shiro框架源码解析与改造(九)---FormAuthenticationFilter

最新推荐文章于 2022-01-12 18:06:42 发布
最新推荐文章于 2022-01-12 18:06:42 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljz2016/article/details/81564900
版权

FormAuthenticationFilter是登陆已经认证的关键过滤器。

父类是AuthenticationFilter
由onPreHandle方法为起点,先判断当前用户是否已经登陆,然后当前账号是否是当前用户最后登陆的,如果不是,则拒绝,onAccessDenied,重定向到登陆界面
auth认证,

  protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        Subject subject=this.getSubject(request,response);
        return subject.isAuthenticated() && isCurrentAccount(subject) ||onAccessDenied(request,response);
    }

登陆走下面的方法,如果当前访问的路径是登陆路径,则执行登陆流程

  protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        if (this.isLoginRequest(request, response)){
            return this.executeLogin(request, response);
        }
        return super.onPreHandle(request, response, mappedValue);
    }
public boolean executeLogin(ServletRequest request, ServletResponse response) {
        AuthenticationToken token=this.createToken(request,response);
        if (token==null){
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }else {
            try {
                Subject subject=this.getSubject(request,response);
//                boolean existing = subject.getSession(false) != null;
//                if (!existing){
//                    subject.getSession(true);
//                }
                subject.login(token);
                return this.onLoginSuccess(token, subject, request, response);
            } catch (AuthenticationException var5) {
                return this.onLoginFailure(token, var5, request, response);
            }
        }
    }

login方法:

Subject subject = this.securityManager.login(this, token);

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo authenticationInfo;
        try {
            authenticationInfo=this.authenticate(token);
        }catch (AuthenticationException e){
            try {
                this.onFailedLogin(token,e,subject);
            }catch (Exception ez){
                if(log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an exception.  Logging and propagating original AuthenticationException.", ez);
                }
            }
            throw e;
        }
        Subject loggedIn=this.createSubject(token,authenticationInfo,subject);
        this.onSuccessfulLogin(token, authenticationInfo, loggedIn);
        return loggedIn;
    }

this.authenticate(token);会调用releam获取数据源的账号信息,也就是用户自定义的数据源(比如数据库)中的账号密码,与用户输入的账号密码对比。

@Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        this.assertRealmsConfigured();
        Collection<Realm> realms = this.getRealms();
        return realms.size() == 1?this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken):this.doMultiRealmAuthentication(realms, authenticationToken);
    }
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token){
        AuthenticationInfo info = this.doGetAuthenticationInfo(token);
        if(info != null) {
            this.assertCredentialsMatch(token, info);
        }
        return info;
    }
ljz2016
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro的安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro试用记录-FormAuthenticationFilter
冲吧,不要停!
12-21 6835
前言 本篇文件主要是把最近试用的shiro的过程记录一下
详解Shiro认证流程
小小的人儿的博客
01-12 4196
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
Shiro学习】FormAuthenticationFilter源码分析
fxkcsdn的博客
10-12 659
如何使用shiro进行登陆验证,这个比较熟悉,看下面的代码,是不是很熟悉呢? @Bean public ShiroFilterFactoryBean shiroFilter2(final SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFa...
Shiro登录机制验证,自定义FormAuthenticationFilter
涛哥盛世
09-16 2万+
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 问题描述 使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发 boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.execute
Shiro源码(四)——shiro提供默认过滤器详解
敲代码的小小酥的博客
01-06 1713
shiro为了实现权限、认证功能,定义了多个过滤器,下面对每个过滤器的作用进行了解。 一、AnonymousFilter过滤器 允许在不执行任何类型的安全检查的情况下立即访问路径的筛选器。 也就是我们配置的类似:/user/signup/** = anon 的权限,会走这个过滤器。该过滤器只定义了一个方法,直接返回true,进行放行。 @Override protected boolean onPreHandle(ServletRequest request, ServletResponse re
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro源码shiro-root-1.10.0-source-release.zip)
10-13
在`shiro-root-1.10.0-source-release.zip`压缩包中,我们可以找到以下源码结构: - **core**:Shiro的核心模块,包含`Subject`、`Realm`、`Session`等基础组件的实现。 - **cryptography**:包含各种加密和哈希...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
在"shiro-root-1.2.3-source-release zipa包"中,包含了Shiro框架的核心源代码,允许开发者深入理解其内部工作原理,进行定制化开发或者调试。而相关的jar包则提供了运行时所需的依赖,使得我们可以直接在项目中使用...
shiro源码shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
Shiro学习之过滤器详解
zkcJava的博客
09-14 4005
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
shiro 自定义FormAuthenticationFilter,记住我
热门推荐
爱笑的博客
07-09 3万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuth
shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
weixin_44593504的博客
08-24 756
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, String> filterChainDefinitionMap; <url,拦截器名>哪些路..
django面试题总结
weixin_39247197的博客
09-11 2033
列举HTTP中常见的请求方式 HTTP请求的方法: HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 注意: 1)方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不支持对应的请求方法时,应返回状态码501(Not Implemented)。 2)HTTP服务器至少应该实现GET和HEAD/POST方法,其他方法都是可选的,此
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
u014203449的博客
06-14 2万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
ShiroFormAuthenticationFilter 源码分析
Zllvincent的博客
09-22 9006
一、简介 ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" value="/login" /> ...
FormAuthenticationFilter无效的解决方案
geomon的博客
08-03 1431
登陆是FormAuthenticationFilter不起作用,要将登陆/login = authc 改为认证登陆,就会过FormAuthenticationFilter表单认证过滤器了。    FormAuthenticationFilter执行重载onAccessDenied方法。...
(五)设计模式之迭代器模式(Iterator)
卷心菜投手
11-21 192
前言: 参考图书:软件设计模式与体系结构 参考博客:https://www.cnblogs.com/wanson/articles/9277813.html   正题:         迭代器(iterator)有时又称游标(cursor)是程序设计的软件设计模式,可在容器(container,例如链表或阵列)上遍访的接口,设计人员无需关心容器的内容。 代码示例: 1 MyIt...
登录不会走自定义的FormAuthenticationFilter及其onLoginSuccess原因
yuhui666666的博客
12-22 5345
登录不会走自定义的FormAuthenticationFilter及其onLoginSuccess原因 1,在自定义的类中loginUrl不是表单的提交路劲,这个提交路劲需要authc,配置好了直接调用框架的登录方法,回调自定义的onLoginSuccess之类 2,页面提交的input  name  不是框架中的username,password同名 3,自定义的获取方法应该用requ...
shiro-redis-spring-boot-starter
最新发布
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值