前后端分离时后端shiro权限认证

最新推荐文章于 2023-11-25 01:25:51 发布
最新推荐文章于 2023-11-25 01:25:51 发布
阅读量3.9k 收藏 44
点赞数 5
分类专栏: springboot 前后分离 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43160956/article/details/103745906
版权
本文详细介绍了在前后端分离的架构中,如何使用Shiro进行权限认证。内容涵盖Shiro的三大组件(Subject、SecurityManager、Realms)的简述,解决跨域问题,以及配置自定义Session管理和Shiro的步骤。通过创建Controller进行测试,验证了携带token进行用户和列表访问的流程。
摘要由CSDN通过智能技术生成

简述:

shiro是根据sessionID来识别是不是同一个request,但如果前后分离的话,就会出现跨域的问题,session很可能就会发生变化,这样就需要用一个标记来表明是同一个请求

1.shiro有三大组件

1.1 Subject

代表当前与程序进行交互的使用者

1.2 SecurityManager

是 Shiro 架构的心脏,并作为一种“保护伞”对象来协调内部的安全组件共同构成一个对象图

1.3 Realms

一个用于认证和授权的类

2.首先前后端分离会有跨域问题,还有复杂请求问题

2.1跨域如下

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * 目的: 跨域访问控制
 *          做前后分离的话,这个也是必配的
 * 备注说明:
 */
@Configuration
public class CorsConfig {
   

    private CorsConfiguration buildConfig() {
   
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 允许任何域名使用
        corsConfiguration.addAllowedOrigin("*");
        // 允许任何头
        corsConfiguration.addAllowedHeader("*");
        // 允许任何方法(post、get等)
        corsConfiguration.addAllowedMethod("*");
        return corsConfiguration;
    }


    @Bean
    public CorsFilter corsFilter() {
   
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
}

2.2复杂请求如下

package com.example.demo;

import com.alibaba.fastjson.JSONObject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

/**
 * 目的: 过滤OPTIONS请求
 *      继承shiro 的form表单过滤器,对 OPTIONS 请求进行过滤。
 *      前后端分离项目中,由于跨域,会导致复杂请求,即会发送preflighted request,这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro
 *      的'authToken'字段(shiro的SessionId),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。
 *
 * 备注说明: 需要在 shiroConfig 进行注册
 */
public class CORSAuthenticationFilter extends FormAuthenticationFilter {
   

    /**
     * 直接过滤可以访问的请求类型
     */
    private static final String REQUET_TYPE = "OPTIONS";


    public CORSAuthenticationFilter() {
   
        super();
    }


    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
   
        if (((HttpServletRequest) request).getMethod().toUpperCase().equals(REQUET_TYPE)) {
   
