spring|springboot shiro 实现token

要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。
实现步骤 有一些代码是在其他人的博客里面复制的
在原来的使用sessionId的项目基础上做以下修改:

  1. 增加SessionManager要求继承DefaultWebSessionManager。
package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils; import org.apache.shiro.web.servlet.ShiroHttpServletRequest; import org.apache.shiro.web.session.mgt.DefaultWebSessionManager; import org.apache.shiro.web.util.WebUtils; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import java.io.Serializable; public class ShiroSessionManager extends DefaultWebSessionManager {private static final String AUTHORIZATION = "authToken"; private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request"; public ShiroSessionManager(){ super(); }@Override protected Serializable getSessionId(ServletRequest request, ServletResponse response){ String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION); if(StringUtils.isEmpty(id)){ //如果没有携带id参数则按照父类的方式在cookie进行获取return super.getSessionId(request, response); }else{ //如果请求头中有 authToken 则其值为sessionId request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE); request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID,id); request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,Boolean.TRUE); return id; } } }

  1. 在ShiroConfiguration 配置文件里面添加以下内容
/** * 自定义sessionManager * @return */ @Bean public SessionManager sessionManager(){ ShiroSessionManager shiroSessionManager = new ShiroSessionManager(); //这里可以不设置。Shiro有默认的session管理。如果缓存为Redis则需改用Redis的管理 shiroSessionManager.setSessionDAO(sessionDAO()); return shiroSessionManager; }@Bean public SessionDAO sessionDAO() { return new MemorySessionDAO(); //使用默认的MemorySessionDAO }

3 在继承AuthorizingRealm的自定义Realm 里添加以下内容
使用spring容器获取sessionDAO 主要是用来获取所有会话(getActiveSessions)的
@Autowired private SessionDAO sessionDAO;

doGetAuthenticationInfo方法下
//获取所有session Collection activeSessions = sessionDAO.getActiveSessions(); //判断用户是否与登入 for (Session s : activeSessions){ JSONObject attribute = (JSONObject)s.getAttribute(Constants.SESSION_USER_INFO); //如果有登入,则销毁session if (attribute.getString("userName").equals(loginName)) s.stop(); }

  1. 登入成功后直接获取SessionID,并放到body里面
currentUser.login(token); Serializable id = currentUser.getSession().getId(); info.put("token", id);

缺点 【spring|springboot shiro 实现token】他还是会设置cookie,我不知道怎么让shiro不是向cookie里面设置值,改成在body里面,所有我现在了同时都设置。有知道的小伙伴可以告诉我,谢谢观看!

    推荐阅读