我的开源:shiro实现分布式session和url权限验证

最新推荐文章于 2025-03-26 18:29:29 发布
最新推荐文章于 2025-03-26 18:29:29 发布
阅读量440 收藏
点赞数 1
分类专栏: 安全与授权 文章标签: shiro分布式session url权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chl87783255/article/details/120435903
版权

前言

本文讲述了作者基于shiro如何实现分布式session和url权限验证。

代码

shiro,自定义实现分布式session,url权限验证。https://github.com/chlInGithub/shirodemo

实现原理

实现分布式session

默认生成ServletContainerSessionManager bean,其内部使用httpsession,与sessionDao无关。由于需要通过sessionDao实现分布式session,所以不能使用该sessionManager。

// org.apache.shiro.spring.web.config.AbstractShiroWebConfiguration#sessionManager    
    protected SessionManager sessionManager() {
        if (useNativeSessionManager) {
            return nativeSessionManager();
        }
        return new ServletContainerSessionManager();
    }

shiro针对web场景,提供了一个默认sessionManager,其内部会使用到sessionDao。

org.apache.shiro.web.session.mgt.DefaultWebSessionManager
    @Bean
    protected SessionManager sessionManager(SessionDAO sessionDAO) {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionDAO(sessionDAO);
        return defaultWebSessionManager;
    }

选择好sessionManager之后,需要自定义实现sessionDao了,在其中提供分布式session解决方案。

com.example.demo.config.session.CustomSessionDao

实现url权限验证

url代表了一个操作,可作为功能权限。shiro本身没有提供支持,所以需要自行实现。由于shiro是基于filter实现的,所以我也采用filter。

另一方面,shiro以subject为中心,所以身份认证或授权验证都是直接调用subjectAPI。

// com.example.demo.config.filter.UrlPermAccessControlFilter
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
            FilterChain filterChain) throws ServletException, IOException {
        Subject subject = SecurityUtils.getSubject();
        String requestURI = request.getRequestURI();
        boolean permitted = subject.isPermitted(requestURI);
        if (!permitted) {
            response.sendRedirect("/unauthorized.html");
            return;
        }

        filterChain.doFilter(request, response);
    }

至此,分布式session和url权限验证已经可以满足要求。其中重点在于sessionDao和subject的使用。

你还可以查看

安全框架shiro的基础知识_陈海龙的格物之路-优快云博客通过阅读这篇文章,你可以了解到shiro是什么、shiro的架构、shiro如何支持web环境的安全验证等。https://blog.youkuaiyun.com/chl87783255/article/details/120434130

安全框架对比:shiro vs spring-security_陈海龙的格物之路-优快云博客shiro和spring-security都是安全框架,两者有哪些相同点和差异呢?https://blog.youkuaiyun.com/chl87783255/article/details/120436997

