shiro基于表单的拦截器身份验证、基于 Basic 的拦截器身份验证,普通身份验证的区别

最新推荐文章于 2024-07-08 20:52:16 发布
最新推荐文章于 2024-07-08 20:52:16 发布
阅读量1.5k 收藏 1
点赞数 1
文章标签: shiro初学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lamfang/article/details/83180757
版权

目录

 

普通身份验证与基于表单的拦截器、基于basic的拦截器身份验证的区别?

基于表单的拦截器身份验证和基于 Basic 的拦截器身份验证的区别

普通身份验证与基于表单的拦截器、基于basic的拦截器身份验证的区别?

 

普通身份验证的一个缺点就是,永远返回到同一个成功页面(比如首页),在实际项目中比如支付时如果没有登录将跳转到登录页面,登录成功后再跳回到支付页面;对于这种功能大家可以在登录时把当前请求保存下来,然后登录成功后再重定向到该请求即可。

Shiro 内置了登录(身份验证)的实现:基于表单的和基于 Basic 的验证,其通过拦截器实现。成功后会自动返回上一个页面,而不是直接跳转到首页或者登陆成功页面

普通身份验证代码如下,需要用代码跳转到登录成功的页面

@Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String error = null;
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        token.setRememberMe(true);
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            error = "用户名/密码错误";
        } catch (IncorrectCredentialsException e) {
            error = "用户名/密码错误";
        } catch (AuthenticationException e) {
            //其他错误,比如锁定,如果想单独处理请单独catch处理
            error = "其他错误:" + e.getMessage();
        }

        if(error != null) {//出错了,返回登录页面
            req.setAttribute("error", error);
            req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
        } else {//登录成功
            req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req, resp);
        }
    }

基于表单的拦截器身份验证和基于 Basic 的拦截器身份验证的区别

首先这是普通验证的ini文件关于拦截器的配置

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized

logout.redirectUrl=/login

这是基于表单的拦截器身份验证

 

[main]
#authc 是 org.apache.shiro.web.filter.authc.FormAuthenticationFilter 类型的实例,其用于实现基于表单的身份验证
authc.loginUrl=/formfilterlogin
authc.usernameParam=username
authc.passwordParam=password
authc.successUrl=/
authc.failureKeyAttribute=shiroLoginFailure

perms.unauthorizedUrl=/unauthorized
roles.unauthorizedUrl=/unauthorized

ini文件中基于表单拦截器的验证与普通拦截器验证的区别体现在后端的判断上

这是普通拦截器的后端判断代码,需要用代码去获取前端用户名与密码属性的值,再去生成token与subject.login对比

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String error = null;
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        token.setRememberMe(true);
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            error = "用户名/密码错误";
        } catch (IncorrectCredentialsException e) {
            error = "用户名/密码错误";
        } catch (AuthenticationException e) {
            //其他错误,比如锁定,如果想单独处理请单独catch处理
            error = "其他错误:" + e.getMessage();
        }

        if(error != null) {//出错了,返回登录页面
            req.setAttribute("error", error);
            req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
        } else {//登录成功
            req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req, resp);
        }
    }

 

这是基于表单拦截器的后端验证,shiro会自动去验证用户密码的正确性,如果错误则抛出异常名字,写入req的属性中,属性名通过ini配置文件的authc.failureKeyAttribute=shiroLoginFailure指定,failureKeyAttribute 指定登录失败时的 request 属性 key(默认 shiroLoginFailure)

import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String errorClassName = (String)req.getAttribute("shiroLoginFailure");

        if(UnknownAccountException.class.getName().equals(errorClassName)) {
            req.setAttribute("error", "用户名/密码错误");
        } else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {
            req.setAttribute("error", "用户名/密码错误");
        } else if(errorClassName != null) {
            req.setAttribute("error", "未知错误:" + errorClassName);
        }

        req.getRequestDispatcher("/WEB-INF/jsp/formfilterlogin.jsp").forward(req, resp);
    }

