2. 程式人生 > >shiro 前後端分離框架 使用者登入解決方案

shiro 前後端分離框架 使用者登入解決方案

阿新 發佈:2019-01-09

介紹

最近公司要原本springmvc+shiro 許可權控制的一個專案,改為前後端分離的,使前端人員能有更多時間來做前端的互動工作,提升使用者體驗。

但是這個問題就來了,原來沒有分離的情況下,shiro 許可權是通過憑證來登入的,現在需要更改為前端ajax提交登入資訊來登入,於是更改了shiro的登入方式,這裡做一個記錄。

@RequestMapping(value="/userLogin",method=RequestMethod.GET)
    @ResponseBody
    public ResultSuperApp superAppLogin(HttpServletRequest request) throws Exception{
        String username = request.getParameter
 
("username");
        String password = request.getParameter("password");
        String error="未知錯誤異常";
        if(null == username || null == password ){
            return ResultSuperApp.getFailureInstance("引數為空", 300);
        }
        try {
            Subject currentUser = SecurityUtils.getSubject
 
();  
            UsernamePasswordToken token = new UsernamePasswordToken(username,password, false,request.getRemoteAddr());  
            currentUser.login(token);


            Subject subject = SecurityUtils.getSubject();
            String sessionId = (String) subject.getSession().getId();

            /*//無Redis伺服器,臨時性解決token
            String Json = new Gson().toJson(token);
            byte[] encodeBase64 = Base64.encodeBase64(Json.getBytes("UTF-8"));
            String  base64 = new String(encodeBase64);//Base64值*/
 

            ActiveUser activeUser = ShiroUtil.getActiveUser();
            return ResultSuperApp.getSuccess(activeUser, "登入成功", 200, sessionId);
            //SecurityUtils.getSubject().getSession().setTimeout(-1000l);
        } catch (Exception e) {
            //根據與異常資訊丟擲對應的異常
            if(e.getClass().getName()!=null){
                if(UnknownAccountException.class.getName().equals(e.getClass().getName())){
                    //丟擲賬號不存在異常
                    error="賬號不存在";
                    }else    if(IncorrectCredentialsException.class.getName().equals(e.getClass().getName())){
                            //
                    //throw new CustomException("密碼錯誤");
                    error = "使用者名稱密碼錯誤";
                }else{
                    //密碼錯誤
                    //throw new CustomException("未知錯誤異常");
                    error = "未知錯誤異常";
                }
            }
            return ResultSuperApp.getFailureInstance(error, 499);
        }
    }

注意:以上程式碼註釋掉的部分是返回登入的token資訊,之後每次前端請求的時候,引數都需要帶著這個token。
放開的程式碼片段是登入後,返回shiro的sessionid,前端在cookie裡儲存一下這個sessionid,每次請求的時候引數中都需要加上sessionid。
兩種方式都可以使用,但是本人推薦返回sessionid 的方式,因為前端給了sessionid 之後,我們只需要在服務中通過sessionid 獲取shiro的session資訊,然後就能獲取到shiro對應的使用者資訊。而使用token的這種方式的話,每次前端請求過來,後端都需要根據這個token再登入一下。兩者的區別就在這裡。

獲取使用者資訊(根據sessionid)

import java.util.ArrayList;
import java.util.List;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.SessionKey;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.support.DefaultSubjectContext;
import org.apache.shiro.web.session.mgt.WebSessionKey;
import org.springframework.beans.factory.annotation.Autowired;

import com.eaju.bos.dao.mapper.DownloadCenterMapper;
import com.eaju.bos.dao.mapper.SonUserMapper;
import com.eaju.bos.dao.mapper.SysUserMapper;
import com.eaju.bos.entity.SysUser;
import com.eaju.bos.vo.ActiveUser;
import com.eaju.bos.vo.UserCustom;

/**
 * 
 */
public class ShiroUtil {


    /**
     * 
     * <p>description: 獲取ActiveUser並儲存至session中一份</p>
     * @return
     * @date 2016年8月15日 下午3:37:23
     * @author MrDuan
     */
    public static ActiveUser getActiveUser(){
        //從shiro的session中取出activeUser
        Subject subject = SecurityUtils.getSubject();
        //取出身份資訊
        ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
        if(activeUser!=null){
            Session session = subject.getSession();
            ActiveUser user = (ActiveUser) session.getAttribute("user");
            if(user==null){
                session.setAttribute("user", activeUser);
            }
            return activeUser;
        }else{
            return null;
        }
    }

