SpringBoot如何集成Shiro安全驗證

這篇文章將為大家詳細講解有關SpringBoot如何集成Shiro安全驗證，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

Shiro工作原理是服務端將SessionID寫入客戶端瀏覽器的cookie中，客戶端發起請求時攜帶cookie信息，服務端從cookie中讀取sessionId，以此來維持會話。但是在前后端分離模式下，我們的后端服務不能將sessionId寫到請求瀏覽器cookie中，而且存在跨域問題，基于安全方面原因，ajax請求也都不帶cookie信息，后端程序沒辦法取得sessionId，也就無法驗證登錄。

實現思路：將SessionID返回前端做保存（寫入cookie或localStage中），然后前端發起請求的時候，將Sessionid傳給服務器，服務器獲取這個SessionID，再取對應的session

  后臺登錄接口，需要將ShiroSession的SessionId返回給前端，前端保存到cookie中，

登錄成功后，前端JS中接收sessionID(token)，并保存到cookie中，

第一，修改Shiro安全配置，重寫SessionManager類，創建一個MySessionManager類繼承DefaultWebSessionManager類，重寫getSessionId方法，先從cookie獲取SessionID，取不到再從requestHeader中獲取，如取不到再從請求參數中獲取

 第二，修改Shiro配置中的session管理類，配置為我們的MySessionManager類，這里用到了redis作為緩存管理器，

第三，在項目中添加一個過濾器類CrosFilter，處理跨域問題，其中，OPTIONS預處理請求，要返回200，表示成功，否則ajax發起post，get等請求，服務器不能響應。另外，Access-Control-Allow-Headers配置項中，要設置Authorization，而且，Access-Control-Allow-Credentials 要設置成true.

-最后，前端ajax發起請求時，需要添加請求頭信息，requestHeader添加Authorization項，值為登錄時返回的sessionID($.cookie("token"))，設置crossDomain為true。最后，前端ajax發起請求時，需要添加請求頭信息，requestHeader添加Authorization項，值為登錄時返回的sessionID($.cookie("token"))，設置crossDomain為true。

SpringBoot前后端分離API接口怎么保證API接口的安全性？

前端用vue寫的，直接放在nginx下面，后端使用SpringBoot作為服務端提供API接口給前端訪問，

前端分為公共訪問頁面和登錄后訪問頁面。登錄后訪問的可以使用JWT進行接口鑒權。但是沒有登錄的情況如何保護接口不被惡意的調用？通過請求request來獲取ip.記錄ip請求次數到redis緩存.當ip請求頻率過高時，屏蔽該ip

關于“SpringBoot如何集成Shiro安全驗證”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。