shiro中session的共享问题与完成前后端权限的校验

于 2023-07-11 20:34:08 发布
阅读量966 收藏 4
点赞数 1
文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64353239/article/details/131667910
版权

目录

1.shiro中session的共享问题

1.2 如何解决session共享问题

2. 解决前端不支持cookie的效果

2.1 如何把sessionId放入请求头。

2.2 重写DefaultWebSessionManager的方法

3. 设置前端前置路由守卫

4. 如何防止恶意重复登录

5. 退出

6. 获取当前登录用户的信息

 

1.shiro中session的共享问题

 

 

演示问题:

(1)启动shiro-springboot的集群项目

 

 

(2)修改nginx的配置

 

(3)使用Swage测试

 

登录成功后访问某些资源时,出现了未登录的json提示

 

1.2 如何解决session共享问题

默认session存储再各自服务的内存中,可以让session统一存储再redis中。

疯狂的蛋糕的依赖。---提供了redis存储session的类。

修改shiro的配置类。

 

 

2. 解决前端不支持cookie的效果

 

原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.

如何解决:

 

客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。

思考:1. 如何把sessionId放入请求头。

2. 重写getSessionId方法如何获取请求头的sessionID。

2.1 如何把sessionId放入请求头。

修改登录的接口

 

修改前端登录方法

 

修改main.js文件

 

2.2 重写DefaultWebSessionManager的方法

public class MyWebSessionManager extends DefaultWebSessionManager {
    private static final String AUTHORIZATION = "token";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头中名称为token的内容
        String id = WebUtils.toHttp(request).getHeader("token");
        if (!StringUtils.isEmpty(id)) { //如果存在该token
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "Stateless request");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //从cookie中获取sessionId.
            return super.getSessionId(request, response);
        }
    }
}

修改shiro配置类

 

修改shiroFilter过滤器

我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。

OPTIONS请求:先头部队。

所以我们对OPTIONS请求都要放行。

 

3. 设置前端前置路由守卫

 

4. 如何防止恶意重复登录

 

5. 退出

编辑退出接口

 

编辑前端退出按钮

 

6. 获取当前登录用户的信息

 

前端

 

至此全部完成

 