SpringBoot2 整合 Shiro 基于URL权限校验
tplina的博客
07-25 2479
概念模型 用户与角色之间是一对一关联,角色与资源之间是多对多关联(关联关系用中间表来维护) Resource里面存储着系统的url路径 模型字段都很简单,SQL及Model类就不再贴出来了. 1.引入依赖 <dependency> <groupId>org.apache.shiro</groupId> ...
shiro分布式项目中实现单点登录
qq_28662263的博客
05-11 874
shiro分布式项目中实现单点登录 Shiro的单点登录 使用shiro需要的依赖 org.crazycake shiro-redis 3.1.0 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3
shiro实现分布式集群session
rightkk的博客
01-13 2015
shiro实现分布式集群session 实现思路: 刚开始的实现思路是自定义一个sessionDao,使用redis作为session持久化数据库,然后配置ehcahce作为进程内缓存使用。后发现实现分布式集群session本质上就是让多个shiro应用进程能够共享session即可,所以不需要自定义实现sessionDao,直接使用EnterpriseCacheSessionDAO ,它继承了CacheSessionDao抽象类,只需按需求配置ehcache即可实现分布式集群session。 ..
Apache Shiro 统一化实现多端登录(PC端&移动端)
最新发布
同步云
03-26 1167
是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学会话管理等功能。它被广泛用于保护各种类型的应用程序,包括、桌面应用、RESTful服务、
Apache shiro集群实现 (五)分布式集群系统下的高可用session解决方案
热门推荐
04-23 3万+
目前,为了使web能适应大规模的访问,需要实现应用的集群部署. 而实现集群部署首先要解决session的统一,即需要实现session的共享机制。  目前,在集群系统下实现session统一的有如下几种方案: (1) 应用服务器间的session复制共享(如tomcat session共享) (2) 基于cache DB缓存的session共享 应用服务器间的ses
java 权限url权限_Java秒杀系统实战系列~整合Shiro实现用户登录认证
weixin_39805732的博客
11-21 102
摘要:本篇博文是“Java秒杀系统实战系列文章”的第五篇,在本篇博文中,我们将整合权限认证-授权框架Shiro实现用户的登陆认证功能,主要用于:要求用户在抢购商品或者秒杀商品时,限制用户进行登陆!并对于特定的url(比如抢购请求对应的url)进行过滤(即当用户访问指定的url时,需要要求用户进行登陆)。内容:对于Shiro,相信各位小伙伴应该听说过,甚至应该也使用过!简单而言,它是一个很好用的用...
SpringBoot整合Redis实现Shiro分布式Session共享
王绍桦
06-17 1万+
前言: 我们知道shiro有一套自身的session管理机制,默认的session是存储在运行jvm内存中的,在单应用服务器中可共享session,但系统若为分布式架构,则不同应用服务器之间无法共享session,要实现不同应用服务器之间共享session,则需要重写SessionManager中的SessionDao,把session存储在缓存中,这里我们采用redis来存储,引用shiro-...
Shiro与Redis整合实现分布式Session共享
标题:“shiro+redis session共享实现”所涉及的知识点可以从以下几个方面展开: 1. Shiro框架基础:Apache Shiro是一个功能强大、易于使用的Java...开发者可以从这个项目中学习到如何具体地配置实现上述知识点。
SpringBoot与Shiro、Redis整合实现分布式Session共享
在Web应用的开发部署过程中,尤其是在分布式集群环境下,保证用户会话(session)的一致性高可用性是至关重要的。传统的单体应用可以简单地使用容器(如Tomcat)的session管理机制,但在分布式环境中,各个应用...
SpringBoot与Shiro融合:动态权限Session共享与单点登录实现
资源摘要信息: "SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录" 知识点详细说明: 1. SpringBoot集成Shiro框架 SpringBoot是一种广泛使用的Java基础框架,用于快速、简洁地构建独立的、生产...
实现分布式缓存与会话管理:shiro-redisson与Redis
本篇将详细介绍“shiro-redisson基于Redis的ShiroCacheSession实现”,并探讨其背后的技术原理与实现细节。 **shiro-redisson组件概念解析** 首先,shiro-redisson是一个专为Apache Shiro设计的扩展组件,它的...
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session
03-20
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session. MMP改天出个文档写清楚各个配置都是干啥的,还有之间的关系。
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
shiro session_java:shiro高级篇——3
weixin_39687667的博客
11-26 163
第七章 实现分布式会话SessionManager1、会话的问题2、分布式会话实现思路【1】原理分析 所有服务器的session信息都存储到了同一个Redis集群中,即所有的服务都将 Session 的信息存储到 Redis 集群中,无论是对 Session 的注销、更新都会同步到集群中,达到了 Session 共享的目的。Cookie 保存在客户端浏览器中,而 Session 保存在服务器上。客...
分布式shirosession共享
w200199的博客
11-23 975
编写 RedisSessionDao 类 继承EnterpriseCacheSessionDAO @Component public class RedisSessionDao extends EnterpriseCacheSessionDAO { private static final Logger logger = LoggerFactory.getLogger(Serializer.class); @Resource private RedisTemplate&lt.
第十五节 Shiro集成Redis实现分布式集群Cache共享
大宇的博客,欢迎访问
01-16 1610
一、原理 Shiro使用的是Token来封装用户登录的信息,另外一边,从数据库中查询出来的数据存放在"AuthenticationInfo"中,然后将token与info进行对比,对比一致的话说明用户登录成功。在登录成功后,为了缓解数据库的压力,可以将用户登录成功的info信息缓存下来。一般使用的是一组键值对来封装数据。因此,缓存的键值对可以理解为 "用户主凭...
shiro(四)集成redis实现分布式session
linhui258的博客
07-21 861
一、前言 前面的文章中,shiro使用的是ehcache做缓存,这样在单机服务中,没有任何问题,但是如果是在集群环境下,就无法实现session共享了。分布式session有多种实现方式: 1. Session Replication 方式管理 (即session复制)         简介:将一台机器上的Session数据广播复制到集群中其余机器上         使用场景:机器较少,网络流...
Apache Shiro 分布式架构下Redis实现Session 的共享
m0_38053538的博客
05-25 323
2018年03月14日 16:22:50阅读数:16转载地址:https://blog.youkuaiyun.com/yr_xiaozheng/article/details/79556137参考资料:http://blog.youkuaiyun.com/lishehe/article/details/45223823写的非常棒,只是缺少了几个工具类,我在这里给出了自己的代码,方便用到。1.  redis.propert...
Shiro整合JWT – 通过URL控制权限
果酱 の 博客
07-28 1704
权限控制是保护Web应用中敏感资源的关键。Shiro是一个功能强大且易于使用的Java安全框架,提供了身份验证、授权、加密会话管理等功能。而JWT是一种轻量级的身份验证授权机制,通过使用JSON格式的令牌来传递安全凭据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值