若依shiro非前后端分离项目集群化改造

最新推荐文章于 2025-04-14 09:51:15 发布
最新推荐文章于 2025-04-14 09:51:15 发布
阅读量1.4k 收藏 14
点赞数 21
分类专栏: Springboot 安全认证 文章标签: spring boot redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50989469/article/details/140989447
版权

文章目录

前言

        若依前后端不分离基础项目,使用shiro框架作为授权和认证的安全框架。对比前后端分离项目的token验证机制,不分离项目仍然采用的是cookie + session的组合,浏览器存储的cookie与服务端的session进行校验。

        项目集群方案,前后端分离项目有着天然的优势,前后端不分离项目就要考虑session共享的问题了。因为session机制对于单机应用是没问题的,在集群环境下,当请求被分配到另一台服务器时,新的服务器无法通过浏览器传入的cookie值取到session,这样登录状态就会验证失败。以若依shiro前后端不分离项目为例,核心是通过redis进行session共享来解决。

一、若依shiro框架登录流程概述

先梳理明白登录认证的流程,了解shiro安全认证的机制,才好改造,不然流程都糊里糊涂的,肯定会有一大堆问题。

1.登录入口

在这里插入图片描述

2.UserRealm下的登录认证方法

在这里插入图片描述

3.ShiroConfig配置说明

在这里插入图片描述

安全管理器

在这里插入图片描述

会话管理器

在这里插入图片描述

最后,Shiro过滤器配置没什么说的

4.OnlineSessionDAO类

存储会话session信息,继承自org.apache.shiro.session.mgt.eis包下的EnterpriseCacheSessionDAO类,并重写doReadSession(获取会话)、doDelete(会话停止时删除会话)方法。

在这里插入图片描述
在这里插入图片描述

二、开始改造

基本登录流程梳理清楚之后,就要开始着手改造了。

1.导入依赖

pom文件中导入spring-session-data-redis和shiro-redis的依赖

在这里插入图片描述

另外,spring-boot-devtools热部署的依赖需要注释掉,不然会报OnlineSession转换失败的错误

在这里插入图片描述

2.yml加入配置,让redis来接管session

在这里插入图片描述

3.重构OnlineSessionDAO类(核心)

原来继承自org.apache.shiro.session.mgt.eis包下的EnterpriseCacheSessionDAO类,现在改为继承org.crazycake.shiro包下的RedisSessionDAO类,并且重写update、delete、doCreate、doReadSession方法,如下:

public class OnlineSessionDAO extends RedisSessionDAO
{
   
    /**
     * 同步session到数据库的周期 单位为毫秒(默认1分钟)
     */
    @Value("${shiro.session.dbSyncPeriod}")
    private int dbSyncPeriod;

    /**
     * 上次同步数据库的时间戳
     */
    private static final String LAST_SYNC_DB_TIMESTAMP = OnlineSessionDAO.class.getName() + "LAST_SYNC_DB_TIMESTAMP";

    /**
     * SESSION 超时时间
     */
    public static final int SESSION_TIME_OUT = 8 * 60 * 60;
    /**
     * SESSION会话
     */
    public final static String CACHE_SESSION = "CACHE:SESSION:";

    private RedisSerializer valueSerializer = new ObjectSerializer();

    @Autowired
    private SysShiroService sysShiroService;

    @Autowired
    private StringRedisTemplate redisTemplate;

