springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题

最新推荐文章于 2024-04-04 06:12:39 发布
最新推荐文章于 2024-04-04 06:12:39 发布
阅读量6.2k 收藏 33
点赞数 10
分类专栏: springboot shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wmy_0707/article/details/100118329
版权

写在前面:2020年2月29号修改该文章,之前针对302鉴权失败问题的解决方案存在 “WebUtils.toHttp 往返回response写返回值的时候出现回写跨域问题”。现已进行更正。

     

 

近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。

 

下面记录在整个过程中涉及的几个大问题:1、跨域问题 2、sessionId问题  3、302鉴权问题

 

1、springboot跨域问题解决

package net.sinorock.aj.common.config;

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
  * @Description
  * @Project aj-parent
  * @PageName  net.sinorock.aj.common.config
  * @ClassName CorsConfig
  * @author MengyuWu
  * @date 2019-8-229:59
   */
@Configuration
public class CorsConfig {

    @Bean
    public WebMvcConfigurer CORSConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedOrigins("*")
                        .allowedMethods("*")
                        .allowedHeaders("*")
                        //设置是否允许跨域传cookie
                        .allowCredentials(true)
                        //设置缓存时间,减少重复响应
                        .maxAge(3600);
            }
        };
    }


    @Bean
    public FilterRegistrationBean corsFilter() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration config = new CorsConfiguration();
        // 允许cookies跨域
        config.setAllowCredentials(true);
        // #允许向该服务器提交请求的URI,*表示全部允许,在SpringMVC中,如果设成*,会自动转成当前请求头中的Origin
        config.addAllowedOrigin("*");
        // #允许访问的头信息,*表示全部
        config.addAllowedHeader("*");
        // 预检请求的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
        config.setMaxAge(3600L);
        // 允许提交请求的方法,*表示全部允许
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        source.registerCorsConfiguration("/**", config);

        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        // 设置监听器的优先级
        bean.setOrder(0);

        return bean;
    }
}

2、sessionId问题,因前后端分离无法使用cookie,所以修改为登陆校验后返回sessionId给前端,前端拿到sessionId后放在请求头中,后端重写 DefaultWebSessionManager 中的 getSessionId 方法,从请求头中获取对应的sessionId。

2.1 登陆返回sessionId ( token ) 

  

    @ResponseBody
    @PostMapping(value = "/web/login")
    @ApiOperation("登录")
    
    public R login(@RequestBody SysUserEntity user)
        throws AuthenticationException
    {
        SecurityUtils.getSubject().logout();// 此行代码用于修改会话标识未更新的BUG,作用清空登录之前产生的session信息
        MenuData menuData = new MenuData();
        try
        {
            Subject subject = ShiroUtils.getSubject();
            MyUserAuthenticationToken token = new MyUserAuthenticationToken(user.getUsername(),
                user.getPassword());
            subject.login(token);
            if (null != subject.getSession())
            {
                String sessionId = (String)subject.getSession().getId();
                menuData.setToken(sessionId);
            }
        }
        catch (LockedAccountException e)
        {
            return R.error(e.getMessage());
        }
        catch (DisabledAccountException e)
        {
            return R.error(e.getMessage());
        }
        catch (UnknownAccountException e)
        {
            return R.error(e.getMessage());
        }
        catch (IncorrectCredentialsException e)
        {
            SysUserEntity originUser = userService.queryByUsername(user.getUsername());
            userService.updateUserLoginAttempts(originUser,
                configService.getValue("sysLoginErrorNum"));
            return R.error("账号/密码不正确");
        }
        catch (Exception e)
        {
            return R.error("账户验证失败");
        }
     
        return R.ok().put("data", menuData);
    }

2.2 后台重写 DefaultWebSessionManager 中的 getSessionId方法

package net.sinorock.aj.modules.base.core.security.shiro;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.context.annotation.Configuration;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
  * @Description
  * @Project aj-parent
  * @PageName  net.sinorock.aj.modules.base.core.security.shiro
  * @ClassName MySessionManager
  * @author MengyuWu
  * @date 2019-8-2616:08
   */
@Configuration
@Slf4j
public class MySessionManager extends DefaultWebSessionManager {

