Shiro之前后端分离时获取请求头Authorization中的token

最新推荐文章于 2025-07-04 09:31:24 发布
原创 最新推荐文章于 2025-07-04 09:31:24 发布 · 2w 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Shiro #前后端分离 #Authorization #token

本文介绍了一种重写DefaultWebSessionManager类的方法,通过覆盖getSessionId方法实现从前端请求头或Cookie中获取Session ID,适用于前后端分离的应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

重写DefaultWebSessionManager(org.apache.shiro.web.session.mgt.DefaultWebSessionManager)类中的getSessionId方法,代码如下:

public class CustomDefaultWebSessionManager extends DefaultWebSessionManager  {

/** 
* 获取session id
* 前后端分离将从请求头中获取jsesssionid
*/
@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
// 从请求头中获取token
String token = WebUtils.toHttp(request).getHeader("Authorization");
// 判断是否有值
if (StringUtils.isNoneBlank(token)) {
// 设置当前session状态
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url"); 
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);  
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);  
return token;
}
// 若header获取不到token则尝试从cookie中获取
return super.getSessionId(request, response);
}
}
sa-token之前后台分离模式下如何完成权限认证
云初
03-08 4495
# 前言 何为无Cookie模式? 无Cookie:特指不支持Cookie功能的终端,通俗来讲就是我们常说的 —— 前后台分离模式 常规PC端鉴权方法,一般由Cookie模式完成,而Cookie有两个特性: 1.可由后端控制写入 2.每次请求自动提交 这就使得我们在前端代码中,无需任何特殊操作,就能完成鉴权的全部流程(因为整个流程都是后端控制完成的) 而在app、小程序等前后台分离场景中,一般是没有Cookie这一功能的,此大多数人都会一脸懵逼,咋进行鉴权啊? 见招拆招,其实答案很简单: 不能后端控制写
shiro 获取当前用户token
chuangfei7389的博客
06-08 4049
//获取当前登录用户的用户名 AppSecurityUtils.obtainLoginedUsername() //获取当前用户token AppSecurityUtils.obtainAccessToken() AppSecurityUtils.java import org....
sa-token应用前后端分离做登录认证
qq_41126680的博客
08-10 309
System.out.println("---------- 进入Sa-Token全局认证 -----------");System.out.println("---------- 进入Sa-Token异常处理 -----------");// 登录认证 -- 拦截所有路由,并排除/user/doLogin 用于开放登录。// ---------- 设置跨域响应头 ----------// ---------- 设置一些安全响应头 ----------message = "账号已过期,请重新登录";
若依框架(前后端分离版)
最新发布
2302_76927249的博客
07-04 1884
Redis(Remote Dictionary Server)是一个开源的高性能键值存储系统,支持多种数据结构(如字符串、哈希、列表、集合等)。它以内存存储为主,兼具持久化功能,常用于缓存、消息队列、实数据分析等场景。Nginx(发音为“engine-x”)是一款高性能的开源Web服务器、反向代理服务器、负载均衡器及HTTP缓存工具。最初由俄罗斯开发者Igor Sysoev设计,于2004年首次公开发布,现已成为全球最流行的Web服务器之一。
shiro与app利用token进行交互的解决方案
a785975139的博客
03-25 4581
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
shiro - 使用 token
m0_67394002的博客
04-07 849
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
cas shiro 前后端分离 登录_SpringBoot+Shiro前后端分离项目通过JWT实现自动登录-阿里云开发者社区...
weixin_39866487的博客
12-19 386
SpringBoot+Shiro前后端分离项目通过JWT实现自动登录虽然 Shiro 本身可以支持扩展 RememberMe 功能,但仅限于传统项目因为 Shiro 的用户信息是基于 Session 进行管理,在前后端分离的项目中无法实现 Session 状态的前后统一所以本文通过 JWT 对 Shiro 原生的 Session 控制进行替换,从而实现用户信息的前后传递及判断更多精彩涉及资料导入项...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
vue+axios全局添加请求头和参数操作
10-15
本篇文章将详细介绍如何在Vue+axios环境中全局添加请求头和参数,以便在每次调用接口自动传递必要的认证信息,如token。 首先,当用户登录成功后,后端通常会返回一个token,这个token用于后续的请求验证。有两...
前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
2401_87555420的博客
10-27 805
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能不在业务库中,因此有必要单独配置权限相关表的数据源。
springboot+shiro+jwt+redis+cache实现无状态token登录
热门推荐
doufuplus
03-09 3万+
网上关于shiro的整合文章不少,但很多并不适用于前后端分离/移动端的项目 1. shiro默认的拦截跳转都是跳转url页面,这在前后端分离的项目中显然行不通 2. shiro默认使用session做登录校验,分离后当然这也是不推荐的。 那么要如何做呢?戳进来,这里有详尽实现~
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 6458
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为tokenShirotoken的实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.youkuaiyun.com/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的候cookie会被自动带上,前端不用.
