spring shiro禁用session

原創 原創 2021-03-30 21:34

github

原文

背景

公司老舊項目(JSP)愈發臃腫,部分模塊已經分離(後臺改爲restful),通過掛載鏈接的方式集成
JSP項目集成shiro 導致restful項目也使用同類配置(未禁用session)
JSP與restful不在同一個域名下 每次使用分離的模塊需要重新登錄(傳個假token 然後根據這個token登錄返回可用token)

改造

前後端分離的項目禁用session 不使用sessionId (其實項目已經是傳了token到後臺,可用戶信息還是存儲到session中)

用戶權限信息

public class UserUtil {

	public static ConcurrentHashMap<String, User> usermap = new ConcurrentHashMap<>(16 * 4);

	/**
	 * 具體權限
	 *
	 * @author sunmj
	 * @date 2021/3/26
	 */
	public static ConcurrentHashMap<String, List<String>> permMap = new ConcurrentHashMap<String, List<String>>(16 * 4){

		{
			put("user", Arrays.asList("/user/queryUser", "/depart/queryDepart"));
		}
	};

	/**
	 * 菜單權限
	 *
	 * @author sunmj
	 * @date 2021/3/26
	 */
	public static ConcurrentHashMap<String, List<String>> menupermMap = new ConcurrentHashMap<String, List<String>>(16 * 4){

		{
			put("user", Arrays.asList("/role/**"));
		}
	};

shiroConfig

@Slf4j
@Configuration
public class ShiroConfig {

	/**
	 * 安全管理器
	 * 禁用session
	 *
	 * @author sunmj
	 * @date 2021/3/24
	 */
	@Bean
	public DefaultWebSecurityManager securityManager(CustomAuthorizingRealm shiroRealm) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 禁用sessionStorage
		((DefaultSessionStorageEvaluator) ((DefaultSubjectDAO) securityManager.getSubjectDAO()).getSessionStorageEvaluator()).setSessionStorageEnabled(false);
		// 禁用session會話調度器
		DefaultSessionManager sessionManager = new DefaultSessionManager();
		sessionManager.setSessionValidationSchedulerEnabled(false);
		securityManager.setSessionManager(sessionManager);
		// 禁止創建session
		securityManager.setSubjectFactory(defaultWebSubjectFactory());
		// 設置認證和授權服務
		securityManager.setRealm(shiroRealm);
		// 設置SecurityUtils的靜態方法 獲取用戶等使用 SecurityManager
		SecurityUtils.setSecurityManager(securityManager);
		return securityManager;
	}


	@Bean
	public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		// 定義攔截器
		Map<String, Filter> filterMap = new LinkedHashMap();
		filterMap.put("token", new TokenFilter());
		filterMap.put(DefaultFilter.perms.name(), new CustomPermissionsAuthorizationFilter());
		shiroFilterFactoryBean.setFilters(filterMap);
		// 定義url過濾
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
		// 所有url都必須認證通過纔可以訪問
		// authc 必須認證通過纔可以訪問
		filterChainDefinitionMap.put("/login/**", DefaultFilter.anon.name());

		// 其他所有請求全部走token驗證
		filterChainDefinitionMap.put("/**", "token".concat(",").concat(DefaultFilter.perms.name()));
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		return shiroFilterFactoryBean;
	}

	/**
	 * 啓用shrio授權註解攔截方式,AOP式方法級權限檢查
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}

	/**
	 * 禁用seesion
	 *
	 * @author sunmj
	 * @date 2021/3/5
	 */
	public DefaultWebSubjectFactory defaultWebSubjectFactory(){
		DefaultWebSubjectFactory defaultWebSubjectFactory = new DefaultWebSubjectFactory(){
			@Override
			public Subject createSubject(SubjectContext context) {
				//不創建session
				context.setSessionCreationEnabled(false);
				return super.createSubject(context);
			}
		};
		return defaultWebSubjectFactory;
	}