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }


    @Override
    protected boolean onAccessDenied
最低0.47元/天 解锁文章
原来可以改昵称
关注
专栏目录
Springboot + Vue + shiro 实现前后端分离权限控制
KHOST的博客
05-19 5236
本文总结自实习中对项目的重构。原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelAndView,逐渐有了前后端分离的想法,由于之前,没有接触过,主要参考的还是网上的一些博客教程等,初步完成了前后端分离,在此记录以备查阅。 一、前后端分离思想 前端从后端剥离,形成一个前端工程,前...
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
最新发布
2401_85123379的博客
06-10 884
三套“算法宝典”算法刷题LeetCode中文版(为例)人与人存在很大的不同,我们都拥有各自的目标,在一线城市漂泊的我偶尔也会羡慕在老家踏踏实实开开心心养老的人,但是我深刻知道自己想要的是一年比一年有进步。最后,我想说的是,无论你现在什么年龄,位于什么城市,拥有什么背景或学历,跟你比较的人永远都是你自己,所以明年的你看看与今年的你是否有差距,不想做咸鱼的人,只能用尽全力去跳跃。祝愿,明年的你会更好!
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
shiro前后端分离(基于jwt的token安全认证
weixin_45390688的博客
12-25 6102
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效间。 @Component public class JwtUtil {
shiro前后端分离模式
weixin_42510217的博客
11-25 1199
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
后台管理系统,前后端分离后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
02-22
这是一个基于现代技术栈的后台管理系统实现,采用了前后端分离的架构模式。让我们深入探讨这个系统背后的各个技术组件及其重要性。 首先,后端的核心框架是SpringBoot,它是由Pivotal团队开发的Java轻量级框架,...
Shiro+Cas微服务化及前后端完全分离
08-25
Shiro+Cas微服务化及前后端完全分离将Shiro权限管理功能与Cas的身份验证功能集成到前端和后端两个独立的部分中,提供了强大的身份验证和授权功能。 五、ShiroBaseConfig.java配置文件 ShiroBaseConfig.java是...
后台管理系统,前后端分离后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+ElementUI+Axios.rar
06-18
这是一个基于Java技术栈的后台管理系统,实现了前后端分离的设计模式,旨在提高开发效率和用户体验。系统的核心技术选用了SpringBoot、Shiro、MyBatis以及Redis,前端则采用了Vue.js、ElementUI和Axios库。下面我们...
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
meven+ssm+shiro实现前后端分离登录小案例
11-06
这个是这几天写入门写的一个 meven+ssm+shiro 的一个简单案例 ,只是简单的实现了简单注册登录 但是里面涉及到了一些加密的东西 供大家参考学习 开发工具用的是idea eclipse不怎么用过 我不确保能不能配上去运行. 项目里面我把里面的东西都分类打包好并配了说明文档,由于水平有限,并不能很好在这里说明 有需要的就下载看下吧.有问题的 欢迎大家指点.成长的路上很枯燥.如果有大神看到了,指点一下吧 哈哈!!!
shiro 前后端分离_前后端分离
weixin_39709194的博客
11-22 1872
1、背景 前后端分离已成为互联网项目开发的业界标准使用方式,通过nginx+tomcat的方式(也可以中间加一个nodejs)有效的进行解耦,并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。这个步骤是系统架构从猿进化成人的必经之路。核心思想是前端HTML页面通过AJ...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 3043
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 529
作者|GIT提交不上|简书一、Shiro简介  Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
shiro 前后端分离_前后端分离架构下,如何通过shiro进行认证权限控制?
weixin_39676930的博客
12-06 960
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理,无论什么候,用户认证权限控制都是一个永恒的话题,前后端分离是当前很火的一种开发模式,便于前、后端人员专注于自己的逻辑实现,也更有利于大规模协作开发,在此开发模式下,如何使用shiro呢?本文的方案基于token认证授权,来自于实际项目,现将主要思路整理出来分享给大家,欢迎探讨,如需要源码请私信...
shiro(session+redis),基于springboot,基于前后端分离,从登录认证到鉴权
web13618542420的博客
03-28 1452
这个demo是基于springboot项目的。 名词介绍: Shiro 主要分为 安全认证接口授权 两个部分,其中的核心组件为 Subject、 SecurityManager、 Realms,公共部分 Shiro 都已经为我们封装好了,我们只需要按照一定的规则去编写响应的代码即可… Subject 表示主体,将用户的概念理解为当前操作的主体,因为它即可以是一个通过浏览器请求的用户,也可能是一个运行的程序,外部应用与 Subject 进行交互,记录当前操作用户。Subject 代表了当前用户的安全操作
Springboot前后端分离-Shiro 简单的登录认证与鉴权------学习记录
张童学的博客
08-05 508
写在前面 这篇博文跟我之前的没有绝对的连续性哈——MD5加密认证看这里 大聪明很多地方是cv别的贴子,也有很多原理性的地方没搞明白,只是知道了个“这里这样那里就会那样”,所以欢迎来访的大佬们指教(轻喷),3Q! 直接上代码 数据库五表设计(要符合那个啥标准忘记名字了),设计的比较简单 CREATE TABLE `user` ( `id` int NOT NULL, `username` varchar(25) NOT NULL, `password` varchar(25) NOT NULL,
前后端分离项目使用Shiro
m0_59092234的博客
08-28 318
super();}//前端ajax的headers中必须传入Authorization的值//如果请求头中有 Authorization 则其值为sessionIdif (!return id;} else {//否则按默认规则从cookie取sessionId}}}
Spring Boot + Shiro + JWT:前后端分离权限管理实战
在本文中,我们将深入探讨如何在Spring Boot项目中整合Apache Shiro和JSON Web Tokens (JWT) 来实现前后端分离权限管理。Shiro是一个强大的企业级身份和访问管理框架,而JWT则用于安全地在客户端和服务端之间传递...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值