自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter
问题描述
使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发
boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.executeLogin(ServletRequest request, ServletResponse response) throws Exception方法?
问题分析
探知login.jsp的form与shiro form filter的识别认证规则需要查看org.apache.shiro.web.filter.authc.FormAuthenticationFilter中的源码。
第一、输入控件name命名:
在此可知,登录表单的用户名、密码等输入控件的name默认值。
第二、表单action与login.jsp的访问地址规则:
shiro过滤器的配置:
boolean org.apache.shiro.web.filter.authc.FormAuthenticationFilter.onAccessDenied(ServletRequest request, ServletResponse response) throws Exception
文字选中方法:boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.executeLogin(ServletRequest request, ServletResponse response) throws Exception 该方法在
org.apache.shiro.web.filter.authc.AuthenticatingFilter中有具体实现:
当登录表单需要扩展时,需要在扩展类里重新实现此方法,比如,登录时增加验证码,实现如下:
本文重点探究该方法何时被正确出发?
1. 判断当前URL是否为登录地址:
shiroFilter的loginUrl值。
boolean org.apache.shiro.web.filter. AccessControlFilter .isLoginRequest( ServletRequest request, ServletResponse response);
2. 如果当前请求URL为登录地址时,判断是否为form提交。
boolean org.apache.shiro.web.filter.authc. FormAuthenticationFilter .isLoginSubmission( ServletRequest request, ServletResponse response);
在此两点可以总结出登录表单及登录界面URL的规则,即:
get loginUrl:进入登录界面
post loginUrl:提交登录表单
username:表单用户名
password:表单密码
探究结论
shiroFilter配置的loginUrl的GET请求进入登录界面,POST请求为提交登录表单。 触发
boolean org.apache.shiro.web.filter.authc. AuthenticatingFilter.executeLogin( ServletRequest request, ServletResponse response) throws Exception方法。