自定義

AuthenticationToken

public class CustomAuthenticationToken implements AuthenticationToken {

	private String token;

	public CustomAuthenticationToken(String token) {
		this.token = token;
	}

	public String getToken() {
		return token;
	}

	public void setToken(String token) {
		this.token = token;
	}

	@Override
	public Object getPrincipal() {
		return token;
	}

	@Override
	public Object getCredentials() {
		return token;
	}
}

AuthorizingRealm

@Slf4j
@Component
public class CustomAuthorizingRealm  extends AuthorizingRealm {

	public CustomAuthorizingRealm() {
		super(new AllowAllCredentialsMatcher());
	}

	@Override
	public boolean supports(AuthenticationToken authenticationToken) {
		return authenticationToken instanceof CustomAuthenticationToken;
	}

	/**
	 * 認證
	 *
	 * @author sunmj
	 * @date 2021/3/24
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		CustomAuthenticationToken authenticationToken = (CustomAuthenticationToken) token;
		User user = UserUtil.usermap.get(authenticationToken.getToken());
//		log.info("doGetAuthenticationInfo user {}", JSON.toJSONString(user));
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPasswd(), this.getName());
		return info;
	}

	/**
	 * 授權
	 *
	 * @author sunmj
	 * @date 2021/3/24
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		User user = (User)principals.getPrimaryPrincipal();

//		log.info("doGetAuthorizationInfo user {}", JSON.toJSONString(user));
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

		String account = user.getAccount();
		//授權
		info.addStringPermissions(UserUtil.permMap.get(account));
		info.addStringPermissions(UserUtil.menupermMap.get(account));
		return info;
	}

	/**
	 * 獲取用戶授權信息
	 *
	 * @author sunmj
	 * @date 2021/3/25
	 */
	public AuthorizationInfo queryAuthorizationInfo(PrincipalCollection principals){
		return this.getAuthorizationInfo(principals);
	}
}

BasicHttpAuthenticationFilter

認證授權

public class TokenFilter extends BasicHttpAuthenticationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

		String token = request.getParameter("token");

		if(StringUtils.isEmpty(token)){
			this.response401(response, "token不存在");
			return false;
		}

		User user = UserUtil.usermap.get(token);

		if(user == null){
			this.response401(response, "登錄超時");
			return false;
		}

		Subject subject = SecurityUtils.getSubject();
		CustomAuthenticationToken authenticationToken =  new CustomAuthenticationToken(token);
		subject.login(authenticationToken);

		return true;
	}

	/**
	 * 無需轉發,直接返回Response信息
	 */
	private void response401(ServletResponse response, String msg) {
		HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
		httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
		httpServletResponse.setCharacterEncoding("UTF-8");
		httpServletResponse.setContentType("application/json; charset=utf-8");
		try (PrintWriter out = httpServletResponse.getWriter()) {

			JSONObject jo = new JSONObject();
			jo.put("msg", msg);
			out.append(jo.toJSONString());
		} catch (IOException e) {
			log.error("直接返回Response信息出現IOException異常:{}", e.getMessage());
			throw new RuntimeException("直接返回Response信息出現IOException異常:" + e.getMessage());
		}
	}
}

AuthorizationFilter

鑑權

@Slf4j
public class CustomPermissionsAuthorizationFilter extends AuthorizationFilter {

	/**
	 * 開始鑑權
	 *
	 * @author sunmj
	 * @date 2021/3/25
	 */
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {

		Subject subject = SecurityUtils.getSubject();
		User user = (User)subject.getPrincipals().getPrimaryPrincipal();
		List<String> menulist = UserUtil.menupermMap.get(user.getAccount());
		HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
		String requestURI = httpServletRequest.getRequestURI();

		//目錄權限
		if(!CollectionUtils.isEmpty(menulist)){
			boolean permitted = false;
			for (String m : menulist) {
				permitted = this.pathsMatch(m, requestURI);
			}
			if(permitted){
				return permitted;
			}
		}

