【SpringBoot】Shiro实现无状态登录

Posted 2023-03-25

参考技术A 使用Shiro实现有状态登录，即用户登录状态存储在服务器Session中，使用Shiro实现比较简单，我这里暂不进行讨论。
在一些环境中，可能需要把 Web 应用做成无状态的，即服务器端无状态，就是说服务器端不会存储像Session这种东西，而是每次请求时带上token之类的进行用户判断。
使用Shiro实现无状态登录的主要步骤有，禁用缓存、设置不创建session、关闭Session验证、关闭Session存储、注入自定义拦截器、开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)等。

获取token,这里token写死为admin

添加增删改查接口，并设置需要的访问权限

关键是设置不创建Session

主要功能就是拦截http请求，进行认证授权，注意不要拦截登录请求

在StatelessAuthcFilter拦截器中，会调用StatelessRealm进行token认证及用户授权。
我这里设置token为admin时拥有增删改查的权限。
token为user时，只拥有查的权限。
其他token，无任何权限。

主要是禁用缓存、不创建Session、关闭Session验证、关闭Session存储、注入配置拦截器、开启权限校验注解等。