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public MySessionManager() {

        super();
    }


    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getHeader("Authorization");
        //如果请求头中有 Authorization (前端请求头中设置的名字)则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }


}

2.3 在shiro的配置类中注入自定义的session缓存管理器

/**
     * @Description: 自定义的 shiro session 缓存管理器
     * 用于跨域等情况下获取请求头中的sessionId
     * @method: sessionManager
     *
     * @author: MengyuWu
     * @date: 18:38 2019-8-26
     * @throws
     **/

    @Bean
    public SessionManager sessionManager()
    {
        // 将我们继承后重写的shiro session 注册
        MySessionManager sessionManager = new MySessionManager();

        sessionManager.setSessionDAO(redisSessionDAO());
        Collection<SessionListener> sessionListeners = new ArrayList<>();
        sessionListeners.add(customSessionListener());
        sessionManager.setSessionListeners(sessionListeners);
        // 单位为毫秒,600000毫秒为1个小时
        sessionManager.setSessionValidationInterval(3600000 * 12);
        // 3600000 milliseconds = 1 hour
        sessionManager.setGlobalSessionTimeout(3600000 * 12);
        // 是否删除无效的,默认也是开启
        sessionManager.setDeleteInvalidSessions(true);
        // 是否开启 检测,默认开启
        sessionManager.setSessionValidationSchedulerEnabled(true);
        // 创建会话Cookie
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setName("WEBID");
        cookie.setHttpOnly(true);
        sessionManager.setSessionIdCookie(cookie);

        // 单位为毫秒,600000毫秒为1个小时
        sessionManager.setSessionValidationInterval(3600000 * 12);
        // 3600000 milliseconds = 1 hour
        sessionManager.setGlobalSessionTimeout(3600000 * 12);
        // 是否删除无效的,默认也是开启
        sessionManager.setDeleteInvalidSessions(true);
        return sessionManager;
    }

至此可解决前后端跨域后的sessionId的问题。前端调用后台接口后,发现没有鉴权的请求,直接302错误,并没有对应的返回值,所以下面针对302问题进行解决。

3、302问题解决(此问题解决参考该博文:https://blog.csdn.net/China_hdy/article/details/97154272 ,感谢博主的详细讲解)

3.1 自定义 FormAuthenticationFilter

package net.sinorock.aj.modules.base.core.security.shiro;


import com.alibaba.fastjson.JSONObject;
import net.sinorock.aj.common.constant.ErrorCodes;
import net.sinorock.aj.common.web.def.R;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;


/**
 * @Description:
 * @program: aj-parent
 * @Auther: CShi
 * @Date: 2019-8-11 14:28
 **/
public class UserFormAuthenticationFilter extends FormAuthenticationFilter
{
    public UserFormAuthenticationFilter()
    {
        super();
    }

    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response,
                                   Object mappedValue)
    {
        if (((HttpServletRequest)request).getMethod().toUpperCase().equals("OPTIONS"))
        {
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
        throws Exception
    {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                return executeLogin(request, response);
            } else {
                return true;
            }
        } else {
            //解决 WebUtils.toHttp 往返回response写数据跨域问题
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            String origin = httpRequest.getHeader("Origin");
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            httpServletResponse.setHeader("Access-Control-Allow-Origin", origin);
            //通过对 Credentials 参数的设置,就可以保持跨域 Ajax 时的 Cookie
            //设置了Allow-Credentials,Allow-Origin就不能为*,需要指明具体的url域
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");

            // 返回固定的JSON串
            WebUtils.toHttp(response).setContentType("application/json; charset=utf-8");
            WebUtils.toHttp(response).getWriter().print(JSONObject.toJSONString(R.error(ErrorCodes.General.AUTH_EMPTY_ERROR.getCode(),ErrorCodes.General.AUTH_EMPTY_ERROR.getMsg())));
            return false;
        }
    }
}

