前后端分离项目使用Shiro
前面文章将的shiro使用都是局限于单体应用,但是在前后端分离中就会有会话存储的问题,所以这篇文章就是为了解决前后端分离项目中使用shiro的会话问题。
我们用到的是redis来存储会话信息。
一:导入shiro整合redis的jar包
<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis</artifactId>
<version>2.4.2.1-RELEASE</version>
</dependency>
二:自定义一个SessionManager
import java.io.Serializable;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;
public class MySessionManager extends DefaultWebSessionManager {
private static final String AUTHORIZATION = "Authorization";
public MySessionManager() {
super();
}
@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
//前端ajax的headers中必须传入Authorization的值
String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
//如果请求头中有 Authorization 则其值为sessionId
if (!StringUtils.isEmpty(id)) {
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
return id;
} else {
//否则按默认规则从cookie取sessionId
return super.getSessionId(request, response);
}
}
}
三:ShiroConfig配置文件注入SessionManager
加上下面的代码:
/**
* 2.自定义sessionManager,用户的唯一标识,即Token或Authorization的认证
*/
@Bean
public SessionManager sessionManager() {
//创建一个上面自定的SessionManager
MySessionManager mySessionManager = new MySessionManager();
mySessionManager.setSessionDAO(redisSessionDAO());
return mySessionManager;
}
/**
* 配置shiro redisManager 使用的是shiro-redis开源插件
* @return
*/
public RedisManager redisManager() {
RedisManager redisManager = new RedisManager();
//redis链接信息
redisManager.setHost("127.0.0.1");
redisManager.setPort(6379);
redisManager.setExpire(1000*60*60*24);
redisManager.setTimeout(30000);
redisManager.setPassword("123456");
return redisManager;
}
@Bean
public RedisSessionDAO redisSessionDAO() {
RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
// 自定义session管理 使用redis
redisSessionDAO.setRedisManager(redisManager());
return redisSessionDAO;
}
四:将SessionManager注入安全管理器
到这里配置就做完了,然后是业务流程
五:修改登陆
subject.login(token);
//将authorization传给前端,用于MySessionManager中请求的验证
return (String)subject.getSession().getId();
在用户登陆成功之后,将authorization传入前端,由前端放入headers中,当用户访问其他接口的时候,就会携带上这个键值对:
这样就能正常访问,如果不携带这个值,则找不到当前用户的登陆凭证信息,则为未登录状态:
六:退出登陆
用户退出登陆的时候,后端只需要执行下面的代码就行了:
SecurityUtils.getSubject().logout();
七:获取当前登陆信息
@Autowired
private RedisSessionDAO redisSessionDAO;
public SysUser getUserByHeader(ServletRequest request) throws Exception{
//前端ajax的headers中必须传入Authorization的值
String id = WebUtils.toHttp(request).getHeader("Authorization");
Session session = redisSessionDAO.readSession(id);
Object obj = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
SimplePrincipalCollection coll = (SimplePrincipalCollection) obj;
String userStr = JSON.toJSON(coll.getPrimaryPrincipal()).toString();
SysUser user = JSON.parseObject(userStr, SysUser.class);
return user;
}
2981
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
