我使用shiro和jwt尝试实现无状态的Web应用程序。
当我扩展AuthorizingRealm
时,是否需要executeLogin
每个请求?
这是我的executeLogin
方法:
public static boolean executeLogin(ServletRequest request) {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
String authorization = httpServletRequest.getHeader("Authorization");
if (authorization == null || "".equals(authorization.trim())) {
throw RequestException.fail("未含授权标示,禁止访问");
}
JwtToken token = new JwtToken(authorization, null, null);
// 提交给realm进行登入,如果错误他会抛出异常并被捕获
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
} catch (DisabledAccountException e) {
if (e.getMessage().equals("verifyFail")) {
throw new RequestException(ResponseCode.NOT_SING_IN.code, "身份已过期,请重新登录", e);
}
throw new RequestException(ResponseCode.SIGN_IN_INPUT_FAIL.code, e.getMessage(), e);
} catch (Exception e) {
e.printStackTrace();
throw new RequestException(ResponseCode.SIGN_IN_FAIL, e);
}
// 如果没有抛出异常则代表登入成功,返回true
return true;
}
答案 0 :(得分:1)
“无状态”表示每个请求都不依赖于前一个请求,但这并不意味着Shiro不使用会话。
当用户成功登录后,Shiro会将一些cookie附加到HTTPResponse。当客户端向每个其他请求发送cookie时,Shiro会自动提取主题(将cookie与用户相关联),因此,在您的代码中,您可以立即调用SecurityUtils.getSubject()
。
答案 1 :(得分:0)
这里的领域是错误的方法,因为根据定义,领域通常与数据源具有一对一的关联。您实际要做的是控制对服务器资源的访问,并从客户端验证JWT。这可以通过AccessControlFilter
,读取授权标头并在过滤器isAccessAllowed
方法中验证其声明来完成。返回值的方法定义了是否允许惠特访问。
由于AccessControlFilter
决定了授予或拒绝访问权限,因此您根本不需要登录主题,可以将用户转发到请求的资源,也可以重定向401-未经授权的响应。
答案 2 :(得分:0)
是的,您应该为每个请求登录。这会将主题附加到当前线程,并允许您使用功能:例如对authz使用注释。
答案 3 :(得分:0)
在使用无状态呼叫时,您每次必须登录并生成新主题,并在适当的领域中加载授权详细信息。
您可以尝试的另一种选择是,成功登录后将主题放入缓存(ehCache),然后在每个请求上都可以从Cache获取主题并用于授权。这样可以避免每次请求都填充登录和授权对象。但是您必须确保在注销事件时从缓存中删除对象。
类似的事情已经由一位用户在以下位置完成:
https://github.com/jikechenhao/springmvc-shiro-react-redux-restful-example