在shiro中控制自动登录

最新推荐文章于 2020-02-03 10:33:57 发布
最新推荐文章于 2020-02-03 10:33:57 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: shiro 文章标签: shiro 自动登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mayi92/article/details/77852743
版权

场景一:集群中各节点登录状态保持一致,当然这个集群没有统一的认证中心
场景二:微信环境微店项目,自动登录,进入微店,则判断用户是否注册,如果已经注册则自动登录否则跳转到注册页面(ps:需要用户关注公众号才可以注册)

这儿针对场景二开展
在shiro中自定义过滤器authcUser和tryLogin
authcUser 只有登录才可以访问当前路径,没有登录则尝试自动登录,登录失败跳转到注册loginUrl指向的页面
tryLogin 不需要登录也可以访问,如果没有登录则尝试自动登录

其实本来使用Servlet的Filter实现的,结果发现有点问题所以换成了shiro实现

spring-shiro.xml的部分配置文件
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
        <property name="loginUrl" value="${http.domain.ssl}/register" />
        <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码) -->
        <!-- <property name="successUrl" value="/" ></property> -->
        <!-- 用户访问未对其授权的资源时,所显示的连接 -->
        <property name="unauthorizedUrl" value="/error/unauthorized" />
        <property name="filters">
            <map>
                <entry key="authcUser" >
                    <bean class="com.shiro.filter.AuthenticationFilter"></bean>
                </entry>
                <entry key="tryLogin">
                    <bean class="com.shiro.filter.AnonAndTryLoginFilter"></bean>
                </entry>
            </map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /my/comeshare = anon
                /my/share = anon
                /my/* = authcUser
                /team/* = authcUser
                /** = tryLogin
            </value>
        </property>
    </bean>

自定义的BaseFilter
public abstract class AutoLoginBaseFilter extends org.apache.shiro.web.filter.authc.AuthenticatingFilter{

    Logger log = LoggerFactory.getLogger(AutoLoginBaseFilter.class);
    @Autowired
    protected UserProcess userProcess;
    @Autowired
    protected IismsWxSubscribeInfoService subscribeInfoService;

    @Override
    protected AuthenticationToken createToken(ServletRequest request,
            ServletResponse response) throws Exception {
        HttpServletRequest req = (HttpServletRequest)request;
        //从请求的session中获取openId
        String openId = SecurityHelper.getOpenIdFromRequest(req);
        if (!StringUtils.isBlank(openId)) {
            IsmsWxSubscribeInfo wxSubscribeInfo = subscribeInfoService.selectSubscribeInfoByOpenId(openId);
            IsmsCusUserInfo user = userProcess.getByOpenId(openId);
            //如果用户已经关注切是注册状态则创建Token
            if (wxSubscribeInfo != null && "1".equals(wxSubscribeInfo.getActionType()) 
                    && RegisterStatusEnum.YES.getValue().equals(user.getRegisterStatus())) {
                return new UsernamePasswordToken(user.getMobilePhone(), user.getPassword());
            }
        }
        return null;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest arg0, ServletResponse arg1)
            throws Exception {
        return false;
    }

    /**
     * 尝试自动登录
     * 关注微信且用户状态是未注册的才可以登录成功
     * 
     * @param request
     * @param response
     * @return true 登录成功 否则失败
     */
    @SuppressWarnings("deprecation")
    public boolean tryLogin(ServletRequest request, ServletResponse response) {
        ApiErrorCodeEnum result = ApiErrorCodeEnum.USER_0018;
        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse res = (HttpServletResponse)response;
        String openId = SecurityHelper.getOpenIdFromRequest(req);
        //关注微信且用户状态是未注册的才可以登录成功
        if (!StringUtils.isBlank(openId) && !SecurityUtils.getSubject().isAuthenticated()) {
            IsmsWxSubscribeInfo wxSubscribeInfo = subscribeInfoService.selectSubscribeInfoByOpenId(openId);
            IsmsCusUserInfo user = userProcess.getByOpenId(openId);
            if (wxSubscribeInfo != null && "1".equals(wxSubscribeInfo.getActionType()) 
                    && RegisterStatusEnum.YES.getValue().equals(user.getRegisterStatus())) {
                //尝试自动登录
                result = userProcess.login(user.getId(), user.getPassword(), req, res);
            }
        }
        return result == null;
    }

}

//定义过滤器,不需要登录即可访问,在这个过滤器中尝试去登录,即使登录不成功也通过
public class AnonAndTryLoginFilter extends AutoLoginBaseFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request,
            ServletResponse response, Object mappedValue) {
        if (!SecurityUtils.getSubject().isAuthenticated()) {
            tryLogin(request, response);
        }
        return true;
    }
}
//定义过滤器,如果没有登录自动登录,登录成功则通过否则跳转到注册页面
public class AuthenticationFilter extends AutoLoginBaseFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request,
            ServletResponse response, Object mappedValue) {
        boolean authed = SecurityUtils.getSubject().isAuthenticated();
        if (!authed) {
            // 如果已经注册的用户,肯定能自动登录成功,登陆不成功则肯定没有注册
            tryLogin(request, response);
        }
        authed = SecurityUtils.getSubject().isAuthenticated();
        try {
            if (!authed) {
                //没有注册的用户引导去注册页面
                org.apache.shiro.web.util.WebUtils.issueRedirect(request, response, getLoginUrl());
            }
        } catch (IOException e) {
        }
        return authed;
    }
}

