文章详细探讨了ApacheShiro在身份验证过程中,如何通过FormAuthenticationFilter拦截登录请求。当GET请求匹配loginUrl时显示登录界面,POST请求则执行登录尝试。关键方法executeLogin在登录表单提交时被调用,该方法在AuthenticatingFilter中实现,允许在扩展时自定义登录行为,如添加验证码验证。
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter
问题描述
使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发
boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.executeLogin(ServletRequest request, ServletResponse response) throws Exception方法?
问题分析
探知login.jsp的form与shiro form filter的识别认证规则需要查看org.apache.shiro.web.filter.authc.FormAuthenticationFilter中的源码。
第一、输入控件name命名:
在此可知,登录表单的用户名、密码等输入控件的name默认值。
第二、表单action与login.jsp的访问地址规则:
shiro过滤器的配置:
boolean org.apache.shiro.web.filter.authc.FormAuthenticationFilter.onAccessDenied(ServletRequest request, ServletResponse response) throws Exception文字选中方法:boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.executeLogin(ServletRequest request, ServletResponse response) throws Exception 该方法在
org.apache.shiro.web.filter.authc.AuthenticatingFilter中有具体实现:
当登录表单需要扩展时,需要在扩展类里重新实现此方法,比如,登录时增加验证码,实现如下:
本文重点探究该方法何时被正确出发?
1. 判断当前URL是否为登录地址:
shiroFilter的loginUrl值。
boolean org.apache.shiro.web.filter. AccessControlFilter .isLoginRequest( ServletRequest request, ServletResponse response);
2. 如果当前请求URL为登录地址时,判断是否为form提交。
boolean org.apache.shiro.web.filter.authc. FormAuthenticationFilter .isLoginSubmission( ServletRequest request, ServletResponse response);
在此两点可以总结出登录表单及登录界面URL的规则,即:
get loginUrl:进入登录界面
post loginUrl:提交登录表单
username:表单用户名
password:表单密码
探究结论
shiroFilter配置的loginUrl的GET请求进入登录界面,POST请求为提交登录表单。 触发boolean org.apache.shiro.web.filter.authc. AuthenticatingFilter.executeLogin( ServletRequest request, ServletResponse response) throws Exception方法。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
