jfinal中stateless模式怎么嵌入shiro验证

这篇文章主要讲解了“jfinal中stateless模式怎么嵌入shiro验证”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“jfinal中stateless模式怎么嵌入shiro验证”吧！

Stateless的理解

个人对Stateless的理解就是前后端分离，两次请求互相独立，通过约定的token等内容判断是否是同一个用户。

因此这要求，登录接口需要给用户生成一个随机的token，以便用户后续访问的时候带上。

登录接口

登录接口首先需要我们访问数据库，以及通过特定算法来验证用户名与密码是否匹配。如果匹配，则生成随机的字符串，即token，并保存在redis中，注意，映射关系是token为key，value为用户信息，可以是用户名，也可以是用户id等用户唯一标识。

@Clearpublic void Login() {    String name = getPara("name");    String password = getPara("password");    if ("admin".equals(name)) { // TODO 判断密码与用户名是否正确        Cache cache = Redis.use();        String token = StrKit.getRandomUUID();        cache.set("TOKEN:" + token, name);        renderText(token);    } else {        renderText("用户名与密码错误");    }}

另外，需要注意的有两点：

• 接口前调用@Clear，即登录接口不应该被拦截验证

• 系统的登录接口，与shiro中的subject.login应该注意区分，是两个不同的概念。

自定义拦截器

package com.holdoa.core.interceptor;import com.holdoa.core.controller.BaseController;import com.holdoa.core.filter.JWTToken;import com.jfinal.aop.Interceptor;import com.jfinal.aop.Invocation;import com.jfinal.core.Controller;import com.jfinal.kit.LogKit;import com.jfinal.kit.StrKit;import org.apache.shiro.SecurityUtils;import org.apache.shiro.aop.MethodInvocation;import org.apache.shiro.authz.AuthorizationException;import org.apache.shiro.authz.aop.AnnotationsAuthorizingMethodInterceptor;import org.apache.shiro.subject.Subject;import java.lang.reflect.Method;public class MyShiroInterceptor extends AnnotationsAuthorizingMethodInterceptor implements Interceptor {     public MyShiroInterceptor() {        getMethodInterceptors();    }     public void intercept(final Invocation inv) {        try {            String token = inv.getController().getHeader("token");            if (StrKit.isBlank(token)) {                BaseController b = (BaseController) inv.getController();                b.renderAppError("缺少token");                return;            } else {                Subject s = SecurityUtils.getSubject();                JWTToken jwtToken = new JWTToken(token);                s.login(jwtToken);                inv.invoke();            }        } catch (Throwable e) {            if (e instanceof AuthorizationException) {                doProcessuUnauthorization(inv.getController());            }            LogKit.warn("权限错误:", e);            try {                throw e;            } catch (Throwable throwable) {                throwable.printStackTrace();            }        }    }         private void doProcessuUnauthorization(Controller controller) {        controller.redirect("/login/noLogin");    }}

上面的代码很长，我们重点看其中的这几行：

String token = inv.getController().getHeader("token");if (StrKit.isBlank(token)) {    BaseController b = (BaseController) inv.getController();    b.renderAppError("缺少token");    return;} else {    Subject s = SecurityUtils.getSubject();    JWTToken jwtToken = new JWTToken(token);    s.login(jwtToken);    inv.invoke();}

逻辑可以描述为：获取token，若不为空，将其转换为JWTToken对象，然后调用shiro的登录接口：s.login(jwtToken)。

而shiro的login方法会触发自定义Realm中的验证接口：

@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {String token = (String) auth.getCredentials(); // 解密获得username，用于和数据库进行对比        String userName = JwtUtils.getUsername(token);        if (userName == null || userName == "") {            throw new AuthenticationException("token 校验失败");        }return new SimpleAuthenticationInfo(token, token, getName());}

其中，JwtUtils。getUsername的具体代码如下，和设置token是对应的：

    public static String getUsername(String token) {Cache cache = Redis.use();String username = (String)cache.get(RedisKeyPreFix.NEW_OA_MANAGE_TOKEN_PREFIX + token);return username;    }

感谢各位的阅读，以上就是“jfinal中stateless模式怎么嵌入shiro验证”的内容了，经过本文的学习后，相信大家对jfinal中stateless模式怎么嵌入shiro验证这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是编程网，小编将为大家推送更多相关知识点的文章，欢迎关注！