关于shiro 的 session和无状态同时存在时实现思路

关于shiro包含session和无状态同时存在时实现思路

第一步创建无状态使用的token
第二步写mobileUserRealm 和userRealm
第三步重写sessionfactory
第四步创建拦截请求的filter
第五步配置shiro.xml
第六步配置web.xml
重写的sessionStorge

以前概念里，关于客户端登录，没有cookieId，需要手动记录保存sessionid。
在看了shiro教程以后，了解了无状态的web应用集成
即服务端无状态，服务器端不会存储像会话这种东西，而是每次请求带上相应的用户名进行登录。
具体实现：
1、教程上讲，客户端每次申请一个token，token一次性，只能用一次。
2、服务器记录下这些token，如果之前用过就是非法请求。
关于token，本文用的是无限制的，可以用很多次。当然，一个token只能使用一次的更为安全。目前想到的，
使用一次的方案为：时间戳加固定字符串进行编码。服务端进行解码验证，
判断时间戳的时效性来判断token是否真实有效。

第一步创建无状态使用的token

目的，根据token调用不同的relam。

	public class NoStatelessToken implements AuthenticationToken {private String username;private String params;.....}

第二步写mobileUserRealm 和userRealm

	public class MobileUserRealm extends BaseAuthorizingRealm {//注入用到的所有服务		public MobileUserRealm() {//根据realm绑定的token不同，登录时自动调用相关realm进行登录super();setAuthenticationTokenClass(NoStatelessToken.class);}protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {NoStatelessToken noStatelessToken = (NoStatelessToken) token;String username= noStatelessToken.getusername();//使用jwt初始化验证得到用户User user = jwtService.getusername(username);if (user.getStatus() == Status.DENY || user.getStatus() == Status.DELETE) {throw new DisabledAccountException("帐号被禁用");}SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, authToken, getName());return info;}}

public class UserRealm extends BaseAuthorizingRealm {public UserRealm() {setAuthenticationTokenClass(UsernamePasswordToken.class);}protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;String username = token.getUsername();String password = new String((char[]) authenticationToken.getCredentials());User user = userService.findByPhone(username);if (user == null) {throw new MyException("用户不存在");}boolean check = true;if (username.equals(TEST_PHONE) && TEST_CODE.equals(password)) {check = true;}if (!check) {throw new UnknownAccountException("验证码错误！");}if (user.getStatus() == Status.DENY || user.getStatus() == Status.DELETE) {throw new DisabledAccountException("帐号被禁用");}logger.debug("用户{}登录成功", username);SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, getName());//同步user信息到，这一步可以不必做，上一步登录成功会自动同步。UserUtil.setUser(user);return info;}
}


public abstract class BaseAuthorizingRealm extends AuthorizingRealm {//授权protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {if (principalCollection == null) {throw new AuthorizationException("PrincipalCollection method argument cannot be null.");}User user = (User) principalCollection.getPrimaryPrincipal();User one = userService.get(user.getId());List<String> roleList = new ArrayList<>();if(one.getStatus() == Status.ALLOW){roleList = roleService.listRoleSnByUser(user.getId(), Status.ALLOW.getStatus());}logger.info("----BaseAuthorizingRealm + roleList----"+roleList);List<String> authorityList = new ArrayList<>();List<Integer> list =  roleService.listIdByUserIdAndFirstDepIdAndUserType(user.getId(), user.getFirstDepId(),Status.ALLOW.getStatus(),user.getUserType());if (list != null && list.size() > 0) {for (Integer integer : list) {List<String> params = authorityService.listParamsByRoleId(integer,  Status.ALLOW.getStatus());authorityList.addAll(params);}}SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setRoles(new HashSet<>(roleList));info.setStringPermissions(new HashSet<>(authorityList));return info;}//清除权限缓存public void refreshCache(RolePermissionEvent event){switch (event.getType()){case PERMISSION:Cache<Object, AuthorizationInfo> authorizationCache = getAuthorizationCache();if(authorizationCache != null){getAuthorizationCache().clear();}logger.info("------------清除全部用户权限----------"+authorizationCache);break;case USER:User user = userService.get(event.getUserId());String realmName = getName();PrincipalCollection principals = new SimplePrincipalCollection(user, realmName);if(principals != null){clearCachedAuthorizationInfo(principals);}logger.info("------------清除单个用户权限----------"+user);break;default:break;}}
}

