Spring Boot + Vue + Shiro 实现前后端分离,写得太好了

于 2024-04-04 06:12:39 发布
阅读量1.1k 收藏 24
点赞数 8
分类专栏: 2024年程序员学习 文章标签: spring boot vue.js 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57992300/article/details/137364126
版权
文章讲述了在前后端分离项目中集成Shiro时遇到的跨域问题,特别是处理OPTIONS请求不带Authorization头和Nginx代理导致的权限问题,以及如何通过CORSAuthenticationFilter和调整session失效时间来解决这些问题。
摘要由CSDN通过智能技术生成

并且注意,在 F12 看到的 js 提示错误的域名,是 js 写的那个域名,并不是代理后的域名。(l 楼主就遇到这个问题,后端地址缺少了查询参数,代理设置为后端地址,然而 F12 看到的错误依然还是本地的域名,并不是代理后的域名)

2、就是要手动再执行一次 npm run dev

4

前后端分离项目中集成 shiro

这里说一下实际开发集成过程中遇到的问题:

1、OPTIONS 请求不带’Authorization’请求头字段:

前后端分离项目中,由于跨域,会导致复杂请求,即会发送 preflighted request,这样会导致在 GET/POST 等请求之前会先发一个 OPTIONS 请求,但 OPTIONS 请求并不带 shiro 的’Authorization’字段(shiro 的 Session),即 OPTIONS 请求不能通过 shiro 验证,会返回未认证的信息。

解决方法:给 shiro 增加一个过滤器,过滤 OPTIONS 请求

public class CORSAuthenticationFilter extends FormAuthenticationFilter {

private static final Logger logger = LoggerFactory.getLogger(CORSAuthenticationFilter.class);

public CORSAuthenticationFilter() {

super();

}

@Override

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

//Always return true if the request’s method is OPTIONSif (request instanceof HttpServletRequest) {

if (((HttpServletRequest) request).getMethod().toUpperCase().equals(“OPTIONS”)) {

return true;

}

}

return super.isAccessAllowed(request, response, mappedValue);

}

@Override

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

HttpServletResponse res = (HttpServletResponse)response;

res.setHeader(“Access-Control-Allow-Origin”, “*”);

res.setStatus(HttpServletResponse.SC_OK);

res.setCharacterEncoding(“UTF-8”);

PrintWriter writer = res.getWriter();

Map<String, Object> map= new HashMap<>();

map.put(“code”, 702);

map.put(“msg”, “未登录”);

writer.write(JSON.toJSONString(map));

writer.close();

return false;

}

}

贴一下我的 config 文件:

@Configuration

public class ShiroConfig {

@Bean

public Realm realm() {

return new DDRealm();

}

@Bean

public CacheManager cacheManager() {

return new MemoryConstrainedCacheManager();

}

/**

  • cookie对象;

  • rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。

  • @return

*/

@Bean

public SimpleCookie rememberMeCookie(){

//System.out.println(“ShiroConfiguration.rememberMeCookie()”);

//这个参数是cookie的名称,对应前端的checkbox的name = rememberMe

SimpleCookie simpleCookie = new SimpleCookie(“rememberMe”);

//

simpleCookie.setMaxAge(259200);

return simpleCookie;

}

/**

  • cookie管理对象;

  • rememberMeManager()方法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中

  • @return

*/

@Bean

public CookieRememberMeManager rememberMeManager(){

//System.out.println(“ShiroConfiguration.rememberMeManager()”);

CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();

cookieRememberMeManager.setCookie(rememberMeCookie());

//rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)

cookieRememberMeManager.setCipherKey(Base64.decode(“2AvVhdsgUs0FSA3SDFAdag==”));

return cookieRememberMeManager;

}

@Bean

public SecurityManager securityManager() {

DefaultWebSecurityManager sm = new DefaultWebSecurityManager();

sm.setRealm(realm());

sm.setCacheManager(cacheManager());

//注入记住我管理器

sm.setRememberMeManager(rememberMeManager());

//注入自定义sessionManager

sm.setSessionManager(sessionManager());

return sm;

}

//自定义sessionManager

@Bean

public SessionManager sessionManager() {

return new CustomSessionManager();

}

public CORSAuthenticationFilter corsAuthenticationFilter(){

return new CORSAuthenticationFilter();