		//接口權限
		return subject.isPermitted(requestURI);
	}

	/**
	 * 鑑權失敗
	 *
	 * @author sunmj
	 * @date 2021/3/25
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
		this.response403(response, "權限不足");
		return false;
	}

	/**
	 * 無需轉發,直接返回Response信息
	 */
	private void response403(ServletResponse response, String msg) {
		HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
		httpServletResponse.setStatus(HttpStatus.FORBIDDEN.value());
		httpServletResponse.setCharacterEncoding("UTF-8");
		httpServletResponse.setContentType("application/json; charset=utf-8");
		try (PrintWriter out = httpServletResponse.getWriter()) {
			JSONObject jo = new JSONObject();
			jo.put("msg", msg);
			out.append(jo.toJSONString());
		} catch (IOException e) {
			log.error("直接返回Response信息出現IOException異常:{}", e.getMessage());
			throw new RuntimeException("直接返回Response信息出現IOException異常:" + e.getMessage());
		}
	}
}

接口測試

登錄 http://127.0.0.1:13010/login/loginByAccount?account=user


調用接口 http://127.0.0.1:13010/user/queryUser (沒有token)


調用接口 http://127.0.0.1:13010/user/queryUser?token=cadcf757f5fe4ee9b66d95562cd9e7c2


權限不足 http://127.0.0.1:13010/user/queryAuthorizationInfo?token=cadcf757f5fe4ee9b66d95562cd9e7c2

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

從XML配置角度理解Spring AOP

本文分享自華爲雲社區《Spring高手之路18——從XML配置角度理解Spring AOP》,作者: 磚業洋__。 1. Spring AOP與動態代理 1.1 Spring AOP和動態代理的關係 Spring AOP使用動態代理作爲

原創 2024-05-13 11:31:09

Spring AOP 中被代理的對象一定是單例嗎?

今天我們來思考這樣一個問題:在 Spring AOP 中,被代理的對象是單例的嗎?當我們每次獲取到代理對象的時候,都會重新獲取一個新的被代理對象嗎?還是被代理的對象始終是同一個? 爲什麼要思考這個問題,因爲在松哥接下來要講的 @Scope

原創 2024-05-13 02:20:48

Spring Boot3,啓動時間縮短 10 倍!

前面松哥寫了一篇文章和大家聊了 Spring6 中引入的新玩意 AOT(見Spring Boot3 新玩法,AOT 優化!)。 文章發出來之後,有小夥伴問松哥有沒有做性能比較,老實說,這個給落下了,所以今天再來一篇文章,和小夥伴們梳理比較小

原創 2024-05-13 02:20:47

Linux 服務器配置-使用portainer安裝gitlab

1. 創建容器 1.1 自己創建 1.2 使用模板創建 portainer 的 “App Template” 模塊自帶了一些應用的模板,使用起來比較簡單。 根據它的配置項我們提前創建好數據卷 配置上名稱、端口、數據卷

原創 2024-05-13 13:21:59

Fay框架文檔-帶貨版

抖音個性化數字人直播教程 參考安裝說明搭建配置好控制器,抖音輸入源需開啓 啓動bin/Release_2.85/2.85.exe 抖音源碼: https://github.com/wwengg/

原創 2024-05-13 12:57:22

鴻蒙原生應用已超4000個!

鴻蒙原生應用已超4000個! 來自 HarmonyOS  微博近期消息,#鴻蒙千帆起# 重大里程碑!目前已有超4000個應用加入鴻蒙生態。從今年1月18日華爲宣佈首批200多家應用廠商正在加速開發鴻蒙原生應用,到3月底超4000個應用,短短

原創 2024-05-13 12:26:37

鴻蒙原生應用再添新丁!瑞幸咖啡 入局鴻蒙

鴻蒙原生應用再添新丁!瑞幸咖啡 入局鴻蒙 來自 @HarmonyOS  微博1月23日消息,國內擁有超過1.3萬家門店、累計服務超過2億客戶的瑞幸咖啡,已完#成鴻蒙原生應用#核心功能開發,大家以後可以隨時隨地在多種#HarmonyOS#終端