第三步重写sessionfactory


public class MyselfSubjectFactory extends DefaultWebSubjectFactory {@Overridepublic Subject createSubject(SubjectContext context) {//没有经过shirofilter的请求，无法强转为webSubjectContext。涉及到shiro自带的包装if (!(context instanceof WebSubjectContext)) {return super.createSubject(context);}WebSubjectContext webSubjectContext = (WebSubjectContext)context;HttpServletRequest request = (HttpServletRequest) webSubjectContext.getServletRequest();//登录状态下，不创建session不保存用户信息。 如果不加这个，会导致request为null，这个有疑点，探究后再来完善。if (!context.isAuthenticated()) {if (UserAgentUtil.isClient( request)) {//不创建sessioncontext.setSessionCreationEnabled(false);} else {//创建sessioncontext.setSessionCreationEnabled(true);}}return super.createSubject(context);}

第四步创建拦截请求的filter

目的，区分开pc和客户端，pc还是用最基础的有session的方式，用浏览器自带cookie存储session实现用户信息会话范围内共享。

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {//手机端进行拦截，pc端直接放过if (UserAgentUtil.isClient((HttpServletRequest) request))) {//判断该请求是否登录可选，将其放入request中以做后续处理request.setAttribute(OPTIONAL,mappedValue==null?false:true);
//           if (mappedValue!=null){
//               return true;
//           }//进入下一步处理return false;} else {return true;}}protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {//业务处理，解析token//根据token信息拿到用户信息//进行subject.login 登录  NoStatelessToken 是自己定义的token，定义这个token为了区分开pc的usernamepasswordtoken，//然后调用不同的realmgetSubject(request, response).login(new NoStatelessToken(token, siteDto));
}

第五步配置shiro.xml

shiro基本配置不再重复，新增的配置展示如下：

	<bean id ="subjectFactory" class="自己项目路径的MyselfSubjectFactory"/><bean id="statelessAuthcFilter" class="自己项目路径的MobileFilter"/><bean id="userRealm" class="自己项目路径的UserRealm"><!--<property name="rolePermissionResolver" ref="userRolePermissionResolver"/>--><property name="credentialsMatcher" ref="credentialsMatcher"/></bean><bean id="mobielUserRealm" class="自己项目路径的MobileUserRealm"><property name="credentialsMatcher" ref="credentialsMatcher"/><property name="authorizationCachingEnabled" value="false"/></bean><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realms"><list><ref bean="userRealm"/><ref bean="mobielUserRealm"/></list></property><property name="subjectDAO">//稍后解释，为什么重写sessionStorageEvaluator<bean class="org.apache.shiro.mgt.DefaultSubjectDAO"><property name="sessionStorageEvaluator" ref="customeSessionStorge"/></bean></property><property name="sessionManager" ref="sessionManager"/><property name="cacheManager" ref="redisCacheManager"/><property name="subjectFactory" ref="subjectFactory"/></bean><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager"/><property name="loginUrl" value="/login"/><property name="filters"><util:map><entry key="statelessAuthc" value-ref="statelessAuthcFilter"/></util:map></property><property name="filterChainDefinitions"><value># some example chain definitions:# more URL-to-FilterChain definitions here/m = anon/news/list = statelessAuthc[optional]# 所有过shirofilter的请求，都走pc和客户端的验证 authc 默认验证是userrealm/** = statelessAuthc,authc</value></property></bean>

