要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。
实现步骤 有一些代码是在其他人的博客里面复制的
在原来的使用sessionId的项目基础上做以下修改:
- 增加SessionManager要求继承DefaultWebSessionManager。
package com.llx.studio.config.shiro;
import org.apache.commons.lang.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;
public class ShiroSessionManager extends DefaultWebSessionManager {private static final String AUTHORIZATION = "authToken";
private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
public ShiroSessionManager(){
super();
}@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response){
String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
if(StringUtils.isEmpty(id)){
//如果没有携带id参数则按照父类的方式在cookie进行获取return super.getSessionId(request, response);
}else{
//如果请求头中有 authToken 则其值为sessionId
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID,id);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,Boolean.TRUE);
return id;
}
}
}
- 在ShiroConfiguration 配置文件里面添加以下内容
/**
* 自定义sessionManager
* @return
*/
@Bean
public SessionManager sessionManager(){
ShiroSessionManager shiroSessionManager = new ShiroSessionManager();
//这里可以不设置。Shiro有默认的session管理。如果缓存为Redis则需改用Redis的管理
shiroSessionManager.setSessionDAO(sessionDAO());
return shiroSessionManager;
}@Bean
public SessionDAO sessionDAO() {
return new MemorySessionDAO();
//使用默认的MemorySessionDAO
}
3 在继承AuthorizingRealm的自定义Realm 里添加以下内容
使用spring容器获取sessionDAO 主要是用来获取所有会话(getActiveSessions)的
@Autowired
private SessionDAO sessionDAO;
doGetAuthenticationInfo方法下
//获取所有session
Collection activeSessions = sessionDAO.getActiveSessions();
//判断用户是否与登入
for (Session s : activeSessions){
JSONObject attribute = (JSONObject)s.getAttribute(Constants.SESSION_USER_INFO);
//如果有登入,则销毁session
if (attribute.getString("userName").equals(loginName)) s.stop();
}
- 登入成功后直接获取SessionID,并放到body里面
currentUser.login(token);
Serializable id = currentUser.getSession().getId();
info.put("token", id);
缺点 【spring|springboot shiro 实现token】他还是会设置cookie,我不知道怎么让shiro不是向cookie里面设置值,改成在body里面,所有我现在了同时都设置。有知道的小伙伴可以告诉我,谢谢观看!
推荐阅读
- =======j2ee|spring用注解实现注入的@resource,@autowired,@inject区别
- jar|springboot项目打成jar包和war包,并部署(快速打包部署)
- 数据库|效率最高的Excel数据导入---(c#调用SSIS Package将数据库数据导入到Excel文件中【附源代码下载】)...
- java人生|35K 入职华为Java开发那天,我哭了(这 5 个月做的一切都值了)
- Java毕业设计项目实战篇|Java项目:在线嘿嘿网盘系统设计和实现(java+Springboot+ssm+mysql+maven)
- 微服务|微服务系列:服务发现与注册-----Eureka(面试突击!你想了解的Eureka都在这里.持续更新中......)
- java|ApplicationListener和SpringApplicationRunListener的联系
- Spring|SpringSecurity--自定义登录页面、注销登录配置
- 性能|性能工具之 Jmeter 通过 SpringBoot 工程启动
- 代码狂魔|Spring源码分析之IOC容器初始化流程