2. 程式人生 > >Shiro在請求頭中獲取sessionId以及rememberMe資訊

Shiro在請求頭中獲取sessionId以及rememberMe資訊

阿新 發佈:2019-01-02

本文介紹的內容需要對Shiro有一定了解,學習Shiro可檢視跟開濤我學Shiro

解決問題步驟
  • 重寫 DefaultWebSessionManager 命名為 DefaultHeaderSessionManager
  • 重寫 CookieRememberMeManager 命名為 HeaderRememberMeManager
  • 重寫 ShiroFilterFactoryBean,修改其中的預設Filters;
  • 修改配置檔案,指定為重寫的類。

重寫DefaultWebSessionManager

DefaultWebSessionManager:用於Web環境的實現,可以替代ServletContainerSessionManager,自己維護著會話,直接廢棄了Servlet容器的會話管理。
DefaultWebSessionManager預設實現中,是通過Cookie確定sessionId,重寫時,只需要把獲取sessionid的方式變更為在request header中獲取即可。
新建 DefaultHeaderSessionManager

類並 extends DefaultSessionManager 以及 implements WebSessionManager

//省略 import 資訊
/**
 * @author Created by yangyang on 2018/1/18.
 * e-mail :[email protected] ; tel :18580128658 ;QQ :296604153
 */
public class DefaultHeaderSessionManager extends DefaultSessionManager implements WebSessionManager {

}

request header中,我使用x-auth-token進行sessionid標識,接下來直接展示當前類的詳細實現

//省略 import 資訊
public class DefaultHeaderSessionManager extends DefaultSessionManager implements WebSessionManager {

    // slf4j  logback
    private static final Logger log = LoggerFactory.getLogger(DefaultHeaderSessionManager.class);

    private final String X_AUTH_TOKEN = "x-auth-token";

    // 請求頭中獲取 sessionId 並把sessionId 放入 response 中
 

    private String getSessionIdHeaderValue(ServletRequest request, ServletResponse response) {
        if (!(request instanceof HttpServletRequest)) {
            log.debug("Current request is not an HttpServletRequest - cannot get session ID cookie.  Returning null.");
            return null;
        } else {
            HttpServletRequest httpRequest = (HttpServletRequest) request;

            // 在request 中 讀取 x-auth-token 資訊  作為 sessionId

            String sessionId = httpRequest.getHeader(this.X_AUTH_TOKEN);

            // 每次讀取之後 都把當前的 sessionId 放入 response 中

            HttpServletResponse httpResponse = (HttpServletResponse) response;

            if (StringUtils.isNotEmpty(sessionId)) {
                httpResponse.setHeader(this.X_AUTH_TOKEN, sessionId);
                log.info("Current session ID is {}", sessionId);
            }

            return sessionId;
        }
    }

    //獲取sessionid
    private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
        String id = this.getSessionIdHeaderValue(request, response);

        //DefaultWebSessionManager 中程式碼 直接copy過來
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "header");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        }
        //不會把sessionid放在URL後
        request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, Boolean.FALSE);
        return id;
    }

    // 移除sessionid 並設定為 deleteMe 標識
    private void removeSessionIdHeader(HttpServletRequest request, HttpServletResponse response) {
        response.setHeader(this.X_AUTH_TOKEN, "deleteMe");
    }

    /**
     * 把sessionId 放入 response header 中
     * onStart時呼叫
     * 沒有sessionid時 會產生sessionid 並放入 response header中
     */
    private void storeSessionId(Serializable currentId, HttpServletRequest ignored, HttpServletResponse response) {
        if (currentId == null) {
            String msg = "sessionId cannot be null when persisting for subsequent requests.";
            throw new IllegalArgumentException(msg);
        } else {
            String idString = currentId.toString();

            response.setHeader(this.X_AUTH_TOKEN, idString);

            log.info("Set session ID header for session with id {}", idString);

            log.trace("Set session ID header for session with id {}", idString);
        }
    }

