shiro为何获取不到请求头中的token值

最新推荐文章于 2022-11-07 18:03:20 发布
最新推荐文章于 2022-11-07 18:03:20 发布
阅读量3.5k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: token 文章标签: shiro token 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43999127/article/details/95990498
本文探讨了跨域问题及如何影响Shiro权限控制管理获取Header中的Token值,并提供了解决方案,即通过增加过滤器来放行OPTIONS请求。

先简单介绍一下跨域是什么?
在开发中前后端并不在一个端口下,必然涉及到跨域:
XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守CORS(Cross-Origin Resource Sharing)机制。
解决跨域问题的方法网上有很多,这里就不给方法了。

关键的问题来了,为什么shiro权限控制管理获取不到header中的token值。我们都知道shiro权限控制管理一般都是通过判断请求头中的token来进行认证授权的。
然而在前后端分离项目中,由于跨域,会导致复杂请求,即会发送预检请求(preflighted request),这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。
当后台没有接收到token值时,开始认为可能是token没有放入headers中,然后当我们将请求的shiro拦截打开后,会发现后台会获取到token值。所以可以判断token值已经放入请求头中。

解决方法:给shiro增加一个过滤器,过滤OPTIONS请求
public class xxx extends FormAuthenticationFilter {
@Override
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
//Always return true if the request’s method is OPTIONS
if (request instanceof HttpServletRequest) {
if (((HttpServletRequest) request).getMethod().toUpperCase().equals(“OPTIONS”)) {
return true;
}
}
return false;
}
}