//UserProcess 中的login方法,自动登录的关键代码
PrincipalCollection principals = new SimplePrincipalCollection(user.getId(), "MobileRealm");    
Builder builder = new WebSubject.Builder(request, response);    
builder.principals(principals);    
builder.authenticated(true);    
WebSubject subject = builder.buildWebSubject();    
ThreadContext.bind(subject);
mayi92
关注
专栏目录
spring集成shiro实现权限认证和自动登录
KGLegolas的博客
05-31 975
个站链接:http://www.legolas94.top/article/get/1003 首先在登录入口类得到shiro的Subject然后调用 UsernamePasswordToken token = new UsernamePasswordToken(phone, password); 创建用户名/密码身份验证Token。然后调用subject.login(token);此时Secur...
shiro分布式控制登录状态_使用Shiro和token进行无状态登录
weixin_39661405的博客
12-21 1045
使用Shiro和token进行无状态登录使用Shiro和token进行无状态登录我们之前可以使用shiro实现登录,但这些都是基于session或是cookie实现的,这些只能用于单机部署的服务,或是分布式服务共享会话,显然后者开销极大,所以JWT(JSON Web Token)应运而生,JWT是一套约定好的认证协议,通过请求携带令牌来访问那些需鉴权的接口。我们在这里使用token,原理类似,但是...
Shiro自动登录
lmchhh的博客
02-03 435
第一步 :配置spring.xml,配置cookieRememberMeManager <!--创建SecurityManager对象--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name=...
Shiro实现用户自动登录
menghuannvxia的专栏
05-29 3378
用户的自动登录功能,顾名思义就是当用户在网站登录后,关闭了浏览器或者服务器重启了在下一次用户访问该网站时能自动将上次用户的登录信息取出来并立即登录,而不再需要用户去做登录操作。  在我做的一个视频教程网站(http://www.icoolxue.com,一个高清视频教程在线观看的网站)上加入了此功能。  Shiro是一个强大的安全框架,它提供了一个叫Remeber Me的功能来实现
我的shiro之旅: 十四 shiro 自动登录
LzwGlory的专栏
09-22 2082
shiro有几种状态,其包括guest,user,authenticated。guest就是游客,authenticated就是认证后的用户,而user是介于两者之前。user并不代表用户已经成功认证,当用户上次登录时选择rememberMe,下次用户再访问时就是user状态。登录时选择rememberMe,shiro会通过一种加密方式将principal(我们理解为用户名)加密保存到cooki
Springboot和bootstrap实现shiro权限控制配置过程
08-19
最后,需要在Controller添加Shiro的权限控制: ```java @Controller public class IndexController { @GetMapping("/index") public String index(Model model) { Subject subject = SecurityUtils.getSubject...
JavaSSM+Shiro系统登录验证码的实现方法
08-31
登录控制,可以使用Shiro的`Subject`对象进行认证操作,如`subject.login(token)`,其`token`包含了用户名和密码信息。 为了提高安全性,通常还会配合Session管理,例如,一旦用户成功登录,服务器会创建一...
shiro权限控制
01-04
Shiro,你可以通过UsernamePasswordToken或其他自定义Token来实现用户登录Shiro提供了RememberMe服务,可以记住用户身份,下次访问时自动登录。此外,Shiro支持多种认证策略,如单点登录(Single Sign-On, SSO...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **权限控制**:用户登录后,所有请求都会经过Shiro的过滤器链,Shiro会根据Subject的权限信息判断用户是否有权限访问资源。 3. **前端展示**:LayuiMini根据Shiro的权限信息动态渲染界面,比如隐藏无权限的按钮...
实现用户自动登录
12-23
在这里面,利用过滤器实现了用户自动登录,取消自动登录自动登录时间定为n天,黑用户禁止登录以及jstl技术的使用等
Shiro实现登录授权功能
09-26
Shiro实现登录授权功能
springmvc+shiro 实现安全登录的demo
09-17
实现了shiro安全登录,包括密码加密匹配和登录失败次数限制的功能
十、Shiro自动登录
panchang199266的博客
09-11 1014
(一)相关配置 &lt;!--配置securityManager,注意在Spring使用的是DefaultWebSecurityManager,在非web环境下,使用DefaultSecurityManager--&gt; &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurity...
基于shiro框架实现自动登录(rememberMe)
weixin_34405925的博客
01-11 903
shirorememberMe流程原理研究 输入用户密码正儿八经登录时, 如果勾选了"记住我", 则后台给shiro设置rememberme 前一次登录勾选了记住我, 则本次登录时isRemembered()==true(如果上一次设置了rememberme, 本次登录是不会触发action的login()的方法的, 即会直接进入登...
SSM整合系列之 基于Shiro框架实现自动登录(RememberMe)
程序猿的博客
12-01 2746
Shiro框架提供了记住我(RememerMe)的功能,比如我们访问一些网站,关闭了浏览器,下次再打开是还是能记住你是谁,下次访问的时候无需登录即可访问,本文将实现记住我的功能
Shiro 自动登录,通过 Shiro Remember Me 实现自动登录
weixin_34216107的博客
10-05 161
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringMVC整合Shiro实现登录权限控制详解
本篇文章将深入探讨如何在SpringMVC项目集成Shiro进行登录权限的示例代码实现。 Shiro是一个轻量级的安全框架,它提供了认证、授权、会话管理和缓存等功能。在集成Shiro的过程,主要涉及认证(Authentication)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值