原創 2024-05-13 12:26:35

鴻蒙原生應用再添一批新丁!阿里旗下11款應用、廣汽傳祺、嵐圖汽車、零跑汽車、凱翼汽車 入局鴻蒙

 鴻蒙原生應用再添一批新丁!阿里旗下11款應用、廣汽傳祺、嵐圖汽車、零跑汽車、凱翼汽車 入局鴻蒙   來自 HarmonyOS  微博近期消息,阿里旗下閒魚、1688、飛豬、餓了麼、盒馬、菜鳥、點淘、淘寶特價版、大麥、淘票票、燈塔專業版共1

原創 2024-05-13 12:26:34

鴻蒙原生應用再添新丁!萬達 入局鴻蒙

鴻蒙原生應用再添新丁!萬達 入局鴻蒙   來自 @HarmonyOS  微博1月11日消息,#萬達酒店及度假村啓動鴻蒙原生應用及元服務開發# 作爲具有中國特色的國牌服務酒店標杆之一,@萬達酒店及度假村Wanda 將帶來全新的服務和交互方式,

原創 2024-05-13 12:26:31

鴻蒙生態千帆啓航!

2024年1月18日,華爲舉行的鴻蒙生態千帆啓航儀式,會上宣佈HarmonyOS NEXT鴻蒙星河版系統開發者預覽版開放申請。據介紹,鴻蒙星河版將實現原生精緻、原生應用、原生流暢、原生安全、原生智能、原生互聯六大極致原生體驗。Harmony

原創 2024-05-13 12:26:29

鴻蒙原生應用再添一批新丁!墨跡天氣、北京銀行、快手、中國電信 入局鴻蒙

 鴻蒙原生應用再添一批新丁!墨跡天氣、北京銀行、快手、中國電信 入局鴻蒙 來自 HarmonyOS  微博近期消息,#鴻蒙千帆起#服務超七億用戶的天氣App@墨跡天氣,啓動鴻蒙原生應用開發,讓智慧體驗落地更多場景![打call]鴻蒙星河版墨

原創 2024-05-13 12:26:26

來了,永久免費的圖牀服務

前前後後也寫了很多博客和文章了,作爲一個資深的markdown用戶,我是非常喜歡markdown的簡潔語法,可以讓我在不太關注於文字格式的前提下,獲得比較好的閱讀和排版體驗。 但是用markdown語法也有一個壞處,就是在向markdown

原創 2024-05-13 09:47:53

鴻蒙原生應用再添新丁!高德地圖入局鴻蒙

 鴻蒙原生應用再添新丁!高德地圖入局鴻蒙   來自HarmonyOS微博消息,12月1日#高德地圖#與華爲達成合作,將基於#HarmonyOS NEXT#啓動#鴻蒙原生應用#開發,成爲導航領域首個啓動鴻蒙原生應用開發的夥伴。 依託#Harm

原創 2024-05-13 00:24:53

鴻蒙原生應用再添兩員新丁! B站、58入局鴻蒙

鴻蒙原生應用再添兩員新丁!​B站、58入局鴻蒙   來自HarmonyOS微博消息,11月27日,B站與華爲達成合作,並正式啓動B站#鴻蒙原生應用#開發。作爲一個年輕人高度聚集的視頻社區,B站內容上涵蓋數千個品類和圈層,日活躍用戶數近1億。

原創 2024-05-13 00:24:50

鴻蒙原生應用再添新丁!支付寶入局鴻蒙

鴻蒙原生應用再添新丁!支付寶入局鴻蒙 12月7日,支付寶與華爲終端宣佈合作,基於 HarmonyOS NEXT 啓動支付寶鴻蒙原生應用開發。 支付寶事業羣總裁倪行軍表示,雙方的合作將進一步滿足用戶在不同終端、不同場景下享受智慧生活服務的需求

原創 2024-05-13 00:24:49