3.2 自定义PermissionsAuthorizationFilter

package net.sinorock.aj.modules.base.core.security.shiro;

import com.alibaba.fastjson.JSONObject;
import net.sinorock.aj.common.constant.ErrorCodes;
import net.sinorock.aj.common.web.def.R;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
  * @Description
  * @Project aj-parent
  * @PageName  net.sinorock.aj.modules.base.core.security.shiro
  * @ClassName CustomPermissionsAuthorizationFilter
  * @author MengyuWu
  * @date 2019-8-279:47
   */
public class CustomPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {
    /**
     * 根据请求接口路径进行验证
     * @param request
     * @param response
     * @param mappedValue
     * @return
     * @throws IOException
     */
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        // 获取接口请求路径
        String servletPath = WebUtils.toHttp(request).getServletPath();
        mappedValue = new String[]{servletPath};
        return super.isAccessAllowed(request, response, mappedValue);
    }

    /**
     * 解决权限不足302问题
     * @param request
     * @param response
     * @return
     * @throws IOException
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = getSubject(request, response);
        if (subject.getPrincipal() != null) {
            return true;
        } else {

            //解决 WebUtils.toHttp 往返回response写数据跨域问题
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            String origin = httpRequest.getHeader("Origin");
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            httpServletResponse.setHeader("Access-Control-Allow-Origin", origin);
            //通过对 Credentials 参数的设置,就可以保持跨域 Ajax 时的 Cookie
            //设置了Allow-Credentials,Allow-Origin就不能为*,需要指明具体的url域
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");

            WebUtils.toHttp(response).setContentType("application/json; charset=utf-8");
            WebUtils.toHttp(response).getWriter().print(JSONObject.toJSONString(R.error(ErrorCodes.General.AUTH_EMPTY_ERROR.getCode(),ErrorCodes.General.AUTH_EMPTY_ERROR.getMsg())));
        }
        return false;
    }
}

3.3 shiro配置类中添加自定义的PermissionsAuthorizationFilter、FormAuthenticationFilter

/**
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * Filter Chain定义说明
     * 1、一个URL可以配置多个Filter,使用逗号分隔
     * 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager){
        if(log.isDebugEnabled()){
            log.debug("ShiroConfiguration.shirFilter()");
        }
        ShiroFilterFactoryBean shiroFilterFactoryBean  = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //增加自定义过滤
        Map<String, Filter> filters = new HashMap<>(5);
        filters.put("authc", new UserFormAuthenticationFilter());
        filters.put("perms", new CustomPermissionsAuthorizationFilter());
        filters.put("logout", new MyUserLogoutFilter());
        shiroFilterFactoryBean.setFilters(filters);
        //拦截器.
        Map<String,String> filterChainDefinitionMap = shiroFilterFactoryBean.getFilterChainDefinitionMap();

        //配置退出过滤器
        /**
         * anon(匿名)  org.apache.shiro.web.filter.authc.AnonymousFilter
         * authc(身份验证)       org.apache.shiro.web.filter.authc.FormAuthenticationFilter
         * authcBasic(http基本验证)    org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
         * logout(退出)        org.apache.shiro.web.filter.authc.LogoutFilter
         * noSessionCreation(不创建session) org.apache.shiro.web.filter.session.NoSessionCreationFilter
         * perms(许可验证)  org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
         * port(端口验证)   org.apache.shiro.web.filter.authz.PortFilter
         * rest  (rest方面)  org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
         * roles(权限验证)  org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
         * ssl (ssl方面)   org.apache.shiro.web.filter.authz.SslFilter
         * member (用户方面)  org.apache.shiro.web.filter.authc.UserFilter
         * user  表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe
         */

