWT传递并在哪里校验。最终整理出来后才发现是如此的简单。说一下,使用shiro+ssm+jwt的一些前期准备:

  • 禁用session
  • JWT实现工具,这个网上可以找到很多,这里就不贴代码了
  • 自定义realm,继承AuthorizingRealm,
最低0.47元/天 解锁文章
tobe27
关注
  • 6
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 876
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1770
前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession进行状态管理。 特此记录一下shiro如何进行状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
java shiro jwt,ShiroSession使用SSM+JWT+Shiro进行状态RESTful API
weixin_35432846的博客
03-13 851
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行状态RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:sessionJWT实现工...
Shiro关闭session配置
m0_67392010的博客
03-28 644
Shiro关闭session配置 前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession进行状态管理。 特此记录一下shiro如何进行状态管理。 一、引入依赖 此处引入的为 shiro-spring ,版本为 1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <ar
在分布式项目中,面对用户登录认证,使用JWT代替Session的原因
HellHellNo的博客
08-04 988
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
ssm:基于RESTful风格的前合并分离的SSM框架,集成了shiro和swagger等框架
02-05
基本框架 基础的SSM框架,集成了shiro作为登陆验证和权限管理...简单来说,前端使用AJAX请求后台接口,后台都数据进行处理后返回给前端,这个过程我们多半使用json格式来传递数据(也可以使用XML等),而对于前端使用V
基于ssm+vue师生健康管理系统.zip
03-31
7. **安全考虑**:系统可能实现了身份验证和授权机制,如JWT(JSON Web Token)进行用户身份验证,Spring Security或Apache Shiro进行权限控制,保护师生的健康信息不被非法访问。 8. **数据安全**:对于敏感的师生...
基于ssm+vue公司人力资源管理系统.zip
03-31
此外,系统的安全方面也不容忽视,可能使用Spring Security或者Shiro进行权限控制,确保只有授权的用户才能访问特定资源。在登录认证上,可能会实现基于token的身份验证机制,如JWT(JSON Web Tokens),以提高安全...
基于ssm+vue的搬家预约系统.zip
03-27
可以采用JWT(JSON Web Token)进行用户认证,使用Spring Security或Shiro进行权限控制。 7. **事务管理**: - 在处理预约、支付等业务时,需要考虑事务的ACID(原子性、一致性、隔离性、持久性)特性,确保数据...
基于ssm+vue疫情期间高校师生外出请假管理系统.zip
04-01
9. **前后端交互**:使用RESTful API进行前后端分离,前端Vue.js通过Ajax调用后端SSM提供的接口,获取或提交数据。 10. **异常处理与日志记录**:系统需要有完善的错误处理机制,同时记录操作日志,以便问题排查和...
shiro权限安全管理框架
03-04
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro都可以轻松为其提供全面的安全管理服务,相比业内spring security 而言,Shiro显得更加小巧,应用也更加广泛。本课程主要使用到java,shiro,spring,springmvc,mybatis,mysql,springboot技术,学习本课程需要具有一定的基础。
如何实现不基于session和cookie的用户认证_SpringBoot2.0前后端分离开发之用户身份认证实战(后端实现)...
weixin_39599342的博客
12-17 421
历经两三个星期的时间,Debug亲自撸的 “SpringBoot2.0前后端分离开发之用户身份认证实战(后端实现)” 终于完成了。正如字面意思,本课程讲解的是在当前微服务、分布式系统架构时代,前后端在进行接口交互、服务与服务之间在进行接口交互时如何对用户的身份进行认证,即如何进行鉴权!本课程主要是跟各位小伙伴分享、介绍并实战了两大核心的用户身份认证(接口鉴权)模式,即基于Token的认证模式 以及...
Shiro认证和授权(上)基于Session的认证和授权
蜗牛学院重庆校区的博客
05-06 669
一、Shiro Shiro是堡垒的意思,是一个身份认证和权限校验框架。通常来说在管理系统中权限是必不可少的一部分。公司所有的人都在同一个系统上进行操作,但是并不是所有的人都具备相同的权利。那么就需要在系统中将每个人所拥有的的权限明确的标识出来并同时在后端进行校验。 权限系统按照颗粒粒度分为: 按钮级别权限(决定某个用户能做什么不能做什么) 数据级别权限(决定用户在能做这件事的前提下,能对哪些数据做这件事) 要实现权限系统分为两个步骤: 1.所见即所得 我们需要在系统的界面层面,将用户所具备的菜单和按钮给用户
shiro 前后端分离不能用session_springboot,shiro前后端分离跳转和异常处理
weixin_35773916的博客
01-25 522
因为前后端分离所以要重写sessionId的获取方式public class MySessionManager extends DefaultWebSessionManager { /** * * 获取session id * token */ @Override protected Serializable getSessionId(Serv...
Shiro session 自定义authc过滤器
vransy的博客
02-19 776
做毕设的时候遇到的session 各种报错 ,所以记录一下 无状态shiro报DisabledSessionException ShiroConfig.java中 有一个坑 authc 必须认证 / 默认拦截器authc,有调运getSession()方法的,不创建session,这时就报错 ...
Shiro关闭session管理
学医救不了中国人
08-17 7472
  &lt;bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager"&gt;     &lt;property name="realm"&gt;       &lt;bean class="com.zblog.service.shiro.StatelessRealm" /&gt;  
shiro+jwt+redis
05-19
Shiro 是一个 Java 的安全框架,提供了身份认证、授权、会话管理等功能。JWT(Json Web Token)是一种轻量级的认证和授权的方案,可以在多个系统之间传递信息。Redis 是一种高性能的内存数据库,常用于缓存和会话管理。 将 ShiroJWT 结合使用可以实现无状态的身份认证和授权。当用户登录成功后,将用户信息生成一个 JWT,并将其返回给客户端。客户端在后续请求中携带该 JWT,服务端使用 Shiro 进行解析和校验,实现身份认证和授权。 使用 Redis 可以将会话信息存储在内存中,提高会话管理的效率和可扩展性。同时,可以使用 Redis 实现 Shiro 的缓存功能,提高 Shiro 的性能。例如,可以将 Shiro 的授权信息缓存在 Redis 中,减少数据库的访问次数,提高系统的响应速度。 综上所述,结合使用 ShiroJWT 和 Redis 可以实现高效、安全的身份认证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值