    public OnlineSessionDAO()
最低0.47元/天 解锁文章
若依框架前后端分离前后端代码生成教程
weixin_45869434的博客
05-24 3952
若依框架前后端分离前后端代码生成教程
若依框架(前后端分离版本)总结
W1965561714的博客
11-23 4730
RuoYi是一个后台管理系统,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量。
简单上手若依框架
m0_63278070的博客
02-23 1023
简单上手若依框架
[架构之美]若依框架前后端分离版部署全流程详解(本地+服务器+高级配置)
最新发布
曼岛_的博客
04-14 4427
若依框架前后端分离版部署全流程详解(本地+服务器+高级配置)
【若依】开源框架学习笔记 02 - Shiro 权限框架
MichelleChung的星球
05-04 5409
若依开源框架学习之 Shiro权限框架集成
springboot集成shiro集成redis缓存(前后端分离或不分离
lzq199528的博客
03-02 9035
springboot技术栈 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 在springboot中集成 pom.xml引入shiroshiro-redis开发包 <!--shiro--> ...
若依源码学习2:shiro配置及登入登出
小宇哥x的博客
04-10 5576
1、Shiro 配置 shiro: user: # 登录地址 loginUrl: /login # 权限认证失败地址 unauthorizedUrl: /unauth # 首页地址 indexUrl: /index # 验证码开关 captchaEnabled: true # 验证码类型 math 数组计算 char 字符 captchaType: math cookie: # 设置Cookie的域名 默认空,.
若依源码学习1:验证码及各种shiro过滤器
小宇哥x的博客
04-10 2145
1、验证码的生成及验证 1.1、生成 Kaptcha 是一个可高度配置的实用验证码生成工具 支持两种类型的验证码:字符类型和算术类型 /** * 图片验证码(支持算术形式) * * @author ruoyi */ @Controller @RequestMapping("/captcha") public class SysCaptchaController extends BaseController { @Resource(name = "captchaProducer") .
若依前后端分离和微服务
03-23
首先,关于前后端分离,引用[1]提到前后端分离是微服务化改造的切入点,而引用[2]讨论了前端微服务化的挑战和解决方案。若依框架的前后端分离版本应该遵循这种模式,前端可能使用Vue.js等框架,后端提供RESTful API...
喂饭式教程,4小时开发一个SpringBoot+vue前后端分离博客项目
MXD555555的博客
05-26 1216
Java后端接口开发 1、前言 从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus(mp.baomidou.com/),为简化开发而生,只… CRUD 操作,从而节省大量时间。 作为一个项目骨架,权限也是我们不能忽略的,Shiro
4小时开发一个SpringBoot+vue前后端分离博客项目,你学废了吗?
xiaomanong123的博客
09-02 1352
Java后端接口开发 1、前言 从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus(https://mp.baomidou.com/),为简化开发而生,只需简单配置,即可快速进行 CRUD 操作,从而节省大量时间。 作为一个项目骨架
RuoYi:使用shiro mybatis springmvc thymeleaf引导程序的RuoYi框架
05-18
内置功能 用户管理:用户是系统操作者。 部门管理:配置系统组织机构。 岗位管理:岗位是用户所属职务。 菜单管理:配置系统菜单(支持控制到按钮)。 角色管理:角色菜单权限分配。 字典管理:对系统中经常使用的一些较为固定的数据进行维护。 操作日志:系统操作日志记录(含异常)。 登录日志:系统登录情况记录(含异常)。 在线用户:当前系统中活跃用户状态监控。 定时任务:动态添加、修改和删除定时任务管理。 连接池监视:监视当期系统数据库连接池状态,可进行分析SQL找出系统性能瓶颈。 为何选择若依 是一个完全响应式,基于Bootstrap3.3.6最新版本开发的主题。 她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。 拥有良好的代码结构,层次结构清晰。内置一系列基础功能。 操作权限控制精密细致,对所有管理链接都进行权限验证,可控制到按钮。 提供在线功能代码生成工具,
基于Spring框架的Shiro配置方法
09-04
主要介绍了基于Spring框架的Shiro配置方法,需要的朋友可以参考下
shiro框架使用简易教程
03-26
shiro框架是一个安全框架,在web开发应用中使用比较多验证和权限管理,这个shiro框架是开源的,使用简单,可以使得开发难度大大降低
若依不分离版集成redis
太子的博客
04-19 1298
话不多说 首先ruoyi-common目录下pom文件添加配置: <!-- springboot整合redis --> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId> </dependency>
若依不分离----->日志解读(3)
Princess_Y
12-22 897
若依不分离日志解读(3) 想要看日志在哪记录 先查找登录日志 搜索/login 没有发现任何关与日志的线索那么会在哪呢?应该在自定义的realm里了 @PostMapping("/login") @ResponseBody // 将对象返回转换为json格式 public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { //将前端获取到的信息,封装成一个Sh
springboot+shiro整合 web方式-前后端分离-自定义Realm+SessionManager+CacheManager+session持久化到redis+自定义sessionId
小哇
03-26 1411
本篇主要讲shiroShiroConfig配置类,自定义Realm和自定义SessionManager的代码编写 先搭建好springboot+druid+mybatis的环境,相关的dao数据访问层,service层,controller层,pojo类都已经省略 环境的搭建可参考博文https://blog.youkuaiyun.com/qq_41712271/article/details/10509...
若依前后端分离版修改登录后访问的页面
qq_48049033的博客
07-22 3004
Hello,大家好,我是爪哇小小怪,最近领导给我提了一个需求,希望把若依后台登录后,默认访问的首页改一下或者去掉首页,登录成功后跳转到指定的页面。注意:这时候如果点击面包屑导航上的首页,会直接跳转到404页面,出现404的原因是:在第1步操作中首页路由已经被注释掉了。2.在login.vue的登录方法中,修改登录成功后的跳转页面即可,login.vue文件在src/views目录下。1.把router/index.js里面关于首页的路由注释或者删除掉。3.打开后台页面进行登录,验证是否跳转到指定的页面。
若依低版本漏洞:shiro反序列化解决方式
weixin_43267639的博客
12-14 3242
在若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值