}

@Bean(name = “shiroFilter”)

public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager) {

ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

shiroFilter.setSecurityManager(securityManager);

//SecurityUtils.setSecurityManager(securityManager);

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

//配置不会被拦截的链接,顺序判断

filterChainDefinitionMap.put(“/”, “anon”);

filterChainDefinitionMap.put(“/static/js/**”, “anon”);

filterChainDefinitionMap.put(“/static/css/**”, “anon”);

filterChainDefinitionMap.put(“/static/fonts/**”, “anon”);

filterChainDefinitionMap.put(“/login/**”, “anon”);

filterChainDefinitionMap.put(“/corp/call_back/receive”, “anon”);

//authc:所有url必须通过认证才能访问,anon:所有url都可以匿名访问

filterChainDefinitionMap.put(“/**”, “corsAuthenticationFilter”);

shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

//自定义过滤器

Map<String, Filter> filterMap = new LinkedHashMap<>();

filterMap.put(“corsAuthenticationFilter”, corsAuthenticationFilter());

shiroFilter.setFilters(filterMap);

return shiroFilter;

}

/**

  • Shiro生命周期处理器 * @return

*/

@Bean

public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

}

/**

  • 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return

*/

@Bean

@DependsOn({“lifecycleBeanPostProcessor”})

public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {

DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

advisorAutoProxyCreator.setProxyTargetClass(true);

return advisorAutoProxyCreator;

}

@Bean

public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

return authorizationAttributeSourceAdvisor;

}

}

2、设置 session 失效时间

shiro session 默认失效时间是 30min,我们在自定义的 sessionManager 的构造函数中设置失效时间为其他值

public class CustomSessionManager extends DefaultWebSessionManager {

private static final Logger logger = LoggerFactory.getLogger(CustomSessionManager.class);

private static final String AUTHORIZATION = “Authorization”;

private static final String REFERENCED_SESSION_ID_SOURCE = “Stateless request”;

public CustomSessionManager() {

super();

setGlobalSessionTimeout(DEFAULT_GLOBAL_SESSION_TIMEOUT * 48);

}

@Override

protected Serializable getSessionId(ServletRequest request, ServletResponse response) {

String sessionId = WebUtils.toHttp(request).getHeader(AUTHORIZATION);//如果请求头中有 Authorization 则其值为sessionId

if (!StringUtils.isEmpty(sessionId)) {

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);

return sessionId;

} else {

//否则按默认规则从cookie取sessionId

return super.getSessionId(request, response);

}

}

}

5

部署项目

前端项目部署主要分两种方法:

1、将前端项目打包(npm run build)成静态资源文件,放入后端,一起打包。后端写一个 Controller 返回前端界面(我使用 Vue 开发的是单页面应用),但是这样其实又将前后端耦合在一起了,不过起码做到前后端分离开发,方便开发的目的已经达成,也初步达成了要求,由于项目的需要,我是这样做的,并且免去了跨域问题。

@RequestMapping(value = {“/”, “/index”}, method = RequestMethod.GET)

public String index() {

return “/index”;

}

2. 将前端工程另启一个服务(tomcat,nginx,nodejs),这样有跨域的问题。

说一下我遇到的问题:

1、nginx 反向代理,导致当访问无权限的页面时,shiro 302 到 unauth 的 controller,访问的地址是 https,重定向地址是 http,导致了无法访问。

不使用 shiro 的 shiroFilter.setLoginUrl(“/unauth”);

当页面无权限访问时,我们在过滤器里直接返回错误信息,不利用 shiro 自带的跳转。看过滤器中的 onAccessDenied 函数

public class CORSAuthenticationFilter extends FormAuthenticationFilter {

private static final Logger logger = LoggerFactory.getLogger(CORSAuthenticationFilter.class);

public CORSAuthenticationFilter() {

super();

}

@Override

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

//Always return true if the request’s method is OPTIONS

if (request instanceof HttpServletRequest) {

if (((HttpServletRequest) request).getMethod().toUpperCase().equals(“OPTIONS”)) {

return true;

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024c (备注前端)
img

读者福利

========

由于篇幅过长,就不展示所有面试题了,想要完整面试题目的朋友(另有小编自己整理的2024大厂高频面试题及答案附赠)


一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

or_FFFFFF,t_70)

