shiro学习笔记六:shiro认证流程

最新推荐文章于 2021-07-21 10:49:36 发布
最新推荐文章于 2021-07-21 10:49:36 发布
阅读量129 收藏
点赞数
原文链接:https://my.oschina.net/tij/blog/1929793
版权

一、项目说明

项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2

源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms

实现目标:完成从前台到控制器,以及自定义realm和logout过滤器的应用等实现整个认证过程

综合实例:基于shiro的按钮级别的权限管理系统

二、认证流程

762d2b7236df706a2eb5f476e3fc133abcf.jpg

三、常用异常

    授权异常:

    (1)UnauthenticatedException :授权异常

    (2)HostUnauthorizedException:没有访问权限

    (3)HostUnauthorizedException:没有访问权限

    (4)AuthorizationException:授权异常父类

    认证异常:

    (1)UnsupportedTokenException:身份令牌异常,不支持的身份令牌

    (2)UnknownAccountException:未知账户/没找到帐号,登录失败

    (3)LockedAccountException:帐号锁定

    (4)DisabledAccountException:账户禁用

    (5)ConcurrentAccessException:用户多次登录异常

    (6)AccountException:账户异常

    (7)ExpiredCredentialsException:过期的凭据异常

    (8)IncorrectCredentialsException:错误的凭据异常

    (9)CredentialsException: 凭据异常

    (10)AuthenticationException:认证的父类

四、Realm类继承关系

5256a443239f51c5f5bc4de2a3b2530ab68.jpg

五、认证流程实现

        注:此节的代码实现是基于shiro学习笔记三:shiro与spring集成实现

(1)创建登录页面login.jsp

        注:使用了bootstrap进行了样式的简单美化,action="shiro/login"地址需要在spring-shiro-config.xml的过滤器中配置/login.jsp=anon

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>登录</title>
    <link rel="stylesheet" type="text/css" href="statics/boostrap/css/bootstrap.css"/>
    <style>
        .tm-container{
            width: 600px;
            margin: 20px auto;
        }
    </style>
</head>
<body>
    <div class="tm-container">
        <form class="form-horizontal" role="form" action="shiro/login" method="post">
            <div class="form-group">
                <label for="firstname" class="col-sm-2 control-label">用户姓名</label>
                <div class="col-sm-10">
                    <input type="text" class="form-control" id="firstname" name="userName" placeholder="请输入姓名">
                </div>
            </div>
            <div class="form-group">
                <label for="lastname" class="col-sm-2 control-label">用户密码</label>
                <div class="col-sm-10">
                    <input type="password" class="form-control" id="lastname" name="password" placeholder="请输入密码">
                </div>
            </div>
            <div class="form-group">
                <div class="col-sm-offset-2 col-sm-10">
                    <div class="checkbox">
                        <label>
                            <input type="checkbox">请记住我
                        </label>
                    </div>
                </div>
            </div>
            <div class="form-group">
                <div class="col-sm-offset-2 col-sm-10">
                    <button type="submit" class="btn btn-danger">登录</button>
                </div>
            </div>
        </form>
    </div>
    <script type="text/javascript" src="statics/jquery/jquery-3.2.1.js"></script>
    <script type="text/javascript" src="statics/boostrap/js/bootstrap.js"></script>
</body>
</html>

(2)配置登录cotroller

package com.wsd.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;

/**
 * Created by tm on 2018/8/17.
 * shiro认证Controller
 */
@Controller
@RequestMapping("shiro")
public class ShiroController {

    private static final transient Logger log = LoggerFactory.getLogger(ShiroController.class);

    /**
     * 登录
     * @param userName  用户名称
     * @param password  用户密码
     * @return
     */
    @RequestMapping("/login")
    public String login(@RequestParam("userName") String userName, @RequestParam("password") String password){

        // 得到一个Subject对象,该对象为访问系统任意用户
        Subject currentUser = SecurityUtils.getSubject();

        // 通过Subject对象的isAuthenticated判断该用户是否已经验证
        if (!currentUser.isAuthenticated()) {
            // 如果该用户未验证,得到用户的账号和密码,使用UsernamePasswordToken的方式生成一个该用户的token凭证
            UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
            // 开启记住我的功能,这里可以通过获取用户的提交的信息,判断是否选择记住我来决定开启或关闭
            token.setRememberMe(true);
            try {
                // 通过Subject对象的login来验证用户的身份
                currentUser.login(token);
                // 如果用户身份验证不通过会抛出相应的异常,可以通过抛出的异常来设置返回给前台的信息
            } catch (UnknownAccountException uae) {
                // UnknownAccountException账号不存在异常
                log.info("===============账号不存在异常=>"+token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                // IncorrectCredentialsException密码错误异常
                log.info("===============密码错误异常=>"+token.getPrincipal());
            } catch (LockedAccountException lae) {
                // LockedAccountException账户被锁定异常
                log.info("===============账户被锁定异常=>"+token.getPrincipal());
            } catch (AuthenticationException ae) {
                // AuthenticationException即验证不通过异常,为前面几个异常的父类
            }
        }
        //认证成功后跳转,需配置过滤器
        return "redirect:/welcom.jsp";
    }
}

