在前后端分离的项目中,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制

最新推荐文章于 2025-07-04 09:31:24 发布
最新推荐文章于 2025-07-04 09:31:24 发布
阅读量6.6w 收藏 86
点赞数 13
CC 4.0 BY-SA版权
分类专栏: JAVAWEB 前后端分离 文章标签: ajax shiro session 前后端分离 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/palerock/article/details/73457415

在前后端分离的项目中,ajax跨域和保存用户信息是其中的重点和难点。

如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。

在前一篇文章《在前后端分离的项目中,ajax跨域请求怎样附带cookie》中,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目中使用shrio的session(会话管理系统)。

但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更好的模式来使用session。

在传统的前后端分离模式中,我们通常是在请求头中增加一个请求头Authorization,它的值是一串加密的信息或者密钥,在后台通过对这个请求头值的读取,获取用户的信息。

而在这样的模式中,通常都是开发者自己设计的session或者加密方式来读取和保存用户信息,而在shiro中,集成了权限控制和用户管理在它的session系统中,这就意味着我们只能通过他所规定的session+cookie来保存用户信息,在这种情况下,该以什么方式在前后端分离的项目中使用shiro?

通过资料的查询,和对shiro设计模式的解读,我发现shiro和servlet一样实在cookie中存储一个session会话的id然后在每次请求中读取该session的id并获取session,这样就可以获取指定session中储存的用户信息。

我的想法就是通过重写shiro中获取cookie中的sessionId的方法来获取请求头Authorization中的密钥,而密钥储存的便是登录是返回的sessionId,从而实现在前后端分离的项目中使用shiro框架。

接下来就是代码演示(使用SpringMVC+Shiro),只贴出核心代码:

首先是登录的代码:

    @ResponseBody
    @RequestMapping(value = "/login", method = RequestMethod.POST, produces = "application/json;charset=utf-8")
    public String login(
            @RequestParam(required = false) String username,
            @RequestParam(required = false) String password
    ) {

        JSONObject jsonObject = new JSONObject();

        Subject subject = SecurityUtils.getSubject();

        password = MD5Tools.MD5(password);

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        try {
            // 登录,即身份验证
        subject
最低0.47元/天 解锁文章

