shiro无状态配置及demo

最新推荐文章于 2024-05-18 09:57:41 发布
最新推荐文章于 2024-05-18 09:57:41 发布
阅读量5.4k 收藏
点赞数 2
分类专栏: 安全框架之Shiro 文章标签: Stateless Shiro 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/win7system/article/details/52128538
版权 
<!-- Realm实现 -->
    <bean id="statelessRealm" class="com.tairanchina.account.secuity.StatelessRealm">
        <property name="cachingEnabled" value="false"/>
        
    </bean> 

    <!-- Subject工厂 -->
    <bean id="subjectFactory" class="com.tairanchina.account.secuity.StatelessDefaultSubjectFactory"/>

    <!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="sessionValidationSchedulerEnabled" value="false"/>
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="statelessRealm"/>
        <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled" value="false"/>
        <property name="subjectFactory" ref="subjectFactory"/>
        <property name="sessionManager" ref="sessionManager"/>
    </bean>

    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

<bean id="tokenFilter" class="com.tairanchina.account.secuity.TokenFilter"/>
    <bean id="statelessAuthcFilter" class="com.xxx.xxx.secuity.StatelessAuthcFilter"/>
    <bean id="allRolesAuthorFilter" class="com.xxx.xxx.secuity.AllRolesAuthorFilter"/>
    <bean id="anyRolesAuthorFilter" class="com.xxx.xxx.secuity.AnyRolesAuthorFilter"/>

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="filters">
            <util:map>
            <entry key="tokenAuthc" value-ref="tokenFilter" />
                <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
                <entry key="allRoles" value-ref="allRolesAuthorFilter"/>
                <entry key="anyRoles" value-ref="anyRolesAuthorFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /api/xxx/login = anon
                /api/xxx/register = anon
                /api/xxx/logout = anon
                /api/xxx/exist = anon
                /api/xxx/user/**  = statelessAuthc
                /api/xxx/users/**  = statelessAuthc, anyRoles[SUPER]
                <!-- 业务访问url需要注意规范,如/api/coupon/XX/** = statelessAuthc(认证中心), anyRoles[ADMIN/USER](权限认证)-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- AOP式方法级权限检查  -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="true" />
</bean>

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

     上面只是配置无状态的xml配置,主要目的就是去除持久化,换言之,请求一次后,所以信息都过期,另外还需要配置类的属性,具体的demo地址:https://github.com/happyrainyday/shiro-stateless-account  喜欢的请关注下哦~