(3)自定义Realm

package com.wsd.shiro;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.AuthenticatingRealm;

/**
 * Created by tm on 2018/8/17.
 * 用户自定义认证Realm
 */
public class JdbcRealm extends AuthenticatingRealm {

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //token类型转化
        UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
        //获取前台用户信息
        String username = upToken.getUsername();
        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据

        // 使用数据库中的用户信息与前台传入的用户信息比对,如果用户不存在,抛出异常
        if("wsd".equals(username)) {
            throw new UnknownAccountException("==================用户不存在");
        }
        // 用户被锁定是,抛出异常
        if("wsd1".equals(username)) {
            throw new LockedAccountException("==================用户被锁定");
        }

        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据
        Object principal = username;  //从数据中获取用户名称
        Object credentials = "123456";  //从数据中获取用户密码
        String realmName = "jdbcRealm";  //自定义
        return new SimpleAuthenticationInfo(principal, credentials, realmName);
    }
}

(4)在spring-shiro-config.xml配置Realm以及过滤器

<!-- 配置shiro的核心securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="cacheManager" ref="cacheManager"/>
	<!--<property name="sessionMode" value="native"/>-->
	<property name="realm" ref="jdbcRealm"/>
</bean>

<!-- 配置shiro的重要的元素Reaml(验证的数据源),可自定义 -->
<bean id="jdbcRealm" class="com.wsd.shiro.JdbcRealm">
</bean>
<property name="filterChainDefinitions">
	<!-- 静态资源需要设置为anon,否则找不到 -->
	<value>
		/statics/** = anon
		/login.jsp = anon
		/welcom.jsp = user
		/logout = logout
	</value>
</property>

(5)退出登录

    说明:需要在退出登录的页面添加<a>标签,指定到退出过滤器匹配的url,同时在shiro配置文件中配置退出过滤器即可。如果不退出登录,返回到login.jsp后输入错误的账户密码仍能访问登录成功的页面。

ba758ddc9b8e51cb03510540bcbcd05bb17.jpg

b25f408fc081778567003232fb90652e62e.jpg

(6)测试举例

    说明:

    (1)由于还没有使用数据库持久化,测试用户的密码在自定义的realm定义为123456,如用wsd和wsd1登录则会在控制台打印出相应的异常

    (2)如果登录成功后进入welcom.jsp,没有点击退出登录按钮,返回到login.jsp输入错误的密码后点击登录仍然可以登录

转载于:https://my.oschina.net/tij/blog/1929793

chunlulin2540
关注
shiro学习笔记四:shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1942
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
Shrio UnauthenticatedException 异常
qq_28509855的博客
01-07 1982
Shiro UnauthenticatedException 异常 问题起因 最近在项目中引入了shiro, 我在一个【添加用户】的controller方法添加了shiro的注解:RequiresPermissions, 在已登录且其它同样加了此注解的方法能够顺利执行的情况下,【添加用户】的方法始终报如下错误 <== 捕获shiro异常: 用户未登录, UnauthenticatedException: GlobalExceptionHandler : <== 捕获shiro异常: 用户未登
Shiro权限控制(四):Shiro注解验证异常处理
kity9420的专栏
04-11 5045
一、目标 权限验证异常时,对异常进行封装,使之不直接抛给用户 二、前言 在前面的一篇博文中《Shiro权限控制之注解验证(三)》,权限验证异常时,异常信息直接抛到页面显示,如何处理验证时的异常信息呢,请看下面的介绍 三、定义异常处理类 异常有两种,登录认证异常和权限认证异常,分别对应的异常类是 登录认证异常:UnauthenticatedException,AuthenticationExcept...
如何在shiro发生UnauthorizedException与UnauthenticatedException等异常时返回json而不是跳转到错误页面
╃緣分天空╃
05-19 9632
        当客户端的用户要请求一个需要该用户所不具有的role的接口时,往往会抛出未授权异常UnauthorizedException。默认处理改异常的方式是在springmvc.xml中配置org.springframework.web.servlet.handler.SimpleMappingExceptionResolver如下:&lt;bean class="org.springfr...
spring web应用的异常处理
sunxikai928的博客
10-13 915
@ControllerAdvice @ExceptionHandler ResponseEntityExceptionHandler
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
learning-shiro:Shiro学习笔记
04-27
通过阅读这些材料,你将能更好地理解如何利用 Shiro 实现应用的安全控制,包括如何设置认证流程、授权策略、会话管理和加密策略。此外,你还可以学习如何调试和优化 Shiro 配置,以适应你的具体需求。总之,...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
Apache Shiro UnauthenticatedException
weixin_39361917的博客
04-13 5361
今天在开发的时候遇到一个很奇怪的问目前问题 项目采用的是apache shiro作为权限控制的框架,以前没用过,昨天配置好了shiro也可以正常启动,配置也都生效了 当我在某一个接口上添加了@RequiresRoles校验角色时问题出现了,首先是根本不生效,后来我把SpringMvc的配置文件按照各路大神说的修改之后就ok了,然后更大的问题出现了,因为我们是Android端访问后台接口,当app访...
Shiro异常体系
Reid的专栏
08-15 916
/** * 授权异常 * &lt;p&gt; * org.apache.shiro.authz.UnauthenticatedException 授权异常 * org.apache.shiro.authz.HostUnauthorizedException 没有访问权限 * org.apache.shiro.authz.UnauthorizedException 没有访问权限 ...
shiro异常
魏晋风范
12-26 9522
org.apache.shiro.authc.pam.UnsupportedTokenException org.apache.shiro.authc.UnknownAccountException org.apache.shiro.authc.LockedAccountException org.apache.shiro.authc.DisabledAccountException o
Shiro】权限控制的时候,授权过程中抛出UnauthorizedException
ITxiaobaibai的博客
05-17 3232
UnauthorizedException的处理 在开发过程中,当一个用户进行删除操作或者其他操作的时候,需要授权给用户之后才可以进行,其中授权的过程可以在一个请求的方法上边加上@RequiresPermissions(“edit”)注解 但是在没有授权的用户操作授权的过程中,如果没有授予edit权限的时候,会抛出异常UnauthorizedException,这个时候就需要自定义一个异常解析类...
Shiro能够检测出的异常(对于理解Shiro认证有好处)
chikanta9158的博客
07-03 234
第一类是认证相关的Exception,都继续自AuthenticationException ConcurrentAccessException: 当认证请求时,该帐户已经处于认证完成的状态(例如:已登录)时,如果系统被配置成阻止重复登录时就会抛出该异常。 当应用程序在同一时间段内1个帐...
Java全局异常捕获处理
li5672的专栏
07-21 7374
为了项目的正常运行中,异常捕获,记录也是非常重要的,方便我们排查问题,定位问题 定义异常 为了方便定位异常,自定义了几种异常类,方便我们快速定位异常。 基类 public class HttpException extends RuntimeException { protected String code; protected Integer httpStatusCode = 500; } ParameterException public class ParameterExcepti
org.apache.shiro.authz.UnauthenticatedException: The current Subject is not authenticated. Access d
热门推荐
guyu96的博客
09-12 1万+
属于shiro安全框架的限制问题,我在这里写的是新用户注册的功能,但是shiro框架要求必须登录时候才能操作,为了解决这个矛盾的问题,只能给注册这个功能开放一个非安全的口 在Handler文件中,在1处添加全路径名,注意2处的“/”是默认值,不能删掉...
chrome88 登录,出org.apache.shiro.authz.UnauthenticatedException: This subject is anonymous
ewwerpm的专栏
02-11 990
Firefox没问题,换chrome版本就好了,换成chrome78就好了。前台登录看不出问题,后台报错如下: org.apache.shiro.authz.UnauthenticatedException: This subject is anonymous - it does not have any identifying principals and authorization operations require an identity to check against. A Subject .
Spring中的@ControllerAdvice注解配合@ExceptionHandler使用实现异常处理
kollyQAQ的博客
04-05 1万+
@ControllerAdvice,是spring3.2提供的新注解,从名字上可以看出大体意思是控制器增强。让我们先看看@ControllerAdvice的实现:
Shiro权限管理详解:身份认证与授权实战
Shiro笔记大全是一门针对IT专业人士的教程,由传智.燕青讲师讲解,旨在帮助学员全面理解和应用Shiro权限管理框架。该课程的核心内容涵盖了以下几个关键知识点: 1. **权限管理框架**: Shiro是一个开源的身份与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值