Shiro 整合 JWT 实现无状态 Web 服务
发布网友
发布时间:2023-01-26 03:39
共1个回答
热心网友
时间:2023-07-10 16:57
无状态的 Web 服务(RESTful),意味着我们不会使用 Shiro 的 Session 功能,更用不上 SessionDAO 。因此,严谨的做法可以在 Security Manager 的配置中将这两个功能关闭掉。
通过调用 context.setSessionCreationEnabled(false) 表示不创建会话;如果之后调用 subject.getSession() 将抛出 DisabledSessionException 异常。
类似于 FormAuthenticationFilter,但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。
AccessControlFilter 有两个方法:isAccessAllowed方法和 onAccessDenied方法:
和客户端约定好,要求客户端发送的请求,在请求头中传递 jwt-token-string ,然后生成 JwtToken 对象,再触发 Security Manager 进行 subject 的认证。
用户身份和凭证都是 token 。
用于认证的 Realm 。
