1.登录
原理:
使用FormAuthenticationFilter过滤器实现,当被 /** = authc 拦截到,就会进入FormAuthenticationFilter过滤器,
用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl
FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的)
FormAuthenticationFilter调用realm传入一个token(username和password)
realm认证时根据username查询用户信息
如果查询不到,realm返回null,FormAuthenticationFilter向request域中填充一个参数(记录了异常信息)
如果查询到了,返回token(包括username和password)进行比对,比对成功认证通过,shiro会默认跳转到上一个页面
注意:
修改页面的账号和密码的input的name属性为username和password,
因为FormAuthenticationFilter的用户身份和密码的input的默认值(username和password)
代码的实现
认证拦截过虑器的编写
在applicationContext-shiro.xml中配置
<!--
/** = authc--所有没有通过认证的资源被拦截下来
拦截到的资源会传到FormAuthenticationFilter这个过滤器中
使用FormAuthenticationFilter过虑器实现 登录:
当用户没有认证时,请求login的url进行认证,
用户身份和用户密码提交数据到loginurl(上面已经指定了该url),
FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的)
FormAuthenticationFilter调用realm传入一个token(username和password)
realm认证时根据username查询用户信息(包括 userid、usercode、username、menus)。
如果查询不到,realm返回null,FormAuthenticationFilter向request域中填充一个参数(记录了异常信息)
如果认证通过,shiro会默认跳转到上一个页面
-->
/** = authc
2.退出
使用LogoutFilter
不用我们去实现退出,只要去访问一个退出的url(该 url是可以不存在),由LogoutFilter拦截住,清除session。
在applicationContext-shiro.xml配置LogoutFilter:
<!--
请求logout.action地址,shiro执行清除session操作
-->
/logout.action = logout
可以删除原来的logout的controller方法代码。