配置请求用的/**方式，使用下来觉得不妥，还是给方法加统一前缀，这样配置起来更简单明了。

第六步配置web.xml

	<filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><async-supported>true</async-supported><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

为什么我要把web.xml的配置贴出来，是因为，这个shiroFilter拦截的所有的请求，项目路径下面的静态文件也过了shirofilter，造成静态资源也创建了subject，还是能创建session的subject，并且缓存了用户的登录后的信息。

重写的sessionStorge

在项目里只用到无状态的情况下，这个可以参考shiro教程的方法，配置shiro.xml即可，但是有两种情况时既有无状态，又有有session的，
需要重写区分修改配置文件如下：

	//配置文件的方式<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="statelessRealm"/>//在这里设置<property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled" value="false"/><property name="subjectFactory" ref="subjectFactory"/><property name="sessionManager" ref="sessionManager"/></bean>

	//重写sessionstorage的方式
public class CustomeSessionStorge extends DefaultWebSessionStorageEvaluator{@Overridepublic boolean isSessionStorageEnabled(Subject subject) {if(subject instanceof WebSubject){HttpServletRequest request = (HttpServletRequest) ((WebSubject) subject).getServletRequest();if (UserAgentUtil.isClient( request) ) {return false;}}return super.isSessionStorageEnabled(subject);}
}

贴下源码，默认的是如何存储的。。。app不带token时却能拿到身份信息，原因就在这里，存储了用户信息。

 @SuppressWarnings({"SimplifiableIfStatement"})@Overridepublic boolean isSessionStorageEnabled(Subject subject) {if (subject.getSession(false) != null) {//use what already existsreturn true;}//没有session，切为false的时候才不存储用户身份信息，实则一一个坑。if (!isSessionStorageEnabled()) {//honor global setting:return false;}//SHIRO-350: non-web subject instances can't be saved to web-only session managers://since 1.2.1:if (!(subject instanceof WebSubject) && (this.sessionManager != null && !(this.sessionManager instanceof NativeSessionManager))) {return false;}return WebUtils._isSessionCreationEnabled(subject);}