对于表单与basic拦截器验证来说,登录成功会自动跳转到上一个页面,不用在代码里面体现

不腾
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
authc过滤器 shiro_Shiro过滤器
weixin_42208901的博客
01-14 484
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
Apache Shiro内置拦截器
wunianisme的博客
07-19 692
Shiro内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器。 public enum DefaultFilter{ anno(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authc...
Shiro实现Basic认证
weixin_45032957的博客
12-18 618
王子已经有了一套集成好Shiro的Spring Boot框架,这套框架详细代码就不做展示了,我们只来看一下测试用例。 要测试的接口代码如下: 复制代码 /** @author liumeng / @RestController @RequestMapping("/test") @CrossOrigin public class TestAppController extends BaseController { /* 数据汇总 */ @GetMapping("/list") public AjaxRes
Shiro身份验证
L_X
08-11 3万+
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但
常见的认证方式
最新发布
Shoulen的博客
07-08 1211
介绍常用的认证方式 Basic、Digest、OAuth、Bearer,包括 OAuth常用模式、JWT Token 等
shirobasicAuthc认证+ssl
心若在梦就在
05-18 489
适用于企业内网 data: { firstName: 'John', lastName: 'Doe' }, formulas : { // We'll explain formulas in more detail soon. name1 : function (get) { ...
深入浅出学Shiro(二)--授权认证
何静媛
05-05 3512
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。     认证通过后接受 Shiro授权检查,授权验证时,需要判断当前角色是否拥有该权限。只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。   首先来结合一个实例来说明:   上篇博客(深入
Shiro 框架 BasicHttpAuthenticationFilter 认证流程
saienenen的博客
12-11 6280
BasicHttpAuthenticationFilter 继承关系 从继承关系可以看到 BasicHttpAuthenticationFilter 继承自抽象类 OncePerRequestFilter。 OncePerRequestFilter 的字面意思是:Once Per Request,即每个请求只执行一次。 分析 1,OncePerRequestFilter OncePerRequestFilter 部分源码: public final void doFilter(ServletRe
shiro(五)默认拦截器
ljxbbss的博客
09-05 2373
默认拦截器 Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考 org.apache.shiro.web.filter.mgt.DefaultFilter 中的枚举拦截器:  默认拦截器拦截器类 说明(括号里的表示默认值) 身份验证相关的     authc
shiro执行多个过滤器_SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_42298778的博客
01-12 1133
先从我们写的一个自定义Filter来看:public class RoleOrFilter extends AuthorizationFilter {@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Excep...
shiro学习笔记四:shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1909
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
JAVAWEB开发之权限管理(三)——shiro与企业项目整合开发(基于Spring)
07-18 9279
原理回顾 什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该 资源的访问权限才可以访问该 资源。 权限模型:标准权限数据模型包括 :用户、角色、权限(包括资源和权限)、用户角色关系、角色权限关系。
SpringBoot:集成Shiro拦截器配置
得不到的永远是骚栋.
01-21 1027
前言 前面的几篇博客都是说的用户如何认证,如何授权,那么用户认证授权之后,我们该如何使用这些信息呢?这里我们就需要使用到Shiro框架中的拦截器功能.通过拦截器功能实现用户权限和角色的应用,下面我们就来看一下我们如何使用拦截器实现用户权限认证的应用. 拦截器分类说明 在配置拦截器之前,我们需要先了解Shiro本身给我们提供的拦截器都有什么,都有着什么样的特点.下面我们就来用表格的形式来看一下各种拦截器的特点. 简写(加粗为常用) 名称 优先级(1为最高) 说明 对应Java类 an..
shiro登陆失败提示_shiro登录错误信息并返回到登录页面显示
weixin_39922749的博客
12-22 1157
尝试使用shiro管理权限,写了一个简单的登录方法,@RequestMapping(value = "/signin")public String signin(HttpServletRequest request) throws Exception{String exceptionClassName = (String) request.getAttribute("shiroLoginFailu...
shiro认证成功依然回到登陆页面的问题(亲测已解决)
m0_56414641的博客
07-19 3912
关于这个问题,网上查了很多方法,都说自己配置的successUrl会被覆盖.经我反复实验证实,并非是这样的,而是要分情况. 我先上结论吧(反复实验证实): 结论: 自己配置的successUrl一直生效,只是,如果successUrl配置的是一个页面地址,会因为没有访问权限而被重定向到前一个页面(一般是登陆页面),被误以为是被覆盖了;如果successUrl配置的是一个方法地址,我们可以通过这个方法重定向到站内任何资源(比如登陆成功之后的首页).(找到方法后,我作为初级程序猿,觉得其实还挺简单的,没找
Shiro完整教程, 附带各种配置
wanliangsoft的博客
01-18 4万+
1.1 简介:可以略过 Apache Shiro 是 Java  的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。  下载:http://shiro.apache.org/ 对比Spring Security,可能...
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
Shiro 基础教程
weixin_30715523的博客
12-27 247
原文地址:Shiro 基础教程 博客地址:http://www.extlight.com 一、前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 二、介绍 2.1 功能特点 Shiro 包含 10 个内容,如下图: 1) Authentication:身份认证/登录,验证...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值