    // 建立session
    protected Session createExposedSession(Session session, SessionContext context) {
        if (!WebUtils.isWeb(context)) {
            return super.createExposedSession(session, context);
        } else {
            ServletRequest request = WebUtils.getRequest(context);
            ServletResponse response = WebUtils.getResponse(context);
            SessionKey key = new WebSessionKey(session.getId(), request, response);
            return new DelegatingSession(this, key);
        }
    }

    protected Session createExposedSession(Session session, SessionKey key) {
        if (!WebUtils.isWeb(key)) {
            return super.createExposedSession(session, key);
        } else {
            ServletRequest request = WebUtils.getRequest(key);
            ServletResponse response = WebUtils.getResponse(key);
            SessionKey sessionKey = new WebSessionKey(session.getId(), request, response);
            return new DelegatingSession(this, sessionKey);
        }
    }

    protected void onStart(Session session, SessionContext context) {
        super.onStart(session, context);
        if (!WebUtils.isHttp(context)) {
            log.debug("SessionContext argument is not HTTP compatible or does not have an HTTP request/response pair. No session ID cookie will be set.");
        } else {
            HttpServletRequest request = WebUtils.getHttpRequest(context);
            HttpServletResponse response = WebUtils.getHttpResponse(context);
            Serializable sessionId = session.getId();
            this.storeSessionId(sessionId, request, response);
            request.removeAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
        }
    }

    //獲取sessionid
    public Serializable getSessionId(SessionKey key) {
        Serializable id = super.getSessionId(key);
        if (id == null && WebUtils.isWeb(key)) {
            ServletRequest request = WebUtils.getRequest(key);
            ServletResponse response = WebUtils.getResponse(key);
            id = this.getSessionId(request, response);
        }
        return id;
    }

    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        return this.getReferencedSessionId(request, response);
    }

    protected void onExpiration(Session s, ExpiredSessionException ese, SessionKey key) {
        super.onExpiration(s, ese, key);
        this.onInvalidation(key);
    }

    protected void onInvalidation(Session session, InvalidSessionException ise, SessionKey key) {
        super.onInvalidation(session, ise, key);
        this.onInvalidation(key);
    }

    private void onInvalidation(SessionKey key) {
        ServletRequest request = WebUtils.getRequest(key);
        if (request != null) {
            request.removeAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID);
        }

        if (WebUtils.isHttp(key)) {
            log.debug("Referenced session was invalid.  Removing session ID header.");
            this.removeSessionIdHeader(WebUtils.getHttpRequest(key), WebUtils.getHttpResponse(key));
        } else {
            log.debug("SessionKey argument is not HTTP compatible or does not have an HTTP request/response pair. Session ID cookie will not be removed due to invalidated session.");
        }

    }

    protected void onStop(Session session, SessionKey key) {
        super.onStop(session, key);
        if (WebUtils.isHttp(key)) {
            HttpServletRequest request = WebUtils.getHttpRequest(key);
            HttpServletResponse response = WebUtils.getHttpResponse(key);
            log.debug("Session has been stopped (subject logout or explicit stop).  Removing session ID cookie.");
            this.removeSessionIdHeader(request, response);
        } else {
            log.debug("SessionKey argument is not HTTP compatible or does not have an HTTP request/response pair. Session ID cookie will not be removed due to stopped session.");
        }
    }

    public boolean isServletContainerSessions() {
        return false;
    }

重寫CookieRememberMeManger

預設情況下,Shiro會把rememberMe資訊放入set-cookie中,儲存在瀏覽器上。這裡,重寫Cookie方式,把rememberMe資訊放入response header中。
建立 HeaderRememberMeManager 類並extends AbstractRememberMeManager ,程式碼如下


//省略 import 資訊
public class HeaderRememberMeManager extends AbstractRememberMeManager {

    private static final transient Logger log = LoggerFactory.getLogger(HeaderRememberMeManager.class);

    // header 中 固定使用的 key
    public static final String DEFAULT_REMEMBER_ME_HEADER_NAME = "remember-me";


    protected void rememberSerializedIdentity(Subject subject, byte[] serialized) {
        if (!WebUtils.isHttp(subject)) {
            if (log.isDebugEnabled()) {
                String msg = "Subject argument is not an HTTP-aware instance.  This is required to obtain a servlet request and response in order to set the rememberMe cookie. Returning immediately and ignoring rememberMe operation.";
                log.debug(msg);
            }

        } else {
            HttpServletResponse response = WebUtils.getHttpResponse(subject);
            String base64 = Base64.encodeToString(serialized);
            // 設定 rememberMe 資訊到 response header 中
            response.setHeader(DEFAULT_REMEMBER_ME_HEADER_NAME, base64);
        }
    }

    private boolean isIdentityRemoved(WebSubjectContext subjectContext) {
        ServletRequest request = subjectContext.resolveServletRequest();
        if (request == null) {
            return false;
        } else {
            Boolean removed = (Boolean) request.getAttribute(ShiroHttpServletRequest.IDENTITY_REMOVED_KEY);
            return removed != null && removed;
        }
    }