        //<!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/main/web/login", "anon");
        filterChainDefinitionMap.put("/main/web/logout", "logout");
        // 使用该过滤器过滤所有的链接
        filterChainDefinitionMap.putAll(ShiroConfigConstant.filterMap);
        //配置记住我或认证通过可以访问的地址
        filterChainDefinitionMap.put("/**", "authc,perms");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

至此,302问题已解决,前端可通过后台接口返回 50011 (ErrorCodes.General.AUTH_EMPTY_ERROR)进行判断是否鉴权成功,不成功的话调转登陆页面。

 

此文为我在改造springboot+shiro整合适用前后端分离项目中的记录,如果有错误的地方,还请及时指出。

wmy_0707
关注
  • 10
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
springBoot前后分离项目shiro的302跳转
qq_27521215的博客
07-25 1万+
     项目是使用的springboot ,使用的shiro做的用户。在前请求时当用户信息失效,session失效的时候,shiro会重定向到配置的login.jsp 页面,或者是自己配置的logUrl。    因是前后分离项目,与静态资源文件分离,固重定向后,接着会404。经过查找网上配置资料,发现302原因是 FormAuthenticationFilter onAcces...
springboot+vue前后分离问题
weixin_44153131的博客
03-01 1051
同源策略是一种约定,它是浏览器最核心也最基本的安全功能,同源是指"协议+名+口"三者相同,比如http://localhost:8080与http://localhost:8181就不是同源。
Spring Boot + Vue + Shiro 实现前后分离,写得太好了
最新发布
weixin_57992300的博客
04-04 1105
前后分离项目,由于,会导致复杂请求,即会发送 preflighted request,这样会导致在 GET/POST 等请求之前会先发一个 OPTIONS 请求,但 OPTIONS 请求并不带 shiro 的’Authorization’字段(shiro 的 Session),即 OPTIONS 请求不能通过 shiro 验证,会返回未认证的信息。(l 楼主就遇到这个问题,后地址缺少了查询参数,代理设置为后地址,然而 F12 看到的错误依然还是本地的名,并不是代理后的名)
SpringBoot整合shiro(二)自定义sessionManager
热门推荐
迈向编程之路
05-28 2万+
传统结构项目shiro从cookie读取sessionId以此来维持会话,在前后分离的项目(也可在移动APP项目使用),我们选择在ajax的请求头传递sessionId,因此需要重写shiro获取sessionId的方式。自定义ShiroSessionManager类继承DefaultWebSessionManager类,重写getSessionId方法, import org.ap...
Shiro logout 302重定向,shiro 302解决方案
蕃薯耀的博客
04-09 1665
================================ ©Copyright 蕃薯耀 2022-04-09 蕃薯耀的博客_CSDN博客 一、问题描述 当登录退出为Ajax请求时,使用Shiro的logout退出登录,会发生302重定向,导致不能正常退出。 二、解决方案 1、重写LogoutFilter过滤器 import java.util.Locale; import javax.servlet.ServletRequest; import javax.se.
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2506
但是如在web环境,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
SpringBoot + Shiro前后分离
08-25
主要为大家详细介绍了SpringBoot + Shiro前后分离限,文示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后分离+基于url通用限管理系统
01-25
前后分离(这里只展示后台),基于url拦截的通用限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授方式,shiro框架,配置Jedis,以redis作缓存
Springboot+Vue+shiro实现前后分离限控制的示例代码
08-18