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

python实现opencv学习二十：轮廓发现
代码如下：# -*- coding=GBK -*- import cv2 as cv import numpy as np#轮廓发现 def contous_image(image):dst = cv.GaussianBlur(image, (3, 3), 0)gray = cv.cvtColor(dst, cv.COLOR_BGR2GRAY)ret, binary = cv.threshold(gray, 0, 255, cv.THRESH_BINARY | cv.THRESH_OTSU…...
2024/4/14 22:48:52
KD树详解及KD树最近邻算法
参考：http://blog.csdn.net/app_12062011/article/details/51986805http://www.cnblogs.com/snake-hand/archive/2012/08/13/2636236.html2.1、什么是KD树 Kd-树是K-dimension tree的缩写，是对数据点在k维空间（如二维(x，y)，三维(x，y，z)，k维(x1，y，z..)）中划分的一…...
2024/4/14 22:48:51
Tcp通信中服务器处理客户端意外断开！
所谓意外断开，是客户端（多指支持3G的移动设备）并没有正常关闭socket，双方并未按照协议上的四次挥手去断开连接，一般的处理办法都是利用保活机制。而保活机制分又可以让底层实现也可自己实现。一、双方拟定心跳（自实现）一般由客户端发送心跳包，服务端并不回应心跳，只…...
2024/4/27 22:39:59
MySQL卸载及5.7.27安装
卸载第一步：停止原来的MySQL服务，打开任务管理器，找到mysqld的进程名，停止掉。\ 第二步：备份原来数据库的文件，在C:\ProgramData\MySQL 相应的版本目录下面，有data目录，将此目录复制到其他地方备份。第三步：运行MySQL的卸载程序，可以使用360或者QQ电脑管理的软件管…...
2024/4/14 22:48:49
联想昭阳e42-80笔记本u盘启动重装win7系统教程
联想昭阳e42-80笔记本u盘启动重装win7系统?联想昭阳e42-80笔记本配置不错，搭载7代酷睿处理器，运行很稳定，散热效果也不错，不管是办公或者玩游戏都很合适。那么这款联想昭阳e42-80笔记本如何重装系统呢?下面快启动小编就给大家介绍一下联想昭阳e42-80笔记本u盘启动重装win…...
2024/4/14 22:48:49
基于Spring Boot和Shiro的后台管理系统FEBS
FEBS是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring Boot 2.0.3，消除了繁杂的XML配置，使得二次开发更为简单；数据访问层采用Mybatis，同时引入了通用Mapper和PageHelper插件，可快速高效的对单表进行增删改查操作，消除了大量传统X…...
2024/4/14 22:48:47
服务器与普通电脑之间的区别是什么?
1. 稳定性：服务器要求7x24（x365）不间断运行，PC只需要5x8；2. 性能：服务器需要及时响应众多客户端的请求，并提供相应服务，PC一般只由少数人操作；尤其是网络性能，对PC来讲如果不联网，没有网卡，PC仍是PC，而对服务器来讲没有网卡就不是服务器了，因为，服务器的定义就…...
2024/4/14 22:48:46
shiro基础学习(四) shiro与项目整合
转载自：http://www.cnblogs.com/yangang2013/p/5677717.html一、认证1.配置web.xml2.配置applicationContext.xml在applicationContext.xml中配置一个bean，ID和上面的过滤器的名称一致。securityManager: 这个属性是必须的。 loginUrl: 没有登录的用户请求需要登录的页面时自…...
2024/4/27 10:59:57
一次制作U盘启动盘并安装WIN7系统的经历
最近经历了一次颇为波折的安装系统的经历。事情的起因是这样的。我开始的时候是使用的笔记本开发我的微信小程序。我的笔记本是09年买的HP的，之前跑XP的时候速度还可以接受，但后来装了WIN7之后运行的速度慢的要死。于是我就想在我的台式机上也装个小程序开发工具，这样系统运…...
2024/4/14 21:56:37
012 Linux网易云音乐移植安装详解(以centos7、Fedora27为例)
参考文章： centos7安装网易云音乐 http://blog.csdn.net/u010526125/article/details/72526694 结合rpm,rpm2cpio,cpio提取rpm包的特定文件 http://blog.csdn.net/cloud_ll/article/details/20709515 关于libstdc++.so.6这个库与网易云音乐版本不兼容问题https://segmentfault…...
2024/4/18 11:27:01
excel十六进制转化为十进制
excel十六进制转化为十进制工具-加载宏-分析工具库vba函数,勾选后退出Excel在打开就会有工程函数将16进制转换成10进制。=HEX2DEC()指数函数 Power（）...
2024/4/21 4:58:44
2018-04-24-c-gluttonous-snake