尘乂不落蒂
关注
DefaultWebSessionManager类
iteye_10899的博客
11-10 7985
DefaultWebSessionManager类主要定义了session的创建,启动,暂停与cookie的关联的定义,它继承了DefaultWebSessionManager类,实现了WebSessionManager接口,现对其解析如下: 1.WebSessionManager接口 可以参考WebSessionManager接口源码解析,里面只有一个方法,定义了session是由ser...
springboot+shiro+redis实现session共享和cache共享
ldcaws的专栏
06-26 2845
在分布式应用,若是使用了负载均衡,用户第一次访问,连接的A服务器,进行了登录操作进入了系统,当用户再次操作时,请求被转发到了B服务器,用户并没有在B进行登录,此时用户又来到了登录页面,这是难以理解和接受的,这就引出了session共享。对于shiro安全框架如何实现session共享shiro共享分为两方面,一个是session共享,一个是cache共享。下面聊聊在springboot工程整合shiro框架,并通过redis实现session共享和cache共享
第十三节 Shiro集成Redis实现分布式集群Session共享
大宇的博客,欢迎访问
04-15 8068
一、使用Redis共享Session原理 所有服务器的session信息都存储到了同一个Redis集群,即所有的服务都将 Session 的信息存储到 Redis 集群,无论是对 Session 的注销、更新都会同步到集群,达到了 Session 共享的目的。 Cookie 保存在客户端浏览器,而 Session 保存在服务器上。客户端浏览器访问服务器的...
Shirosession共享问题(如果再也见不到你,祝你早安,午安,晚安。)
最新发布
生命不止,学习无休
07-11 770
当我们通过nginx反向代理到我们的集群后,如果用户再进行登录,用户的session会存储在第一次负载均衡到的服务器上,但是如果我们调用其的一些功能或者说权限后,用户在另外一台服务器上并没有session信息,就会导致提示未登录问题,需要用户再次进行登录。但是我们不可能让用户登录很多次,这对用户的体验来说是非常不友好的,因此解决shiro安全框架session问题是非常有必要的。
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 5875
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
java的细粒度权限shiro权限校验 ssh
11-22
Shiro是Apache组织提供的一款强大且易用的Java安全框架,它提供了身份认证、授权、会话管理和加密等功能,非常适合在Spring+Struts+Hibernate(SSH)这样的经典企业级开发框架实现权限校验。 细粒度权限管理的...
shiro管理端权限控制
12-15
在管理端,可以根据 URL 或方法进行权限校验,只允许拥有特定权限的用户访问特定资源。 4. **安全管理配置**:在应用的配置文件(如 `shiro.ini` 或者 `Web.xml`),你可以定义 Realm 对象、Session 管理策略、...
springboot shiro redis缓存和session共享例子
05-17
创建一个自定义的Realm,继承自`AuthorizingRealm`,在这个类实现用户认证和权限校验的方法。Shiro会调用这些方法进行身份验证和授权。同时,需要配置SessionManager,设置为`RedisSessionDAO`,这样Shiro会将...
SSM+Shiro+Redis实现项目的权限管理
05-06
3. 权限校验:在Controller层使用Shiro的注解如`@RequiresPermissions`,`@RequiresRoles`进行权限检查,或者在Service/DAO层使用Shiro API进行权限判断。 4. 分布式Session管理:集成Redis,配置`RedisSessionDAO`...
SSM项目集成shiro搭建session共享
04-06
springMvc4.3+spring4.3+mybatis3.4+shiro1.4+log4j2+freemarker2.3+shiro-redis2.9
DefaultWebSessionManager与ServletContainerSessionManager解析
ystyaoshengting的专栏
09-15 7591
下图是sessionManager的一个结构图,最右边的securityManager已经在前面的博文了解了; 这里来了解DefaultWebSessionManager与ServletContainerSessionManager这两个sessionManager 在上文提到,DefaultWebSecurityManager默认使用的是ServletContainerSessio...
集群共享sessionshiro实现session共享springboot实现redis共享session
wangyue123com的专栏
03-19 2441
shiro实现共享session;springboot集成redis实现共享session;集群环境下shiro共享session;shiro实现session共享
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2854
但是如在web环境,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
SpringBoot 整合Shiro实现动态权限加载更新+Session共享+单点登录
z_ssyy的博客
01-15 1710
ADMIN这个号现在没有sys:info:all这个权限的,所以无法访问getInfoAll接口,我们要动态分配权限后,要清掉缓存,在访问接口时候,Shiro会去重新执行授权方法,之后再次把权限和角色数据放入缓存Shiro是一个安全框架,项目主要用它做认证,授权,加密,以及用户的会话管理,虽然Shiro没有SpringSecurity功能更丰富,但是它轻量,简单,在项目通常业务需求Shiro也都能胜任.再次访问getInfoAll接口,因为缓存没有数据,Shiro会重新授权查询权限,拦截通过。
Spring Boot : 整合 Shiro 重写 DefaultWebSessionManager
帅气Dee海绵宝宝
12-13 5592
SpringBoot整合shiro 重写 DefaultWebSessionManager 正常来讲 Shiro 是从 Cookie 获取 SessionId 的,然后找到相对应的 Session 来保证用户登陆的正确性和权限的正确性,但是在前后端分离的项目,由于每次的 SessionId 都是不一样的,所以我这里选择的是重写 DefaultWebSessionManager 的部分方法,然...
DefaultWebSessionManager DefaultSessionManager DefaultWebSecurityManager SessionsSecurityManager
weixin_34112030的博客
01-31 2358
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("------------------------------------doGetAuthenticationInfo...
Shiro - 关于session
dengtangu7674的博客
12-01 533
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shirosession的支持更加易用,而且他可以在任何应用、任...
Apache的shiro获取当前Session的方法
weixin_46589575的博客
03-24 1523
shiro提供了一个工具类可以方便的获取Session,这个工具类就是:SecurityUtils 获取当前的Session直接可以通过下面的方式来: public static Session getSession() { return SecurityUtils.getSubject().getSession(); } 获取到session还可以直接往session塞属性,例如登录的时候,需要一个验证码,则可以将生成的验证码的文本塞到session, 设置sessi
SpringBootShiro融合:动态权限Session共享与单点登录实现
资源摘要信息: "SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录" 知识点详细说明: 1. SpringBoot集成Shiro框架 SpringBoot是一种广泛使用的Java基础框架,用于快速、简洁地构建独立的、生产...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值