我使用shiro和jwt并尝试实现无状态Web应用程序。
当我延伸AuthorizingRealm
时,我是否需要每次请求executeLogin
?
这是我的executeLogin
方法:
public static boolean executeLogin(ServletRequest request) {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
String authorization = httpServletRequest.getHeader("Authorization");
if (authorization == null || "".equals(authorization.trim())) {
throw RequestException.fail("未含授权标示,禁止访问");
}
JwtToken token = new JwtToken(authorization, null, null);
// 提交给realm进行登入,如果错误他会抛出异常并被捕获
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
} catch (DisabledAccountException e) {
if (e.getMessage().equals("verifyFail")) {
throw new RequestException(ResponseCode.NOT_SING_IN.code, "身份已过期,请重新登录", e);
}
throw new RequestException(ResponseCode.SIGN_IN_INPUT_FAIL.code, e.getMessage(), e);
} catch (Exception e) {
e.printStackTrace();
throw new RequestException(ResponseCode.SIGN_IN_FAIL, e);
}
// 如果没有抛出异常则代表登入成功,返回true
return true;
}
无状态意味着每个请求都不依赖于之前的请求,但这并不意味着Shiro不使用会话。
当用户成功登录时,Shiro会将一些cookie附加到HTTPResponse。当客户端向每个进一步的请求发送cookie时,Shiro会自动提取主题(将cookie与用户关联),因此,在您的代码中,您可以立即调用SecurityUtils.getSubject()
。
领域在这里是错误的approch,因为它通常具有与数据源的1对1相关性。您实际想要做的是控制对服务器资源的访问,从客户端验证JWT。这可以通过AccessControlFilter
来完成,阅读授权标题并在过滤器isAccessAllowed
方法中验证其声明。方法返回值定义允许或不允许访问。
您根本不需要登录主题,因为AccessControlFilter
决定授予或拒绝访问权限,将用户转发到请求的资源或重定向401 - 未经授权的响应。
是的,您应该为每个请求登录。这会将主题附加到当前线程并允许您使用功能:例如使用authz注释。
当您使用无状态调用时,您必须每次登录并生成新主题,并使用适当的域加载授权详细信息。
您可以尝试的另一个选项是,成功登录后将主题放入缓存(ehCache),然后在每个请求中,您可以从缓存中获取主题并用于授权。这将避免每次请求的登录和授权对象填充。但是你必须确保在logout事件中从缓存中删除对象。
一位用户已经完成了类似的事情:
https://github.com/jikechenhao/springmvc-shiro-react-redux-restful-example