南宫酥卿
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
shiro状态鉴权
qq_34609370的博客
11-20 639
1、什么是有状态鉴权: 2、什么是无状态鉴权: (1)服务器不保存用户的登录信息! (2)微服务集群中的每个服务,对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是:服务的无状态性,即: 服务端不保存任何客户端请求者信息 客户端的每次请求必须具备自描述信息(jwt),通过这些信息识别客户端身份 (3)带来的好处是什么呢? 客户端请求不依赖服务端的信息,任何多次请求不需要必须...
ShiroDemo.zip
08-17
**SpringBoot整合Shiro基础教程** 在Web应用开发中,安全是至关重要的一个环节。Apache Shiro是一款轻量级的安全框架,它提供了身份验证、...ShiroDemo项目中的代码详细注释将帮助初学者更好地理解和学习这个过程。
shiro状态学习---(1)
qq_35267557的博客
12-12 1078
shiro状态学习---(1) 第一个项目:实现禁用session 项目搭建:这里使用springboot作为基础搭建一个基础的springmvc框架 1、创建项目 这样,一个基本的spring boot就党建好了,访问 http://localhost:8080/hello?params1=你好&params2=世界,就会打印出 hello,xxx,params1=你好,
推荐项目:ShiroJwt - 无状态鉴权新体验
最新发布
gitblog_00033的博客
05-18 286
推荐项目:ShiroJwt - 无状态鉴权新体验 项目地址:https://gitcode.com/dolyw/ShiroJwt 项目介绍 ShiroJwt是一个基于SpringBoot、Mybatis Generator和Shiro的现代化鉴权解决方案,它引入了Java-JWT实现无状态鉴权,并集成了AES-128加密方式和Redis缓存系统,旨在提供安全、高效的API接口访问控制。该项目还提供...
状态shiro认证组件(禁用默认session)
weixin_33920401的博客
11-15 610
v准备内容 v简单的shiro状态认证   无状态认证拦截器 View Code   Subject工厂 View Code   注意,这里禁用了session   无状态Realm View Code   无状态Token View Code   shiro配置文件 View Code   这里禁用了回话调度器...
49、实现shiro状态访问(自定义token)
lixiang987654321的专栏
09-07 1293
前言 http协议是无状态协议。浏览器访问服务器时,要让服务器知道你是谁,只有两种方式: 方式一:把“你是谁”写入cookie。它会随每次HTTP请求带到服务端; 方式二:在URL、表单数据中带上你的用户信息(也可能在HTTP头部)。这种方式依赖于从特定的网页入口进入,因为只有走特定的入口,才有机会拼装出相应的信息,提交到服务端。 大部分SSO需求都希望不依赖特定的网页入口(集成门户除外),所...
spring boot+redis+shiro+jwt token无状态权限验证
编程学习,日记记录
06-03 707
一、思路 shiro用来认证用户及权限控制,jwt用来生成一个token,暂存用户信息。 为什么不使用session而使用jwt?传统情况下是只有一个服务器,用户登陆后将一些信息以session的形式存储服务器上, 然后将sessionid存储在本地cookie中,当用户下次请求时将会将sessionid传递给服务器,用于确认身份。 但如果是分布式的情况下会出现问题,在服务器集群中,需要一个session数据库来存储每一个session,提供给集群中所有服务使用,且无法跨域(多个Ip)使用。 而jwt是生.
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
在"springboot-shiro-demo"这个项目中,开发者首先会配置Shiro的 Realm,用于实现身份验证和授权。 Realm会对接MyBatis Plus,从数据库中获取用户、角色和权限信息。Shiro的Filter会拦截HTTP请求,检查用户是否已...
shiro-demo_DEMO_shiro_shriodemo_shiro框架demo_shiro前后端分离_
10-04
通过阅读代码,可以了解 Shiro 如何与后端控制器、数据库及前端交互,从而在自己的项目中应用类似的安全机制。 总之,"shiro-demo_DEMO_shiro_shriodemo" 是一个实践 Shiro 前后端分离应用的好例子,对于想要学习或...
spring boot shiro demo项目
04-03
Spring Boot Shiro Demo项目是一个基于Spring Boot框架与Apache Shiro实现的权限管理示例,旨在帮助开发者快速理解和应用Shiro进行权限控制。相比Spring Security,Shiro通常被认为更易于理解和使用,更适合小型到...
shiro登录拦截校验demo
07-19
"shiro登录拦截校验demo"是一个实际应用Shiro框架进行登录验证和权限拦截的示例项目。 在该demo中,我们可以学习到以下几个核心知识点: 1. **Shiro的基本概念**: - **身份验证(Authentication)**:确认用户...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
Spring boot集成Mybatis与Shiro状态权限管理,实现RESTful风格的API
夜莺的博客
04-15 3612
前言最近一直在研究SpringBoot和Shiro框架,在百度和Google上参考了很多很多资料,发现大多数集成都是使用session来管理用户状态的,由于自己对前后端分离特别情有独钟,所以想自己搭建出一个无状态的RESTful风格的框架。研究了好几个星期,这里写一下步骤,也当自己复习一下遇到的问题。由于内容有点多,打算分开来记录。此框架涉及到的一些技术:1.Spring Boot + Mybat...
基于shiro框架状态登录的一种处理方法
qq_27619637的博客
08-09 3250
在项目初期使用shiro进行权限管理,后期因为要进行移动端开发,就想试试shiro的无状态登录,在网上找了一些资料发现如果不修改现有框架进行权限管理基本不可能,于是尝试通过修改sessionid,后面发现这个方法行不通,于是通过重写Subject类+缓存完成功能,该方法有什么漏洞还需要在后续开发过程中发现,步骤如下: 重写Subject类,通过对登录的subject进行输出发现该类实际是subj...
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6550
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
springboot整合无状态shiro基本配置
yaoct的博客
12-05 319
<!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> shiro基本配置: package com.demo1.config; impo...
shiro mgt包下DefaultSessionStorageEvaluator类
weixin_45912825的博客
11-13 417
2021SC@SDUSC DefaultSessionStorageEvaluator类图 #mermaid-svg-hmtaxmpcLPiBPcg4 .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-hmtaxmpcLPiBPcg4 .label text{fill:#333}#mermaid-svg-hmtax
SpringBoot中使用Shiro和JWT做认证和鉴权
qq_43842093的博客
12-12 1813
最近新做的项目中使用了shiro和jwt来做简单的权限验证,在和springboot集成的过程中碰到了不少坑。做完之后对shiro的体系架构了解的也差不多了,现在把中间需要注意的点放出来,给大家做个参考。 相对于spring security来说,shiro出来较早,框架也相对简单。后面会另起一篇文章对这两个框架做一个简单的对比。 Shiro的关注点 首先看一下shiro中需要关注的几个概念。 SecurityManager,可以理解成控制中心,所有请求最终基本上都通过它来代理转发,一般我们程序中不需要直
Spring Boot Shiro实战
11-14
在Spring Boot中集成Shiro,可以了解到如何使用Spring MVC,;如何使用Spring Data JPA进行数据的持久化;如何使用Shiro安全框架;如何使用Thymeleaf模板引擎;如何使用ehcache缓存管理!
Apache Shiro入门:配置jdbcRealm详解
本文档是关于Apache Shiro的入门学习,特别是如何配置JdbcRealm以实现基于数据库的身份验证和授权。 Apache Shiro是一个全面的安全管理框架,提供了用户身份验证、授权、会话管理和加密等功能。它能简洁地处理各种...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值