titlelayoutcategoriestagsexcerpt贪吃蛇C语言源码与算法分析postC语言贪吃蛇源码 C语言贪吃蛇 gluttonous-snakeC语言贪吃蛇算法详细分析与源代码经典的贪吃蛇游戏算法，无疑是一个较大的挑战，综合性较高，像我这种刚入门C语言的也差不多花了整整一周时间才差不多理解透彻，内…...
2024/4/14 21:56:34
.Snake4444勒索病毒如何删除 .Tiger4444如何恢复文件数据所有*4444后缀文件
什么是.Snake4444勒索病毒.Snake4444是一种高风险病毒，被归类为勒索软件。它是一种名为GlobeImposter3.0 的高风险恶意软件的新变种。该家族的新变体包含且不限于以下后缀：.ox4444后缀勒索病毒 .help4444后缀勒索病毒 .all4444后缀勒索病毒 .china4444后缀勒索病毒 .monkey44…...
2024/4/14 22:48:44
DISM用于Win7部署的实验笔记
2018年2月补充Win10的ADK下载链接：https://developer.microsoft.com/zh-cn/windows/hardware/windows-assessment-deployment-kit好几年前的技术了，最近是真有这个需求了，所以想起来研究一下。目标：批量部署32位Windows 7。Ghost影响KMS激活计数。已有工具：1T 移动硬盘一块…...
2024/4/20 1:22:58
阿里云服务器ECS 第一篇：FTP文件服务器搭建
《第一篇：FTP文件服务器搭建》目前打算将项目部署到阿里云服务器上，并配置系统运行环境，搭建FTP服务器是系统部署的第一步，为了后期文件传输方便快捷，所以从这里开始！！！关于FTP： FTP 是File Transfer Protocol（文件传输协议）的英文简称，而中文简称为“文传协议”…...
2024/4/17 0:11:24
《跟着大宇学Shiro》教程
一、我与Shiro本系列Shiro已经重写，本次重写时间为2018年12月。博主已经在实际项目中接触快Shiro一年，也积累了不少使用心得。文章已经部分转移到了我的专栏里面：跟着大宇学Shiro博客专栏。教程作者：小大宇教程地址：https://blog.csdn.net/yanluandai1985/article/details…...
2024/4/18 23:57:01
VB打造QQ批量登陆器
转载：[url]http://www.oldjun.com[/url] QQ太多，每天要输入真的很麻烦，网上有一些批量的登录器，可是谁也不知道有没有在登录的同时也往作者的邮箱里发一封包含qq号与密码的邮件~ 于是想自己写，因为asp比较熟，所以选择VB，网上找了2个模块，于是可以直接写程序了，以前没写…...
2024/4/14 22:48:40
Java实现十六进制和十进制代码互相转
十六进制转换为十进制代码import java.util.*;public class Transfer {public static void main(String[]args){Scanner input=new Scanner(System.in);String hex=input.nextLine();System.out.println("hex:"+hex.toUpperCase());System.out.println("Decima…...
2024/4/14 22:48:39
【Shiro】Shiro从小白到大神(一)-Shiro入门
本系列是我在学习Shiro的路上的笔记，第一篇是属于非常入门级别的。首先是介绍了下shiro，然后进行了一个小例子进行实际的操作本节操作不涉及数据库，只是文本字符操作认证 Shiro简介:百度百科上的介绍: Apache Shiro（日语“堡垒（Castle）”的意思）是一个强大易用的J…...
2024/4/18 10:25:35
Webus Fox（1）免安装的在线教学、视频会议软件（含文本、语音、视频聊天、电子白板）
Webus Fox是基于网页的在线教学、视频会议软件，不用安装，直接使用。它提供文本、语音、视频聊天，文件共享、电子白板等功能。1. 登录访问 http://flash.webus.cn/#，用自己的名字登录：可以同时登录二个不同的帐号体验后面的功能登录后，点击允许语音、视频：2. 文件共享、电…...
2024/4/14 22:48:37

关于shiro 的 session和无状态同时存在时实现思路

关于shiro包含session和无状态同时存在时实现思路

第一步创建无状态使用的token

第二步写mobileUserRealm 和userRealm

第三步重写sessionfactory

第四步创建拦截请求的filter

第五步配置shiro.xml

第六步配置web.xml

重写的sessionStorge

相关文章

最新文章

关于shiro 的 session和无状态同时存在时实现思路

关于shiro包含session和无状态同时存在时实现思路

第一步 创建无状态使用的token

第二步 写mobileUserRealm 和userRealm

第三步重写sessionfactory

第四步 创建拦截请求的filter

第五步 配置shiro.xml

第六步 配置web.xml

重写的sessionStorge

相关文章

最新文章

第一步创建无状态使用的token

第二步写mobileUserRealm 和userRealm

第四步创建拦截请求的filter

第五步配置shiro.xml

第六步配置web.xml