2020-10-27
wenhaipan的博客
10-27 153
授权服务器入门(二) 授权服务器另外三种授权方式: implicit authorization_code refresh_token 1 工程代码 1.1Maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </depe
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3572
前言 最后调用过程参考了 : https://blog.youkuaiyun.com/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
Shiro 身份认证中心获取token中账号密码的两种方式
qq_48039668的博客
11-17 2031
/** * 身份认证 * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException .
Java获取Token,含Authorization参数以及body参数
小屁孩大帅-保密的博客
03-16 4309
Java获取Token,含Authorizatio...
spring cloud basic authorization 获取token
点点滴滴
10-24 1492
的Spring Cloud项目中,实际上很多场景下,需要我们先获取token,然后根据token 去call 其他的API 来完成数据交互的需要. 如何来获取token,本身很简单???? ,整理了两种方式,供大家参考 1.第一种,通过RestTemplate实现,Basic 认证是最简单的一种认证方式,就是提供账号密码,然后key + ":" + secret组成字符串后,用base64编码,编码后放到请求的hea...
shiro 获取请求头中的 sessionId
weixin_30273931的博客
07-06 1180
前言:   在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId给他, 然后他在请求后台接口, 把这个sessionId带给后台, 后台拿到这个sessionId, 就能识别, 是那个用户.   在shiro中, 会返回一个JSESSIONID , 其实就是sessionId.   如果不想把sessionId放在参数中, 或者贴在链接后面, 暴露给用户, ...
springboot 整和 shiro + redis 验证header令牌,实现前后端分离认证
Ark方舟
03-17 1035
先看一下整个项目结构: 蓝色框里面的是shiro的主要配置 1.引入pom依赖:(数据源之类的依赖导入自己的就好 ,本文不讲数据源) <!--shiro整合redis--> <dependency> <groupId>org.crazycake</groupId> ...
eladmin postman 请求 后端去掉token认证
03-20
<think>好的,用户想要在使用Eladmin和Postman进行请求,去掉后端Token认证,简化调试过程。我需要先回忆一下Eladmin的权限控制机制,通常这类系统会使用Spring Security或者Shiro来管理权限。根据用户提供的引用内容,这里提到了Shiro的命名空间,所以可能Eladmin用的是Shiro。不过引用[1]提到在security中使用的是sec,而这里用的是shiro,需要导入命名空间,可能系统中有不同的模块使用了不同的安全框架?或者用户可能有混淆?需要进一步分析。 首先,用户想禁用Token认证。Token认证通常是在拦截器或过滤器中实现的,比如Shiro的过滤器链或者Spring Security的SecurityFilterChain。要临关闭认证,可能需要修改这些安全配置,让特定的请求路径跳过认证检查。 根据引用[3],提到单例bean和原型bean的依赖问题,这可能与系统配置相关,但暂不需要处理这个问题。引用[4]是关于Vue数组更新方法的,可能与前端有关,但用户的问题集中在后端,所以可以忽略。 用户提供的引用[1]和[2]涉及到Shiro的命名空间和前端请求的@RequestBody处理,这可能说明系统中权限控制是通过Shiro实现的。因此,解决方案可能需要调整Shiro的配置,允许匿名访问某些接口。 可能的步骤包括: 1. 找到Shiro的配置文件,通常是ShiroConfig类,其中定义了过滤器链。 2. 在过滤器链中,将需要调试的URL路径设置为anon,即匿名访问,这样就不需要Token了。 3. 确保修改后重新启动应用,使配置生效。 另外,用户提到使用Postman,所以需要指导用户如何正确发送请求,比如去掉Authorization头部。但用户的主要诉求是后端如何关闭Token验证,因此重点在后端配置的调整。 还需要注意,这样做会降低安全性,所以提醒用户仅在调试环境使用,生产环境必须恢复验证。 可能的误区是用户可能修改了错误的配置,或者路径匹配不正确,导致配置未生效。需要确认路径是否准确,以及是否有其他安全配置覆盖了Shiro的设置。例如,如果同使用Spring Security和Shiro,可能需要检查两者的配置。 总结步骤: - 定位Shiro的过滤器链配置。 - 添加匿名访问规则到需要调试的API路径。 - 重启应用并测试。</think>### 分步解答:如何临关闭ELADMIN后端Token认证 #### 1. **定位安全配置模块** ELADMIN默认使用Spring Security + JWT进行鉴权[^1],相关配置位于`SecurityConfig`类中(路径通常为`src/main/java/me/zhengjie/config/SecurityConfig.java`)。 #### 2. **修改请求过滤规则** 在`configure`方法中找到`http.securityMatcher`配置段,将需要跳過认证的API路径添加到`.requestMatchers("/需要跳过的路径/**").permitAll()`中。例如允许匿名访问`/api/test/**`路径: ```java http .securityMatcher(API_URL_PREFIX + "/**") .authorizeHttpRequests(auth -> auth .requestMatchers( "/api/test/**", // 新增匿名访问路径 "/auth/login", "/auth/code" ).permitAll() .anyRequest().authenticated() ) ``` #### 3. **关闭JWT过滤器** 找到JWT过滤器配置位置(通常为`JwtFilter`类),在过滤器链中临注释该过滤器: ```java // 原配置 .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class) // 修改为 // .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class) ``` #### 4. **验证配置** 使用Postman发送请求: - 移除`Authorization`请求头 - 确认返回状态码为`200`而非`401` #### 5. **恢复配置(重要)** 调试完成后务必恢复安全配置,避免生产环境暴露敏感接口。 ### 补充说明 若系统使用Shiro(根据引用中命名空间线索),则需修改`ShiroFilterChainDefinition`: ```java filterChainDefinitionMap.put("/api/test/**", "anon"); // 匿名访问 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值