    protected byte[] getRememberedSerializedIdentity(SubjectContext subjectContext) {
        if (!WebUtils.isHttp(subjectContext)) {
            if (log.isDebugEnabled()) {
                String msg = "SubjectContext argument is not an HTTP-aware instance.  This is required to obtain a servlet request and response in order to retrieve the rememberMe cookie. Returning immediately and ignoring rememberMe operation.";
                log.debug(msg);
            }

            return null;
        } else {
            WebSubjectContext wsc = (WebSubjectContext) subjectContext;
            if (this.isIdentityRemoved(wsc)) {
                return null;
            } else {
                HttpServletRequest request = WebUtils.getHttpRequest(wsc);
                // 在request header 中獲取 rememberMe資訊
                String base64 = request.getHeader(DEFAULT_REMEMBER_ME_HEADER_NAME);
                if ("deleteMe".equals(base64)) {
                    return null;
                } else if (base64 != null) {
                    base64 = this.ensurePadding(base64);
                    if (log.isTraceEnabled()) {
                        log.trace("Acquired Base64 encoded identity [" + base64 + "]");
                    }

                    byte[] decoded = Base64.decode(base64);
                    if (log.isTraceEnabled()) {
                        log.trace("Base64 decoded byte array length: " + (decoded != null ? decoded.length : 0) + " bytes.");
                    }

                    return decoded;
                } else {
                    return null;
                }
            }
        }
    }

    private String ensurePadding(String base64) {
        int length = base64.length();
        if (length % 4 != 0) {
            StringBuilder sb = new StringBuilder(base64);

            for (int i = 0; i < length % 4; ++i) {
                sb.append('=');
            }

            base64 = sb.toString();
        }

        return base64;
    }

    protected void forgetIdentity(Subject subject) {
        if (WebUtils.isHttp(subject)) {
            HttpServletRequest request = WebUtils.getHttpRequest(subject);
            HttpServletResponse response = WebUtils.getHttpResponse(subject);
            this.forgetIdentity(request, response);
        }

    }

    public void forgetIdentity(SubjectContext subjectContext) {
        if (WebUtils.isHttp(subjectContext)) {
            HttpServletRequest request = WebUtils.getHttpRequest(subjectContext);
            HttpServletResponse response = WebUtils.getHttpResponse(subjectContext);
            this.forgetIdentity(request, response);
        }
    }

    private void forgetIdentity(HttpServletRequest request, HttpServletResponse response) {
    //設定刪除標示
        response.setHeader(DEFAULT_REMEMBER_ME_HEADER_NAME, "deleteMe");
    }

}

重寫ShiroFilterFactoryBean

預設Fileter鏈中,user名稱的過濾器在為登陸狀態下會返回到登入介面,這裡修改一下,為登陸狀態直接放回Json字串,不用跳轉至登入頁面。
如果使用了authc過濾 需要對重寫 FormAuthenticationFilter ,為了適配App客戶端,這裡不推薦使用authc,可以在必須重新驗證使用者登陸資訊時(使用rememberMe資訊登陸無效)預先請求一下服務端或者通過記錄的x-auth-token有效期進行判斷。
新建 MyUserFilter 類 extends UserFilter

public class MyUserFilter extends org.apache.shiro.web.filter.authc.UserFilter {

    // isAccessAllowed return false 執行
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        // 這裡也可以不用儲存 儲存當前request 可在登陸後重新請求當前 request
        this.saveRequest(request);
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.getWriter().write("{\"code\":-1,\"message\":\"no.login\"}");
        return false;
    }

}

新建 MyDefaultFilter enum

// 程式碼 為修改部分 只需要更改 user 執行為新建的 Filter
// 具體程式碼 可檢視 org.apache.shiro.web.filter.mgt.DefaultFilter
public enum MyDefaultFilter {

    user(MyUserFilter.class);

    private final Class<? extends Filter> filterClass;

    private MyDefaultFilter(Class<? extends Filter> filterClass) {
        this.filterClass = filterClass;
    }
}

新建 MyDefaultFilterChainManager 類 extends DefaultFilterChainManager 

public class MyDefaultFilterChainManager extends DefaultFilterChainManager {

    protected void addDefaultFilters(boolean init) {

        //使用我們建立的 DefaultFilter
        MyDefaultFilter[] var2 = MyDefaultFilter.values();
        int var3 = var2.length;

        for (int var4 = 0; var4 < var3; ++var4) {
            MyDefaultFilter defaultFilter = var2[var4];
            super.addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);
        }