SpringBoot+Shiro后端无法获取到Header里面的Token问题
relosy的博客
06-02 2251
最近在做一个后台用Spring boot、Shiro、Mybatis plus 前台用React的项目.前端调完登录接口后。在调后台接口的时候需要在浏览器中的headers头中添加token,后台有一个过滤器,获取到headers中的token并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token,并且前端会报问题。 之前在写的时候一直用的postman测试,也没有遇到问题,其实是因为Postman本身就没有问题。前后端联调时就遇到了.
后台获取不到请求头token信息的解决方法
weixin_45151960的博客
11-03 9629
项目要做单点登录功能,于是在shiro的基础上加入了自定义的Filter,使用JWT自定义生成和校验token信息。功能写好后自己在postman中测试了效果,将token放在Headers中请求后台接口(如下图,还没发现问题),结果是测试成功开心的告诉前端可以对接了。过了一会,前端说接口一直返回token为空的错误信息。然后我就开始debug测试,发现前端发来请求头中确实没有找到token,但是Network。
使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题
古纳川海的博客
04-27 1602
使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题 前言:这个问题其实挺基础的,但自己还是费了一点时间,特此记录下,在使用Shiro后post拦截和放行都没有问题,唯独在以get方法下载图片等在不需要token验证的方式下一直被拦截 文章目录使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题错误示例正确示例(一)正确示例(二) 错误示例 Controller代码 说明:这里是用get拼接路径的方式指定参数,也就是使
springboot,shiroCORS请求,拿不到headers中的token解决
m0_67402774的博客
08-25 1736
最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的(根据业务不同可能传不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和userId的,并且前端会报问题。所以我们要做的就是把所有的OPTIONS请求统统放行。
在springboot中使用JWT自定义生成Token信息,接口请求时校验Token(在Shiro基础上)
weixin_45151960的博客
11-07 2019
项目原有使用的是springboot+shiro的环境,后来由于应用要与OA对接单点登录,所以在原有基础上,修改成使用JWT自定义生成token信息和校验token功能。1、创建类/**/*** @Description: 校验token信息* @Returni ++) {//有储存token的cookie token = cookies [ i ] . getValue();break;} //验证token的真实性 try {
springboot整和jwt、shiro、redis实现token自动刷新
08-19
此外,还需要编写一个TokenFilter,这个过滤器会在每次请求时检查请求头中的JWT,如果发现Token即将过期,就调用刷新接口获取新的Token。这个过程应该设计为无感知的,即用户在正常使用应用时,后台自动完成Token的...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
shiro - 使用 token
bhegi_seg的博客
03-28 1344
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
Shiro过滤器导致的前端
沐晨的博客
04-19 1501
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的问题。 问题分析 部分文段摘自 资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
shiro登陆后没有返回设置的successUrl
weihuiming
09-18 5131
iframe的页面,shiro登陆后没有返回设置的successUrl
Shiro doGetAuthenticationInfo方法登录获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
springboot整合shiro无法获取当前用户session中为null
web18484626332的博客
04-08 1329
maven包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> 实现AuthorizingRealm接口 //校验权限
后端接收不到前端传入的header参数信息
~~~~~~~BUG FLY~~~~~~~~~
04-14 9187
问题描述: 在局网下,前端页面请求时在请求头里携带token信息,后台获取不到header里的token参数 String token = request.getHeader("accessToken"); if (!StringUtil.hasText(token)) { token = request.getParameter("accessToken"); } ... 原因分析: debug查看了下返回的request参数 host = 172.16.115.198:8080 conn
shiro后端接收不到数据
p4d的博客
07-18 857
1.出现后台接受不到数据 也许是出了302 看了下以下文章    302定义 302 redirect: 302 代表暂时性转移(Temporarily Moved )。 意思就是你访问网址A,但是网址A因为服务器端的拦截器或者其他后端代码处理的原因,会被重定向到网址B。 解决方法 我这里出现302错误的原因是由于我的后端代码写了拦截器Filter,当从网站A访问带有某关键词路径的接口时...
swagger文档页面添加token请求头
hydy的博客
03-25 5021
使用swagger-ui的过程中,swagger页面调用的时候会统一在header里面加入输入token参数的位置 1. 在pom中加入依赖 <properties> <maven.compile.source>1.8</maven.compile.source> <maven.compile.target>1.8</maven.compile.target> <project.buil
Shiro请求头获取sessionId以及rememberMe信息
热门推荐
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
Shiro JWT shiro自定义filter实现前置拦截获取header中的token,并且放行登录和注册接口
Falser101的博客
09-06 2140
1.自定义filter @Slf4j public class ShiroFilter extends FormAuthenticationFilter { @Autowired(required = false) private RedisUtils redisUtils; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Objec
java清除shiro里的token_shiro 获取当前用户token
weixin_30527151的博客
02-25 870
//获取当前登录用户的用户名AppSecurityUtils.obtainLoginedUsername()//获取当前用户tokenAppSecurityUtils.obtainAccessToken()AppSecurityUtils.javaimport org.apache.shiro.subject.Subject;/*** @author yangty**/public class A...
那我只在shiro项目中,只想根据token获取权限,怎么做
最新发布
03-22
<think>好的,我现在需要帮助用户解决在Shiro项目中仅使用Token获取权限的问题。首先,用户之前的提问是关于为什么仅携带Token不带Cookie无法访问权限,现在他们想知道在Shiro中如何配置才能仅依赖Token进行权限控制。这说明用户可能在开发一个基于Token认证的应用,比如前后端分离的项目,需要无状态的权限管理。 首先,我需要回顾Shiro的基本工作原理。Shiro的核心是SecurityManager,它处理认证和授权。用户需要通过Realm来定义如何获取用户信息和权限。传统上,Shiro可能使用Session或Cookie进行状态管理,但用户希望用Token,所以需要调整为无状态模式。 接下来,用户的需求是仅使用Token获取权限。这意味着需要自定义一个支持Token的Realm。可能需要继承AuthorizingRealm,并重写认证和授权的方法。认证方法需要验证Token的有效性,比如JWT的解析和签名验证。授权方法则根据Token中的信息或关联的数据库查询权限。 然后,考虑如何将Token传递到Shiro的流程中。通常,用户会在HTTP请求头中携带Token,比如Authorization: Bearer <token>。需要创建一个自定义的Filter,继承自AccessControlFilter,来从请求头中提取Token,并创建对应的AuthenticationToken实例(如JwtToken),然后交给Subject进行登录认证。 另外,需要禁用Shiro的Session管理,因为用户希望无状态。可以通过设置SessionManager为DisabledSessionManager来实现,这样可以避免Shiro创建不必要的Session,提升性能并符合无状态的要求。 配置Shiro的ini文件或Java Config时,需要注册自定义的Realm、Filter,并设置SecurityManager的相关属性。同时,需要确保URL的过滤规则正确,比如所有请求都经过自定义的JwtFilter,排除登录接口等不需要认证的路径。 可能的错误点包括Token解析失败、签名密钥不正确、权限数据未正确加载等。需要提醒用户使用如JJWT等库处理JWT的生成和解析,并在Realm中正确实现授权信息的获取,可能需要从数据库或缓存中查询用户的角色和权限。 最后,给出示例代码和配置步骤,帮助用户一步步实现。