shiro-登录验证

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量9k 收藏 7
点赞数 3
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pjx827480541/article/details/53908886
版权
shiro实现登录验证,可以用它自身的方法来实现,也可以自定义方法来实现登录验证,了解了shiro的登录逻辑,实现自定义的验证逻辑就很简单
1、用shiro方法实现
shiro配置: 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" >
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value = "/login" />
        <property name="successUrl" value = "/"  />
        <property name="unauthorizedUrl" value = "/unauthorize"/>
<property name="filterChainDefinitions">
            <value>
                /static/**=anon
                /login=authc
                /logout=logout
                /unauthorize=authc
                /**=user,perms
            </value>
        </property>
</bean>

由于shiro默认注册了FormAuthenticationFilter,所以配置中可以不需要为此方法定义bean,但有个前提,登录页面中的登录账号和密码,记住我的name必须和FormAuthenticationFilter默认的名称一致,如下图

如果登录页面的name和FormAuthenticationFilter不一致,则需要自己为FormAuthenticationFilter进行配置 
<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
        <property name="usernameParam" value="name"/>
        <property name="passwordParam" value="password1"/>
        <property name="rememberMeParam" value="rememberMe1"/>
        <property name="loginUrl" value="/login"/>
        <property name="successUrl" value="/"/>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" >
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value = "/login" />
        <property name="successUrl" value = "/"  />
        <property name="unauthorizedUrl" value = "/unauthorize"/>
<property name="filters">
            <map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </map>
        </property>
<property name="filterChainDefinitions">
            <value>
                /static/**=anon
                /login=authc
                /logout=logout
                /unauthorize=authc
                /**=user,perms <
            </value>
        </property>
</bean>

登录页面提交后,跳转到 /login,进入登录方法,由于此路径权限设置为authc,shiro对该路径进行过滤,authc权限由FormAuthenticationFilter进行过滤。登录请求进入onAccessDenied方法

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {  //判断是否是登录请求
            if (isLoginSubmission(request, response)) { // 是否是http post请求
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }
            saveRequestAndRedirectToLogin(request, response);
            return false;
        }
}

其中 executeLogin(request, response)方法的具体实现在继承的AuthenticatingFilter里

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response); 
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +"must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            Subject subject = getSubject(request, response);
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
}

剖析:createToken(request, response); 具体实现在子类FormAuthenticationFilter中

protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
    String username = getUsername(request);
    String password = getPassword(request);
    return createToken(username, password, request, response);
}
从上可以看出,具体的登录账号和密码从request中取出来,并创建了token对象,调用subject的login方法,login方法实现大致流程是用token去realm中取AuthenticationInfo对象,AuthenticationInfo对象存放的是正确的登录账号和密码,并和token中数据进行匹配,然后根据匹配情况返回相应的结果。realm中方法需自己实现,大致流程:从token中取出用户登录填写的账号,去查找正确的登录信息,若是查找不到,返回null,如果查找到对应的登录账号和密码,则封装到AuthenticationInfo对象中,并返回该对象。
java代码: 
@RequestMapping(value = "/login")
public String toLogin(HttpServletRequest request, Model model){
        String exceptionClassName = (String)request.getAttribute("shiroLoginFailure");
        String error = null;
        if(UnknownAccountException.class.getName().equals(exceptionClassName)) {
            error = "用户名/密码错误";
        } else if(IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {
            error = "用户名/密码错误";
        } else if(exceptionClassName != null) {
            error = "其他错误:" + exceptionClassName;
        }
        model.addAttribute("error", error);
        return "login";  // 跳转到登录页面
}
2、自定义登录实现
最关键的是在shiro配置中,登录提交的url需设置为不过滤处理,如提交到/login,则/login=anon,
方法中可实现自己的登录验证逻辑。若是账号密码匹配工作仍要shiro来完成,则将用户填写的账号和密码封装到token对象中,调用subject的login方法。
代码示例: 
UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
       try {
            subject.login(token);
        } catch (UnknownAccountException ua){
            returnInfo.setMessage("用户名错误");
        } catch (IncorrectCredentialsException ic){
            returnInfo.setMessage("密码错误");
        }
   }

附:

1)shiro默认注册的filters

public enum DefaultFilter {
    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
}