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

.胜天半子.
关注
  • 8
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot + Vue + Shiro 实现前后端分离写得太好了
2401_84091580的博客
05-06 676
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。SpringbootVue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 2972
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2527
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
如何前后端分离的架构中使用Shiro框架
weixin_40835745的博客
01-07 1816
文章目录前言一、登录二、配置ShiroConfig1.编写ShiroConfig2.身份认证过滤器3.Shiro域三、测试 前言 现在大部分web应用都是使用前后端分离的架构开发,这就需要通过token做为前端访问后端接口时的身份标识。前端在访问登录接口时,登陆成功给前端返回一个token值,前端可以通过这个token值来访问被赋予权限的接口。 一、登录 登录接口如下所示,在登录阶段,把用户输入的用户名和密码信息与后端数据库中所存储的信息进行比对,如果比对成功且符合登录条件,后端将会产生一个token给
基于spring boot+Shiro搭建的前后端分离鉴权架构
m0_67391518的博客
04-28 1004
一.简介 为何选择Shiro? Apache Shiro是一个强大且易用的Java安全框架。开发者使用shiro可以轻松完成身份验证、授权、密码和会话管理。 Shiro的主要API Authentication**:**身份认证/登录,验证用户是不是拥有相应的身份; Authorization**:**授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manag
前后端分离SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
基于Spring Boot+Vue+Shiro实现前后端分离的代码生成器项目源码+详细文档,可根据数据库字段动态生成各类型代码
最新发布
10-20
基于Spring Boot+Vue+Shiro实现前后端分离的代码生成器项目源码,可根据数据库字段动态生成各种类型代码 该项目可根据数据库字段动态生成 controller、mapper、service、html、jsp、vue、php、.py ... 等各种类型...
基于Spring Boot+Vue+Shiro前后端分离的代码生成器
02-28
止步传统CRUD,进阶代码优化:一套基于Spring Boot+Vue+Shiro前后端分离的代码生成器
基于springboot+mybatis+shiro+redis+vue构建的前后端分离的企业通用办公管理系统,特别适合个人学习
06-16
基于 springboot+mybatis_+shiro + redis+activiti+quarts+quartz+vue 写的一个前后分离办公企业管理系统 ,通用服务端,用于学习。 使用技术 服务端: springboot(2.2.1) + mybatis-push + shiro(1.4.0) + redis +...
Springboot+Vue+Shiro+ElementUI前后端分离权限快速上手项目实战开发
06-15
适用人群Java开发人员,Vue开发人员,前后端分离开发人员,权限管理和配置开发人员 课程概述【讲师介绍】讲师职称: 现某知名大型互联网公司资深架构师,技术总监,职业规划师,首席面试官,曾在某上市培训机构,...
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot-vue-shiro:这是一个springboot+vue+shiro的后台权限管理系统,很全
04-27
配置文件及数据库 位于 src/resources 文件夹下面 前端页面地址:
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
springBoot整合shiro前后端分离模式
qq_1641486826的博客
11-26 809
springBoot框架下我们使用shiro做权限登录验证,首先要建好五张表: 1:user表 CREATE TABLE `user` ( `id` int(16) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `basic_info_id` int(11) NOT NULL COMMENT '企业外键', `user_account` varcha...
Springboot+jwt+shiro实现前后端分离权限验证
码码码码码码农的博客
09-08 1736
Springboot+jwt+shiro实现前后端分离权限验证
前后端分离项目使用Shiro
马尾与发圈
06-13 1775
前后端分离项目使用Shiro 前面文章将的shiro使用都是局限于单体应用,但是在前后端分离中就会有会话存储的问题,所以这篇文章就是为了解决前后端分离项目中使用shiro的会话问题。 我们用到的是redis来存储会话信息。 一:导入shiro整合redis的jar包 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis</artifactId>
前后端分离项目SpringBoot-Shiro-jwt处理401响应码的方案
h363659487的博客
06-06 1984
前后端分离项目SpringBoot-Shiro-jwt处理401响应码的方案
前后端分离权限设计方案:shiro+redis+jwt
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
SpringBoot+Vue 4小时实战:前后端分离博客项目教程
"SpringBoot+Vue前后端分离博客项目的开发教程" 本文将详细介绍如何在4小时内使用SpringBootVue.js开发一个完整的前后端分离的博客系统。教程由吕一明编写,旨在帮助读者快速掌握相关技能。 首先,前后端分离的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值