同时,建议测试时使用Postman或curl命令发送带有Token的请求,验证权限控制是否生效。总结关键步骤,确保用户理解每个部分的作用,比如自定义Realm、Filter,以及配置的调整。</think>在Apache Shiro框架中实现纯Token方式的权限控制,需要完成以下关键配置步骤: $$ \begin{array}{|l|l|} \hline \text{核心组件} & \text{实现要点} \\ \hline \text{自定义Token} & \text{实现AuthenticationToken接口} \\ \hline \text{自定义Realm} & \text{继承AuthorizingRealm重写方法} \\ \hline \text{自定义Filter} & \text{继承AccessControlFilter处理请求} \\ \hline \end{array} $$ ### 一、基础架构搭建步骤 1. **创建JWT Token对象** ```java public class JwtToken implements AuthenticationToken { private String token; public JwtToken(String token) { this.token = token; } @Override public Object getPrincipal() { return token; // 返回凭证本身 } @Override public Object getCredentials() { return token; // 同样返回凭证 } } ``` 2. **实现自定义Realm** ```java public class JwtRealm extends AuthorizingRealm { // 声明支持处理的Token类型 @Override public boolean supports(AuthenticationToken token) { return token instanceof JwtToken; } // 认证逻辑(校验Token有效性) @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) { String jwt = (String) token.getCredentials(); try { // 使用JJWT解析验证 Claims claims = Jwts.parser() .setSigningKey("yourSecretKey") .parseClaimsJws(jwt) .getBody(); return new SimpleAuthenticationInfo( claims.getSubject(), jwt, getName()); } catch (Exception e) { throw new AuthenticationException("Token失效"); } } // 授权逻辑(获取权限信息) @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 示例:从数据库查询权限 Set<String> roles = userService.getRoles(username); info.setRoles(roles); info.setStringPermissions(userService.getPermissions(roles)); return info; } } ``` ### 二、安全过滤链配置 ```java public class JwtFilter extends AccessControlFilter { // 是否允许访问 @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { return false; // 必须执行onAccessDenied } // 拒绝访问时的处理 @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest httpRequest = (HttpServletRequest) request; String token = httpRequest.getHeader("Authorization"); if (StringUtils.isEmpty(token)) { sendChallenge(response, "未提供Token"); return false; } try { getSubject(request, response).login(new JwtToken(token)); return true; } catch (AuthenticationException e) { sendChallenge(response, "Token验证失败"); return false; } } private void sendChallenge(ServletResponse response, String message) { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setStatus(401); httpResponse.setContentType("application/json"); // 输出错误信息... } } ``` ### 三、Shiro配置类(Spring Boot示例) ```java @Configuration public class ShiroConfig { @Bean public Realm jwtRealm() { JwtRealm realm = new JwtRealm(); realm.setCredentialsMatcher(new CredentialsMatcher() { @Override public boolean doCredentialsMatch( AuthenticationToken token, AuthenticationInfo info) { return true; // 已在doGetAuthenticationInfo完成验证 } }); return realm; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(jwtRealm()); manager.setSessionManager(new DefaultSessionManager() { @Override public boolean isSessionStorageEnabled() { return false; // 禁用Session存储 } }); return manager; } @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/login", "anon"); // 登录接口开放 chain.addPathDefinition("/**", "jwt"); // 其他路径需要JWT验证 return chain; } @Bean("jwt") public FilterRegistrationBean<JwtFilter> jwtFilter() { FilterRegistrationBean<JwtFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(new JwtFilter()); registration.setOrder(Ordered.HIGHEST_PRECEDENCE); return registration; } } ``` ### 四、关键注意事项 1. **Token安全设计** - 使用`HS512`或`RS256`强加密算法 - 设置合理过期时间(如2小时) - 在payload中存储必要的最小信息(用户ID、权限标识) 2. **性能优化建议** ```java // 在Realm中增加缓存管理 @Bean public CacheManager cacheManager() { return new MemoryConstrainedCacheManager(); // 生产环境建议用Redis } public class JwtRealm extends AuthorizingRealm { @PostConstruct private void initCacheManager() { setCacheManager(cacheManager()); setAuthorizationCachingEnabled(true); setAuthorizationCacheName("jwtAuthzCache"); } } ``` 3. **处理**(需配合CORS配置) ```java @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); config.addAllowedHeader("Authorization"); // 必须允许该头 config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } ``` ### 五、测试流程示例 1. 获取Token: ```bash curl -X POST http://localhost:8080/login \ -H "Content-Type: application/json" \ -d '{"username":"admin","password":"123456"}' ``` 2. 访问受保护资源: ```bash curl -X GET http://localhost:8080/api/user \ -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." ``` ### 六、常见问题排查 1. **Token验证失败** - 检查签名密钥是否一致 - 验证Token是否过期(`exp` claim) - 确认系统时钟同步(JWT依赖时间戳) 2. **权限不生效** - 检查`doGetAuthorizationInfo`是否被调用 - 确认数据库权限数据正确加载 - 添加`@RequiresRoles("admin")`等注解测试 完整实现后,系统将实现以下工作流程: $$ \text{请求} \rightarrow \text{JwtFilter} \rightarrow \text{创建JwtToken} \rightarrow \text{Realm认证} \rightarrow \text{Realm授权} \rightarrow \text{访问控制} $$ 建议使用Postman进行全流程测试,并配合日志级别调整为DEBUG进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值