    }

}

新建 MyShiroFilterFactoryBean 類 extends ShiroFilterFactoryBean

public class MyShiroFilterFactoryBean extends ShiroFilterFactoryBean {

    protected FilterChainManager createFilterChainManager() {
        // 只要修改這裡 使用我們建立的 DefaultFilterChainManager
        MyDefaultFilterChainManager manager = new MyDefaultFilterChainManager();

        //省略程式碼  請在 ShiroFilterFactoryBean 中 copy
    }
    // 預設的private方法 需在 ShiroFilterFactoryBean 中 copy
}

修改配置資訊,指向重寫類

這裡只展示和上述有關的配置資訊,採用的註解@Bean 方式

    @Bean(name = "rememberMeManager")
    public HeaderRememberMeManager rememberMeManager() {
        HeaderRememberMeManager headerRememberMeManager = new HeaderRememberMeManager();
        // base64Encoded 自行生成一個 用於rememberMe加密
        headerRememberMeManager.setCipherKey(base64Encoded);
        return headerRememberMeManager;
    }

    @Bean
    public DefaultHeaderSessionManager defaultWebSessionManager(SessionDAO sessionDAO) {
        DefaultHeaderSessionManager defaultHeaderSessionManager = new DefaultHeaderSessionManager();
        // 設立不使用 調取器驗證 session 是否過期 作者使用了 redis ,這裡根據SessionDAO實際情況設定
        defaultHeaderSessionManager.setSessionValidationSchedulerEnabled(false);
        defaultHeaderSessionManager.setSessionDAO(sessionDAO);
        return defaultHeaderSessionManager;
    }

    @Bean(name = "shiroFilter")
    public MyShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        // 使用自行建立的 FactoryBean
        MyShiroFilterFactoryBean shiroFilterFactoryBean = new MyShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setFilterChainDefinitions("/api/v1/login = anon\n" +
                "/ = anon\n" +
                "/api/v1/website/article/** = anon\n" +
                "/api/v1/** = cors,user\n");
        return shiroFilterFactoryBean;
    }
@Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(                                                               DefaultHeaderSessionManager sessionManager,
                                                               RememberMeManager rememberMeManager) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //其他配置這裡未列出
        //DefaultHeaderSessionManager 重寫的 sessionManager
        defaultWebSecurityManager.setSessionManager(sessionManager);
        // rememberMeManager 重寫的 rememberMeManager
        defaultWebSecurityManager.setRememberMeManager(rememberMeManager);
        SecurityUtils.setSecurityManager(defaultWebSecurityManager);
        return defaultWebSecurityManager;
    }

完成以上配置資訊就可以在 把sessionid或者rememberMe寫入response header中和在 request header中讀取,session超時自動銷燬時間前端需和服務端保持一致,rememberMe有效時間由前端自行控制。

結束

本文介紹了一些專案中使用shiro的技巧,如果有錯誤或者有更好的方式,希望能與筆者聯絡,筆者QQ:296604153。

相關推薦

Shiro請求獲取sessionId以及rememberMe資訊

本文介紹的內容需要對Shiro有一定了解,學習Shiro可檢視跟開濤我學Shiro 解決問題步驟 重寫 DefaultWebSessionManager 命名為 DefaultHeaderSessionManager; 重寫 CookieRemembe

Shiro(3) controller獲取當前登入使用者資訊

//Shiro controller中獲取當前登入使用者資訊 方式一: @RequestMapping(value = "/competitorPageList" ) public String competitorPageList(Mod

WebAPi獲取請求對應鍵值

true 獲取 name urn header req ssa string key /// <summary> /// 依據鍵獲取請求頭中值數據 /// </summary> ///

HTTP 請求的 X-Forwarded-For,X-Real-IP

進行 gnu 防止 cal 截取 雲服務器 sta 分配 wow X-Forwarded-For 在使用nginx做反向代理時,我們為了記錄整個的代理過程,我們往往會在配置文件中做如下配置: location / { 省略...