主要介绍了Springboot+Vue+shiro实现前后分离限控制的示例代码,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot + Shiro实现前后分离接口安全框架
09-02
SpringBoot-Shiro前后分离框架,通过shiro控制限,实现前后分离接口安全。
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目引入相关依赖项,包括: * ...
当后给我返回了302状态码
yeyeye0525的博客
09-19 1万+
主要的作用就是当后响应的内容是html的时候,跳转到登录页面。这种方案让我感觉有点别扭,于是具体了解了这段代码出现的原因。功能的核心在于用户,后设想的方案是:当前发起接口请求,后识别到用户未登录的时候,就会给前响应302的状态码,以为很方面,前不用处理就直接跳转到了登录页面。然而,他们不知道的是,前发起的ajax请求,并不能直接跳转,甚至连302状态码都捕获不到。
spring boot做统一返回值,统一返回数据传给前
weixin_44728473的博客
06-11 1983
spring boot做统一返回值,统一返回数据传给前
VUE + Springboot 前后分离线上 登陆后接口请求报302
秋实的博客
04-10 6680
最近开发项目过程遇到一个困扰几天的问题,本地测试所有接口都正常,线上请求后没设置登陆拦截的接口,能正常返回数据;但请求需要登陆访问接口,则出现302,直接重定向到/login接口,十分诡异。 与后一起探讨解决发现,多方查询尝试才发现在axios配置设置:withCredentials: true,允许请求携带cookie才行。 axios文文档配置拷贝过来: { // `...
Shiro限控制应用
PS101505138的专栏
04-13 419
       最近学习了解了一下Shiro,发现他在限控制方面有很好的处理,现将相关的学习心得记录下来,作为自己的知识储备,也为有需要的小伙伴提供解决方案。      Shiro 是一款简单易用的Java安全框架,可以帮助我们完成:认证、授、加密、会话管理,你可以快速集成到任何应用程序——从最小的移动应用程序到最大的web应用程序。       图一在很多地方都可以见到,他可以让我们从程序的角...
SpringBoot+Shiro+Redis共享Session入门小栗子
Java团长的博客
10-17 209
来源:www.cnblogs.com/LUA123/p/9337963.html在单机版的Springboot+Shiro的基础上,这次实现共享Session。这里没有自...
Spring的WebUtils类
zifangz的专栏
04-22 4650
WebUtils 位于 org.springframework.web.util 包的 WebUtils 是一个非常好用的工具类,它对很多 Servlet API 提供了易用的代理方法,降低了访问 Servlet API 的复杂度,可以将其看成是常用 Servlet API 方法的门面类。 下面这些方法为访问 HttpServletRequest 和 HttpSession 的对象和属性带
Spring 优秀工具类盘点,第 1 部分: 文件资源操作三
小乐乐
04-16 178
Spring 所提供的过滤器和监听器 Spring 为 Web 应用提供了几个过滤器和监听器,在适合的时间使用它们,可以解决一些常见的 Web 应用问题。 延迟加载过滤器 Hibernate 允许对关联对象、属性进行延迟加载,但是必须保证延迟加载的操作限于同一个 Hibernate Session 范围之内进行。如果 Service 层返回一个启用了延迟加载功能的领对象给 Web 层,当 ...
springboot项目前后分离使用shiro的情况解决sessionid不同问题
chenyidong521的博客
08-12 1万+
遇到的问题 开发遇到开发app或者前后分离的项目时候,使用ajax等方式向后台访问的时候session每次都不同,这样使用shiro验证全是不能通过.原来我们使用的是token的方式,可以自己通过验证token来实现限判断问题,但是使用shiro我们还需要自己重写限判断.那么如何实现shiro通过token来进行sessionid不变呢. 我们通过配置shiro的session管理器来解...
springboot整合shiro前后分离
03-16
Spring Boot整合Shiro可以实现前后分离的安全认证和授功能。前通过Ajax请求后接口,后接口通过Shiro进行安全认证和授,返回相应的结果给前。 具体实现步骤如下: 1. 引入Shiro和Spring Boot相关依赖。 2. 配置Shiro的安全管理器和过滤器链。 3. 实现自定义Realm,用于认证和授。 4. 实现登录接口,接收前传来的用户名和密码,通过Shiro进行认证,返回认证结果给前。 5. 实现限接口,接收前传来的请求,通过Shiro进行授,返回授结果给前。 6. 前通过Ajax请求后接口,接收后返回的认证和授结果,根据结果进行相应的操作。 通过以上步骤,就可以实现Spring Boot整合Shiro的前后分离安全认证和授功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值