2)登录异常

UnknownAccountException(账号不存在)
IncorrectCredentialsException(密码错误)
DisabledAccountException(帐号被禁用)
LockedAccountException(帐号被锁定)
ExcessiveAttemptsException(登录失败次数过多)
ExpiredCredentialsException(凭证过期)等
 

彭小虾
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
shiro 实现多种方式登录_前后端分离架构使用shiro框架进行登录的两种实现
weixin_39528994的博客
12-18 480
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny():...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1211
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
Spring---apache.shiro--过滤器Filter---AccessControlFilter抽象类
IT艺术家-rookie的博客
11-17 427
Superclass for any filter that controls access to a resource and may redirect the user to the login page if they are not authenticated. This superclass provides the method {@link #saveRequestAndRedirectToLogin(javax.servlet.ServletRequest, javax.servlet..
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 432
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
前后端分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
shiro 登录 过滤器 返回json
永无止境
01-11 5525
/** * 表示访问拒绝时是否自己处理,如果返回true表示自己不处理且继续拦截器链执行,返回false表示自己已经处理了(比如重定向到另一个页面) * @param request * @param response * @return * @throws Exception */ @Override protected
shiro-1.7.1.zip
02-07
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。`shiro-1.7.1.zip`是一个包含...
shiro-1.9.0版本jar包
05-10
5. **Web 支持**:Shiro 提供了Filter来集成到Servlet容器中,可以方便地实现登录、权限控制等功能。 在1.9.0版本中,可能包含以下改进: - **性能优化**:可能对内部算法或数据结构进行了优化,提高了运行效率。 ...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
Shiro提供了多种身份验证策略,如记住我(Remember Me)服务,支持与数据库、缓存或任何其他后端服务交互。 2. **授权(Authorization)**:即权限控制,确定用户是否有执行特定操作的权限。Shiro提供角色(Role)...
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
jeecms登录流程
weixin_33978044的博客
10-21 1101
2019独角兽企业重金招聘Python工程师标准>>> ...
spring集成shiro详解
u010752885的博客
06-24 6714
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
Shiro使用和源码分析---3
conansonic的博客
11-01 3666
FormAuthenticationFilter使用和源码分析—2 首先自定义一个customAuthenticationFilter继承自FormAuthenticationFilter,如下所示 customAuthenticationFilter public class CustomAuthenticationFilter extends FormAuthenticationFilt
安全认证框架Shiro (二)- shiro过滤器工作原理
陈袁的博客
11-15 2万+
安全认证框架Shiro (二)- shiro过滤器工作原理 安全认证框架Shiro 二- shiro过滤器工作原理 第一前言 第二ShiroFilterFactoryBean入口 第三请求到来解析过程 第四过滤器执行原理 第五总结第一:前言由于工作原因,写上篇文章安全认证框架Shiro (一)- ini配置文件过了好久,这里补上Shiro的后续学习经历。第二:ShiroFilterFactoryBe
shiro不执行认证的解决办法
a785975139的博客
03-17 1万+
初次使用shiro,定义好了realm却发现程序并不进去执行,很是郁闷。这一问题前后出现了两次,而且原因各不相同。下面把觖办法记录下来。 第一种是因为spring的配置文件 中FormAuthenticationFilter过滤器的loginUrl没有与shiroFilter下filterChainDefinitions对应起来,这也是很常见的错误。 第二种错误非常另类,没
详解Shiro认证流程
小小的人儿的博客
01-12 4203
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
Shiro实现jwt验证流程梳理
robin912的专栏
05-29 7314
Shiro实现jwt验证流程梳理 Shiro jwt实现 jwt验证原理 由于业务需要用到jwt验证,需要把实现的用户密码验证方式修改为jwt的验证方式. 在把之前的登录流程修改为jwt验证时,是省略掉了shiro内部的login步骤和session管理 代码修改如下: - Subject subject = SecurityUtils.getSubject(); -...
shiro 使用FormAuthenticationFilter 用于校验用户登录时,所考虑的问题
javaBro的博客
06-01 1485
本人主要说明,在使用shiro filter认证登录时(Authentication)将 subject.login(token); 放在在filter时的用法,源码一 类 AccessControlFilter 中控制访问可以得到, public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return isA
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码...同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值