上一篇已经将shiro和springboot整合起来了,这里就直接开始写功能了
一、登录拦截(请求拦截)
这个功能在shiro配置类里写,拦截哪些页面,什么情况下拦截,拦截后要不要跳转,都写在注释里
@Configuration
public class ShiroConfig {
//ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
bean.setSecurityManager(defaultWebSecurityManager);//设置安全管理器
//添加shiro的内置过滤器
/*
* shiro的内置过滤器有下面5个功能
* anon:无需认证(登录)就可以访问
* authc:必须认证(登录)了才能访问
* perms:拥有对某个资源的权限才能访问
* role:拥有某个角色权限才能访问
* user:必须拥有 记住我 功能才能用
* */
//开始配置过滤规则
Map<String,String> filterMap = new LinkedHashMap<>();//用个map来存规则
filterMap.put("/user/add","authc");//规定/user/add必须认证(登录)了才能访问(authc)
filterMap.put("/user/update","authc");//规定/user/update必须认证(登录)了才能访问(authc)
//上面两行代码也可写成:
//filterMap.put("/user/*","authc");
bean.setFilterChainDefinitionMap(filterMap);//添加自己配置的拦截规则
bean.setLoginUrl("/login");//如果没有登录访问add被拦截,则跳到登录页,设置能跳到登录页的http请求
return bean;
}
//DefaultWebSecurityManager
@Bean(name="securityManager")
public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
//使用@Qualifier指定bean的名字进行自动装配
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(userRealm);//关联manager与userRealm
return securityManager;
}
//创建realm对象,需要自定义类
@Bean(name="userRealm")
public UserRealm getUserRealm(){
return new UserRealm();
}
}
二、用户认证(登录)
用户填了一个表单,然后提交,shiro判断用户名密码是否错误
1、thymeleaf前台代码:
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
<meta charset="UTF-8">
<title>login</title>
</head>
<body>
<h1>登录</h1>
<p th:text="${msg01}" style="color:red"></p><!--认证失败,打印出提示信息-->
<form th:action="@{/login}" method="post">
username:<input type="text" name="username"><br>
password:<input type="text" name="password"><br>
<button type="submit">login</button>
</form>
</body>
</html>
2、controller处理请求(注意处理登录业务的代码):
@Controller
public class RouterController {
@RequestMapping({"/","/index"})
public String toIndex(Model model){
model.addAttribute("msg01","Hello,shiro");
return "index";
}
@RequestMapping("/user/add")
public String toAdd(){
return "user/add";
}
@RequestMapping("/user/update")
public String toUpdate(){
return "user/update";
}
@PostMapping("/login")
public String login(String username,String password,Model model){
//获取当前的用户
Subject subject = SecurityUtils.getSubject();
//封装用户的登录数据成token对象
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
//检查用户登录数据,
try{
subject.login(token);
return "redirect:/index";
}catch (UnknownAccountException uae){
model.addAttribute("msg01","用户名不存在");
return "login";
}catch (IncorrectCredentialsException ice){
model.addAttribute("msg01","密码错误");
return "login";
}
}
@GetMapping("/login")
public String toLogin(){
return "login";
}
}
3、shiro的realm从数据库中取数据来判断用户名密码是否有误:
public class UserRealm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了=>授权doGetAuthorizationInfo");
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("执行了=>认证doGetAuthenticationInfo");
//用户名,密码,数据库中取,这里先伪造
String username = "wt";
String password = "111111";
UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
if (!userToken.getUsername().equals(username)){//如果找不到用户名
return null;//这个return null 会自动抛出异常(UnknownAccountException)
}
//密码认证,shiro来做
return new SimpleAuthenticationInfo("",password,"");
}
}
处理登陆业务的代码看似与定制的realm对象没有联系,实际上它们是紧密联系协同工作的