springboot shiro 实现token

要求

做前端端分离的项目时前端要求用token，在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。

实现步骤

有一些代码是在其他人的博客里面复制的
在原来的使用sessionId的项目基础上做以下修改：

1. 增加SessionManager要求继承DefaultWebSessionManager。

package com.llx.studio.config.shiro;

import org.apache.commons.lang.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

public class ShiroSessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "authToken";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public ShiroSessionManager(){
        super();
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response){
        String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        if(StringUtils.isEmpty(id)){
            //如果没有携带id参数则按照父类的方式在cookie进行获取

            return super.getSessionId(request, response);
        }else{
            //如果请求头中有 authToken 则其值为sessionId
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID,id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,Boolean.TRUE);
            return id;
        }
    }
}

2. 在ShiroConfiguration 配置文件里面添加以下内容

 /**
     * 自定义sessionManager
     * @return
     */
    @Bean
    public SessionManager sessionManager(){
        ShiroSessionManager shiroSessionManager = new ShiroSessionManager();
        //这里可以不设置。Shiro有默认的session管理。如果缓存为Redis则需改用Redis的管理
        shiroSessionManager.setSessionDAO(sessionDAO());
        return shiroSessionManager;
    }

    @Bean
    public SessionDAO sessionDAO() {
        return new MemorySessionDAO();//使用默认的MemorySessionDAO
    }

3 在继承AuthorizingRealm的自定义Realm 里添加以下内容

使用spring容器获取sessionDAO 主要是用来获取所有会话（getActiveSessions）的

    @Autowired
    private SessionDAO sessionDAO;

doGetAuthenticationInfo方法下

//获取所有session
        Collection activeSessions = sessionDAO.getActiveSessions();
        //判断用户是否与登入
        for (Session s : activeSessions){
            JSONObject attribute = (JSONObject)s.getAttribute(Constants.SESSION_USER_INFO);
            //如果有登入，则销毁session
            if (attribute.getString("userName").equals(loginName)) s.stop();
        }

4. 登入成功后直接获取SessionID，并放到body里面

			currentUser.login(token);
			Serializable id = currentUser.getSession().getId();
			info.put("token", id);

缺点

他还是会设置cookie，我不知道怎么让shiro不是向cookie里面设置值，改成在body里面，所有我现在了同时都设置。有知道的小伙伴可以告诉我，谢谢观看！