Http請求請求

今天用到HEAD方法,有必要對請求方法做一個瞭解。 根據HTTP標準,HTTP請求可以使用多種請求方法。 HTTP1.0定義了GET、POST和HEAD三種方法,也是我現在用到的三個方法。 HTTP1.1加了OPTIONS PUT DELETE TRACE和CONNECT方法。

Http 請求 X-Requested-With 的含義

昨天看程式碼的時候,看到了這個一句 String requestedWith = ((HttpServletRequest) request).getHeader("X-Requested-With"); X-Requested-With 看到這個玩意並不知道是啥 於是查了一下 if

http請求Referer的含義和作用

<div class="htmledit_views">                 <p style="line-height:1.55;"></p><h1 style="font-weight:500;color:rgb(51

Ajax 請求常見content-type

四種常見的 POST 提交資料方式 HTTP 協議是以 ASCII 碼傳輸,建立在 TCP/IP 協議之上的應用層規範。規範把 HTTP 請求分為三個部分:狀態行、請求頭、訊息主體。協議規定 POST 提交的資料必須放在訊息主體(entity-body)中,但協議並沒有規定

HTTP請求的Content-type對資料的影響-Android

        最近幾天有點鬱悶,不是因為別人,而是覺得自己做開發兩年時間了,有些基本的東西還是模模糊糊的,導致工作過程在非常被動,而且效率不太如意,公司最近做一個專案,需要跟其它公司的後臺做對接,不得不說,後臺不在自己公司,對接起來效率真的低很多!下面說下問題!一、首先,下

Java獲取時間以及java.util和java.sql之間時間日期的轉換

目錄 一、獲取時間和日期 通過java.util從系統獲取當前時間 通過java.sql型別資料獲取時間 將字串轉換成java.util.Date型別資料 將毫秒數轉換成java.util.Date型別資料 二、資料庫中儲存日期的三種資料型別 三、資料庫中三種資料對應

android 從資源獲取陣列以及ArrayAdapter

原文轉自: 除了在Java程式碼中定義陣列,Android還提供了在資源中定義陣列,然後在Java程式碼中解析資源,從而獲取陣列的方法。實際開發中,推薦將資料存放在資原始檔中,以實現程式的邏輯程式碼與資料分離,便於專案的管理,儘量減少對Java程式碼的修改。 在資源中

使用Vue2.0在http請求新增token(詳解含程式碼)

使用Vue在http請求頭中新增token 用到的技術:Vue, Vue-router, axios, Vuex 1.在Login.vue中通過傳送http請求獲取token //根據api介面獲取token submitForm (formName) { this.$

HTTP請求各欄位解釋

Accept : 瀏覽器(或者其他基於HTTP的客戶端程式)可以接收的內容型別(Content-types),例如 Accept: text/plain Accept-Charset:瀏覽器能識別的字符集,例如 Accept-Charset: utf-8 Accept-Encoding:瀏覽器可

Http 請求的 Proxy-Connection

提醒:本文最後更新於 1350 天前,文中所描述的資訊可能已發生改變,請謹慎使用。 平時用 Chrome 開發者工具抓包時,經常會見到 Proxy-Connection 這個請求頭。之前一直沒去了解什麼情況下會產生它,也沒去了解它有什麼含義。最近看完《HTTP 權威指南》第四章「連線管理」和第六

[iOS] 從url獲取檔名以及字尾

//這裡有一個模擬器沙盒路徑(完整路徑) NSString* [email protected]"/Users/junzoo/Library/Application Support/iPhone Simulator/7.0.3/Applications/63925F20-

iOS 使用AFNetworking 3.1.0如何在請求加入cookie

我們在使用AFNetworing 的時候, 公司對資料的處理有些是對請求資料的引數進行一些加密而有些是在請求之前在請求頭中加入cookie來處理,這樣當用戶登入之後就不需要再傳一些引數對後續資料進行請求,只需要一個cookie和URL就可以搞定資料請求了,目前我們大多數請求都是遵循http協議,不清楚的童

請求Requst獲取訪問請求的客戶端IP

請求Requst中獲取訪問請求的客戶端IP 在JSP裡,獲取客戶端的IP地址的方法是:request.getRemoteAddr(),這種方法在大部分情況下都是有效的。但是在通過了Apache,Squid,nginx等反向代理軟體就不能獲取到客戶端的真實IP地址了。 如果使

iOS請求新增引數

AFHTTPSessionManager *manager = [[AFHTTPSessionManager alloc] init]; //向請求頭中新增引數 //vType為引數名,1為引數的值 [manager.requestSerializer setValue:@

ios開發:AFNetworking3+在請求新增UserAgent方法

找到檔案:AFURLRequestSerialization.m 搜尋"userAgent"所在位置, 然後修改即可 userAgent = [NSString stringWithFormat:@

Axios請求常見的幾種Content-Type

  Vue2.0之後,官方不再繼續維護vue-resource,尤雨溪大大推薦使用Axios用來替代Ajax。   Axios請求頭中的Content-Type常見的有3種:     1.Content-Type:application/json     2.Content-Type:application/