    /**
     * 根據sessionid 獲取使用者資訊
     * @param sessionID
     * @param request
     * @param response
     * @return
     */
    public static ActiveUser getActiveUser(String sessionID,HttpServletRequest request,HttpServletResponse response) throws Exception{
        boolean status = false;
        SessionKey key = new WebSessionKey(sessionID,request,response);
        Session se = SecurityUtils.getSecurityManager().getSession(key);
        Object obj = se.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
        //org.apache.shiro.subject.SimplePrincipalCollection cannot be cast to com.hncxhd.bywl.entity.manual.UserInfo
        SimplePrincipalCollection coll = (SimplePrincipalCollection) obj;
        ActiveUser activeUser = (ActiveUser)coll.getPrimaryPrincipal();

        if(activeUser!=null){
            ActiveUser user = (ActiveUser) se.getAttribute("user");
            if(user==null){
                se.setAttribute("user", activeUser);
            }
            return activeUser;
        }else{
            return null;
        }

    }


}

sessionid 方式 Controller裡獲取使用者資訊

ActiveUser activeUser = null ;
        try {
            activeUser = ShiroUtil.getActiveUser(token, request, response);
        } catch (Exception e1) {
            if(UnknownSessionException.class.getName().equals(e1.getClass().getName())){
                //丟擲使用者獲取失敗異常
                retJsono.put("info", "使用者獲取失敗!");
                retJsono.put("returnCode",1000);
                return retJsono;
            }else{
                retJsono.put("info", "內部錯誤!");
                retJsono.put("returnCode",500);
                return retJsono;
            }
        }

注意: 這裡是舉個例子,獲取方式就是這個樣子,ActiveUser 是你們自己存在shiro session裡的使用者實體,大家自己修改為自己的就可以了。

獲取使用者資訊(token方式,每次請求過來都需要登入一下,不太推薦)

//登入獲取使用者資訊
    private ActiveUser loginToken(HttpServletRequest request) {
        String token = request.getParameter("token");
        Subject currentUser = SecurityUtils.getSubject();
        byte[] decodeBase64 = Base64.decodeBase64(token);
        String stringtoken = new String(decodeBase64);//Base64值
        currentUser.login(new Gson().fromJson(stringtoken, UsernamePasswordToken.class));
        ActiveUser activeUser = ShiroUtil.getActiveUser();
        return activeUser;
    }

為什麼這麼做?
因為前後端分離後,前後端可能會部署在不同的伺服器上面,會跨域,前端每次請求時,都會是一次新的請求,所以前端需要記住一個使用者的標識,每次請求資料都傳給後端。後端才能知道是哪個使用者。

以上均為個人想法,大家有好的意見或者建議,我會修改。

相關推薦

shiro 前後分離框架 使用者登入解決方案

介紹 最近公司要原本springmvc+shiro 許可權控制的一個專案,改為前後端分離的,使前端人員能有更多時間來做前端的互動工作,提升使用者體驗。 但是這個問題就來了,原來沒有分離的情況下,shiro 許可權是通過憑證來登入的,現在需要更改為前端ajax

Vue微信授權登入前後分離較為優雅的解決方案

微信授權登入是一個非常常見的場景,利用微信授權登入,我們可以很容易獲取使用者的一些資訊,通過使用者對公眾號的唯一openid從而建立資料庫繫結使用者身份. 微信授權登入的機制這裡不做詳述,微信官方文件已有詳述,簡述就是通過跳轉微信授權的頁面,使用者點選確認後

前後分離跨域問題解決方案

宣告: 在以往的開發中,前後端分離也不是像現在這麼熱門,所謂的前端工程師也只不過是寫好靜態頁面由Java工程師或者php工程師嵌入到頁面中進行開發,這或許加重了這些工程師的工作量,而且在樣式除錯上由純html程式碼到jsp,asp,php除錯起來要兩個工程師一

前後分離 SpringBoot + SpringSecurity 許可權解決方案

一、前言 而公司這邊都是前後端分離鮮明的,前端不要接觸過多的業務邏輯,都由後端解決,基本思路是這樣的: 服務端通過 JSON字串,告訴前端使用者有沒有登入、認證,前端根據這些提示跳轉對應的登入頁、認證頁等。 二、程式碼 下面給個示例,該自上述的之

webpack 前後分離開發介面除錯解決方案,proxyTable解決方案

如果你有單獨的後端開發伺服器 API,並且希望在同域名下發送 API 請求 ,那麼代理某些 URL 會很有用。 dev-server 使用了非常強大的 http-proxy-middleware 包。更多高階用法,請查閱其文件。 在 localhost:3000 上有後端服務的話,你可以這樣啟用代理:

前後分離跨域問題解決方案(在server設定header)

import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; i

shiro,基於springboot,基於前後分離,從登入認證到鑑權,從入門到放棄

這個demo是基於springboot專案的。 名詞介紹: ShiroShiro 主要分為 安全認證 和 介面授權 兩個部分,其中的核心元件為 Subject、 SecurityManager、 Realms,公共部分 Shiro 都已經為我們封裝好了,我們只需要按照一定的規則去編寫響應的程式碼即可…

jsp----前後分離---框架---web應用的構建

java勸退教程-作業系統篇(三) 本篇文章,我們來講講技術,系統演進的過程對我們java開發帶來的影響。本文可能會涉及到一些技術名詞,不懂沒有關係,先混個眼熟,我們後面會一個個詳細介紹。下面會列舉三個不同時期的技術,因為同時期也會有各種各樣的技術,所以我們只介

ASP.NET Core 實戰:使用 ASP.NET Core Web API 和 Vue.js,搭建前後分離框架

前言         這幾年前端的發展速度就像坐上了火箭,各種的框架一個接一個的出現,需要學習的東西越來越多,分工也越來越細,作為一個 .NET Web 程式猿,多瞭解瞭解行業的發展,讓自己擴展出新的技能樹,對自己的職業發展還是

關於.net專案前後分離框架(一)

.net前後端分離專案,主要就是呼叫WebApi介面實現連線。 主要程式需要AJAX實現, $.ajax({ type: 'post', url:  '/api/Controller/action', data: { UserGuid: userguid}, async: true, succ

前後分離微信登入實現思路

微信第三方登入前後端分離實現思路 前端實現 這裡說一下前後端的思路,頁面載入時宣告一個變數state=‘時間戳+6位隨機數’, 前端路徑生成二維碼, 其中有個state引數需要我們傳遞,這個引數你傳什麼,微信回撥的時候就會給你返回什麼。 我們用之前生成那個st

django前後分離csrf驗證的解決方法

django前後端分離csrf的解決方法 第一種方式ensure_csrf_cookie 這種方方式使用ensure_csrf_cookie 裝飾器實現,且前端頁面由瀏覽器傳送檢視請求,在檢視中使用render渲染模板,響應給前端,此時這個渲染模板的檢

前後分離 跨域問題解決

跨域的實現原理 http 跨域請求後端服務的時候會在請求頭中帶上如下資訊 Origin: http://api.jijs.com 後端伺服器需要在http的響應頭中新增以下響應頭 Access-Control-Allow-Origin : htt

前後分離框架

issue 處理動作 操作 語言 創新 ont pos 研究 不用 原文轉自 https://www.cnblogs.com/shanrengo/p/6397734.html 前言:分離模式   對前後端分離研究了一段時間,恰逢公司有一個大項目決定嘗試使用前後端分離

一套基於SpringBoot+Vue+Shiro 前後分離 開發的程式碼生成器

一、前言 最近花了一個月時間完成了一套基於Spring Boot+Vue+Shiro前後端分離的程式碼生成器,目前專案程式碼已基本

【筆記】vue+springboot前後分離實現token登入驗證和狀態儲存的簡單實現方案

簡單實現 token可用於登入驗證和許可權管理。 大致步驟分為: 前端登入,post使用者名稱和密碼到後端。 後端驗證使用者名稱和密碼,若通過,生成一個token返回給前端。 前端拿到token用vuex和localStorage管理,登入成功進入首頁。 之後前端每一次許可權操作如跳轉路由,都需要判斷是否存

Spring Security OAuth2.0認證授權六:前後分離下的登入授權

歷史文章 > [Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://blog.kdyzm.cn/post/24) > [Spring Security OAuth2.0認證授權二:搭建資源服務](https://blog.kdyzm.cn/post/25)

前後互動跨域問題解決方案,跨域資源共享(CORS)

跨域資源共享(CORS) 普通跨域請求:只服務端設定Access-Control-Allow-Origin即可,前端無須設定,若要帶cookie請求:前後端都需要設定。 需注意的是:由於同源策略的限制,所讀取的cookie為跨域請求介面所在域的cookie,而非當前頁。如

前後分離的SpringBoot專案中整合Shiro許可權框架

出自 目錄 專案背景 解決方案 參考文章 專案背景        公司在幾年前就採用了前後端分離的開發模式,前端所有請求都使用ajax。這樣的專案結構在與CAS單點登入等許可權管理框架整合時遇到了很多問題,使得許可權部分的程式碼冗長醜陋,CAS的各種重定向也使得使

shiro配置 在springboot中前後分離中,整合shiro認證授權框架

一:介紹     Apache Shiro是Java的一個安全框架。由於它相對小而簡單,現在使用的人越來越多。     Authentication:身份認證/登入,驗證使用者是不是擁有相應的身份。     Authorization:授權,即許可權驗證,驗證某個已認證