jfinal中stateless模式嵌入shiro验证的实现方式

更新时间：2022年06月24日 14:26:25 作者：KevinQ

这篇文章主要介绍了jfinal中stateless模式嵌入shiro验证,今天，我们就来尝试一种通过拦截器来实现的Stateless Jfinal嵌入方式，需要的朋友可以参考下

问题起源

在前些天的文章中，我们了解到困惑了我们好几天的问题是由于jfinal新版中使用undertowServer方式启动，其嵌入filter的方式有变动，所以导致网上检索到的通过web.xml嵌入filter失败。

在不考虑修改undertowServer的情况下，也就意味着我们需要找到一种在undertowServer环境下，嵌入shiro的方式。

今天，我们就来尝试一种通过拦截器来实现的Stateless Jfinal 嵌入方式。

Stateless的理解

个人对Stateless的理解就是前后端分离，两次请求互相独立，通过约定的token等内容判断是否是同一个用户。

因此这要求，登录接口需要给用户生成一个随机的token，以便用户后续访问的时候带上。

登录接口

登录接口首先需要我们访问数据库，以及通过特定算法来验证用户名与密码是否匹配。如果匹配，则生成随机的字符串，即token，并保存在redis中，注意，映射关系是token为key，value为用户信息，可以是用户名，也可以是用户id等用户唯一标识。

@Clear
public void Login() {
    String name = getPara("name");
    String password = getPara("password");
    if ("admin".equals(name)) { // TODO 判断密码与用户名是否正确
        Cache cache = Redis.use();
        String token = StrKit.getRandomUUID();
        cache.set("TOKEN:" + token, name);
        renderText(token);
    } else {
        renderText("用户名与密码错误");
    }
}

另外，需要注意的有两点：

接口前调用@Clear，即登录接口不应该被拦截验证
系统的登录接口，与shiro中的subject.login应该注意区分，是两个不同的概念。

自定义拦截器

package com.holdoa.core.interceptor;
import com.holdoa.core.controller.BaseController;
import com.holdoa.core.filter.JWTToken;
import com.jfinal.aop.Interceptor;
import com.jfinal.aop.Invocation;
import com.jfinal.core.Controller;
import com.jfinal.kit.LogKit;
import com.jfinal.kit.StrKit;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.aop.MethodInvocation;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.aop.AnnotationsAuthorizingMethodInterceptor;
import org.apache.shiro.subject.Subject;
import java.lang.reflect.Method;
public class MyShiroInterceptor extends AnnotationsAuthorizingMethodInterceptor implements Interceptor {
	 
    public MyShiroInterceptor() {
        getMethodInterceptors();
    }
 
    public void intercept(final Invocation inv) {
        try {
            String token = inv.getController().getHeader("token");
            if (StrKit.isBlank(token)) {
                BaseController b = (BaseController) inv.getController();
                b.renderAppError("缺少token");
                return;
            } else {
                Subject s = SecurityUtils.getSubject();
                JWTToken jwtToken = new JWTToken(token);
                s.login(jwtToken);
                inv.invoke();
            }
        } catch (Throwable e) {
            if (e instanceof AuthorizationException) {
                doProcessuUnauthorization(inv.getController());
            }
            LogKit.warn("权限错误:", e);
            try {
                throw e;
            } catch (Throwable throwable) {
                throwable.printStackTrace();
            }
        }
    }
 
    /**
     * 未授权处理
     *
     * @param controller controller
     */
    private void doProcessuUnauthorization(Controller controller) {
        controller.redirect("/login/noLogin");
    }
}

上面的代码很长，我们重点看其中的这几行：

String token = inv.getController().getHeader("token");
if (StrKit.isBlank(token)) {
    BaseController b = (BaseController) inv.getController();
    b.renderAppError("缺少token");
    return;
} else {
    Subject s = SecurityUtils.getSubject();
    JWTToken jwtToken = new JWTToken(token);
    s.login(jwtToken);
    inv.invoke();
}

逻辑可以描述为：获取token，若不为空，将其转换为JWTToken对象，然后调用shiro的登录接口：s.login(jwtToken)。

而shiro的login方法会触发自定义Realm中的验证接口：

/**
	 * 自定义认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
		String token = (String) auth.getCredentials();
		 // 解密获得username，用于和数据库进行对比
        String userName = JwtUtils.getUsername(token);
        if (userName == null || userName == "") {
            throw new AuthenticationException("token 校验失败");
        }
		return new SimpleAuthenticationInfo(token, token, getName());
	}

其中，JwtUtils。getUsername的具体代码如下，和设置token是对应的：

/**
     * @return token中包含的用户名
     */
    public static String getUsername(String token) {
		Cache cache = Redis.use();
		String username = (String)cache.get(RedisKeyPreFix.NEW_OA_MANAGE_TOKEN_PREFIX + token);
		return username;
    }

如此，便做到了shiro的嵌入。

遗留问题

目前欠缺的一个问题是，不能实现shiro的注解来进行权限验证，这个问题我们还准备借助ShiroPlugin来实现，由于jfinal已经升级到4.8了，而shiroPlugin目前还停留在支持jfinal 3.x的版本，所以需要我们下载jfianl-shiro-plugin源码做一些修改。

到此这篇关于jfinal中stateless模式嵌入shiro验证的实现方式的文章就介绍到这了,更多相关jfinal shiro验证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

SpringBoot3集成Quartz的示例代码
Quartz由Java编写的功能丰富的开源作业调度框架,可以集成到几乎任何Java应用程序中,并且能够创建多个作业调度,在实际的业务中,有很多场景依赖定时任务,比如常见的：订单超时处理,业务识别和预警通知等,本文介绍了SpringBoot3如何集成Quartz
2023-08-08
完美解决idea突然间很卡的问题
这篇文章主要介绍了完美解决idea突然间很卡的问题，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2021-02-02
关于MVC的dao层、service层和controller层详解
这篇文章主要介绍了关于MVC的dao层、service层和controller层详解，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-02-02
java实现合并两个已经排序的列表实例代码
这篇文章主要介绍了java实现合并两个已经排序的列表实例代码，有需要的朋友可以参考一下
2013-12-12
java 面向对象面试集锦
这篇文章主要介绍了java 面向对象面试集锦的相关资料,这里整理了面向对象的基础知识，帮助大家学习理解此部分的知识，需要的朋友可以参考下
2016-11-11
java 算法之归并排序详解及实现代码
这篇文章主要介绍了java 算法之归并排序详解及实现代码的相关资料,需要的朋友可以参考下
2017-03-03
Java并发编程示例(一)：线程的创建和执行
这篇文章主要介绍了Java并发编程示例(一)：线程的创建和执行,本文是系列文章的第一篇,需要的朋友可以参考下
2014-12-12
SpringFramework中的数据校验方式
这篇文章主要介绍了SpringFramework中的数据校验方式,本文通过实例代码给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧
2024-12-12
SpringBoot实现自定义Starter的步骤详解
在SpringBoot中，Starter是一种特殊的依赖，它可以帮助我们快速地集成一些常用的功能，例如数据库连接、消息队列、Web框架等。在本文中，我们将介绍如何使用Spring Boot实现自定义Starter,需要的朋友可以参考下
2023-06-06
基于java中泛型的总结分析
本篇文章介绍了，在java中泛型的总结分析。需要的朋友参考下
2013-05-05