200万优质内容无限畅学
前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
2401_87555420的博客
10-27 803
传统结构项目中,shirocookie中读取sessionId以此来维持会话,在前后端分离项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能不在业务库中,因此有必要单独配置权限相关表的数据源。
后台管理系统前后端分离后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
02-22
这是一个基于现代技术栈的后台管理系统实现,采用了前后端分离的架构模式。让我们深入探讨这个系统背后的各个技术组件及其重要性。 首先,后端的核心框架是SpringBoot,它是由Pivotal团队开发的Java轻量级框架,...
vue2 前后端分离项目ajax跨域session问题解决方法
08-30
本篇文章主要介绍了vue2 前后端分离项目ajax跨域session问题解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
若依框架前后端分离版)
最新发布
2302_76927249的博客
07-04 1624
Redis(Remote Dictionary Server)是一个开源的高性能键值存储系统,支持多种数据结构(如字符串、哈希、列表、集合等)。它以内存存储为主,兼具持久化功能,常用于缓存、消息队列、实数据分析等场景。Nginx(发音为“engine-x”)是一款高性能的开源Web服务器、反向代理服务器、负载均衡器及HTTP缓存工具。最初由俄罗斯开发者Igor Sysoev设计,于2004年首次公开发布,现已成为全球最流行的Web服务器之一。
基于session做的权限控制
weixin_33829657的博客
09-26 1584
一直听说做权限将登陆信息放在session中,实际也说不太出个所以然来,幸运在工作当中接触到了对应的代码的copy。 实现思路:   类似于粗粒度的权限控制   将权限控制的文件按包分隔好,对应的url前缀也遵照一些标准统一。   定义包装用户信息类,包括登录后的用户信息和登录状态,用户授权信息等   使用过滤器,拦截通用请求、登录请求之外的所有请求。     过滤器中进行session中包装用户...
基于session的登录权限控制及redis缓存引入
TZJ0709的博客
06-06 413
一、容器端session   1、当浏览器第一次访问服务器使用request.getSession()方法,服务器会创建一个Session对象和具有JSESSIONID键值的cookie,成功返回后浏览器会得到一个包含sessionId的Cookie。   2、浏览器再次访问服务器,会携带具有JSESSIONID属性的cookie到服务器,再次使用request.getSess...
前后端分离项目使用Shiro
m0_59092234的博客
08-28 372
super();}//前端ajax的headers中必须传入Authorization的值//如果请求头中有 Authorization 则其值为sessionIdif (!return id;} else {//否则按默认规则从cookiesessionId}}}
21.Shiro在springboot与vue前后端分离项目里的session管理
s_156的博客
05-21 963
1.前言 当决定前端后端代码分开部署,发现shiro自带的session不起作用了。 然后通过对请求head的分析,然后在网上查找一部分解决方案。 最终就是,登录成功之后,前端接收到后端传回来的sessionId,存入cookie当中。 之后,前端后端发送请求,请求Head中都会带上这个sessionid。 后端代码通过对这个sessionid的解析,拿到正确的session。 2.代码改造 (1)后端代码改造 添加CustomSessionManager.java /** * 类的详细说明 * *
Shiro实战系列--用Session控制权限
IT利刃出鞘的博客
10-18 7559
原文网址: 其他网址 Shiro实例系列 Shiro--实例--SpringBoot_IT利刃出鞘的博客-优快云博客(本文)Shiro--实例--SpringBoot--shiro-redis_IT利刃出鞘的博客-优快云博客Shiro--实例--SpringBoot--jwt_IT利刃出鞘的博客-优快云博客 参考网址 SpringBoot - 安全框架Shiro的整合与使用教程(附样例)Spring Boot 整合 Shiro ,两种方式全总结! - SegmentFault 思否sp
前后端页面分离导致session无法正常获取的问题
热门推荐
qq_22824481的博客
07-11 1万+
前后端页面分离导致的跨域问题和session丢失问题的解决 前几天遇到个由于经验不足,导致找了很久才找到的问题。就是我在我的电脑虚拟机上编写的java服务端接口,在做登录与检查登录接口用到了session储存用户数据,当在html放在我的项目里面,能够很好地获取到session值,但是把html放到前端人员自己的电脑上session不能获取到对应的值。 网上查询后知道...
功能:Session与Vue:登录获取权限,并完成session存储
qq_43548684的博客
12-14 8770
有问题的话,或者有更优解,请各位大佬指出来哇哇哇~~~
拦截器session实现权限控制
qq_36022463的博客
05-11 482
拦截器: 自定义一个拦截器 继承 HandlerInterceptorAdapter 将自定义拦截器添加到springmvc中,,实现WebMvcConfigurer,,重写addInterceptors() 代码: 配置类: @Component public class AuthInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServletRequest
springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
qq_30519365的博客
12-21 2070
【代码】springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
Session与Token认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3984
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
shiro - 前后端权限控制详细做法
ws6afa88的博客
11-13 722
之前的博客已经对shiro在springboot中的使用做了详细说明,这里继续说明如何具体实施,由于我一直在完善自已的博客,这里做一个笔记。 1. 创建表 我创建了4个表来对不同身份的用户进行权限管理,主要是通过用户->角色->权限进行管理 各个表的样子如下: 2. 定义Perm类 这里的类与之前创建的perm表相对应 @Data @AllArgsConstructor @NoArgsConstructor public class Perm implements Serializable
shiro中获取session中的数据
choubeihao6224的博客
03-18 2621
使用shiro: 页面拿Session中的user对象:<shiro:principal > 代表user对象。 程序中拿Session中的user对象:SecurityUtils.getSubject();-->subject.get p...
shiro登录接口session获取
qq_21246715的博客
11-04 867
import com.visystem.framework.shiro.session.OnlineSession; public void login(ServletRequest request) { //用户session OnlineSession session = (OnlineSession) request.getAttribute(ShiroConstants.ONLINE_SESSION); .
shiro获取session用户_shiro登陆成功保存用户信息到session
weixin_39753791的博客
12-20 2754
[导读]我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢?我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢?其实很简单第一步:写一个类CustomFormAuthenticationFilter继承FormAuthenticationFilter,并重写onLoginSu...
基于SSM框架Shiro后台管理系统实现
它允许开发者在应用程序中实现用户认证、权限控制会话管理等功能。 - **Spring AOP日志管理**:Spring AOP允许定义方法拦截器和切点来实现日志记录、事务管理等,可以将日志记录代码从业务逻辑代码中分离出来,...
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值