Shiro记住我(RememberMe)

最新推荐文章于 2024-05-06 08:30:00 发布
最新推荐文章于 2024-05-06 08:30:00 发布
阅读量6.1k 收藏 15
点赞数
分类专栏: ActiveMQ、Shiro
原文链接:https://blog.csdn.net/u013517797/category_9271450.html
版权

简介

Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下: •

  1. 登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe 的Cookie写到客户端并保存下来;
  2. 关闭浏览器再重新打开;会发现浏览器还是记住你的;
  3. 访问一般的网页服务器端还是知道你是谁,且能正常访问;
  4. 但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。

如果要自己做RememeberMe,需要在登录之前这样创建Token:UsernamePasswordToken(用户名,密码,是否记住我),且调用 UsernamePasswordToken 的:token.setRememberMe(true); 方法 

认证和记住我

  1. subject.isAuthenticated() :表示用户进行了身份验证登录的, 即使有 Subject.login 进行了登录;
  2. subject.isRemembered():表示用户是通过记住我登录的, 此时可能并不是真正的你(如你的朋友使用你的电脑,或者 你的cookie 被窃取)在访问的。
  3. 两者二选一,即 subject.isAuthenticated()==true,则 subject.isRemembered()==false;反之一样。

注意

访问一般网页:如个人在主页之类的,我们使用user 拦截 器即可,user 拦截器只要用户登录 (isRemembered() || isAuthenticated())过即可访问成功;

访问特殊网页:如我的订单,提交订单页面,我们使用 authc 拦截器即可,authc 拦截器会判断用户是否是通过 Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则会跳转到登录页面叫你重新登录。

身份验证相关的

示例

在Spring的application.xml配置文件中的shiroFilter中未相关服务请求配置过权限限定:

<!-- 6. 配置 ShiroFilter. 
6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
   若不一致, 则会抛出: NoSuchBeanDefinitionException. 
因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
-->     
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/list.jsp"/>
    <property name="unauthorizedUrl" value="/index.jsp"/>
 
    <property name ="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
</bean>
 
<bean id="filterChainDefinitionMap"
    factory-bean="filterChainDefinitionMapBuilder" factory-method="buildFilterChainDefinitionMap"/>
 
<!-- 配置一个bean,该bean实际上是一个Map,通过实例工厂方法的方式 -->
<bean id="filterChainDefinitionMapBuilder"
    	class="com.test.shiro.factory.FilterChainDefinitionMapBuilder"/>

而在FilterChainDefinitionMapBuilder中返回了含有页面授权信息的Map:

package com.test.shiro.factory;
import java.util.LinkedHashMap;
public class FilterChainDefinitionMapBuilder {
    public LinkedHashMap<String,String> buildFilterChainDefinitionMap(){
    	LinkedHashMap<String,String> map = new LinkedHashMap<>();
    	/*配置哪些页面需要受保护. 
    	以及访问这些页面需要的权限. 
    	1). anon 可以被匿名访问
    	2). authc 必须认证(即登录)后才可能访问的页面. 
    	3). logout 登出
    	4). roles 角色过滤器*/
    	map.put("/login.jsp","anon");
    	map.put("/userAuth/login","anon");
    	map.put("/userAuth/logout","logout");
    	map.put("/User.jsp","authc,roles[user]");//需要认证并且有user角色
    	map.put("/admin.jsp","authc,roles[admin]");//需要认证并且有admin角色
    	map.put("/**","authc");
    	return map;
    }
}

注意:这里用filterChainDefinitionMapBuilder实例工厂从Java类中获取页面权限限定的Map,也可以使用
filterChainDefinitions属性在XML中直接配置页面权限。
在FilterChainDefinitionMapBuilder的buildFilterChainDefinitionMap方法的Map中添加“list.jsp”页面的权限限定,将其限定为“user”用户拦截器,即用户通过身份验证或“记住我”都可以访问:

package com.test.shiro.factory;
import java.util.LinkedHashMap;
public class FilterChainDefinitionMapBuilder {
    public LinkedHashMap<String,String> buildFilterChainDefinitionMap(){
    	LinkedHashMap<String,String> map = new LinkedHashMap<>();
    	/*配置哪些页面需要受保护. 
    	以及访问这些页面需要的权限. 
    	1). anon 可以被匿名访问
    	2). authc 必须认证(即登录)后才可能访问的页面. 
    	3). logout 登出
    	4). roles 角色过滤器*/
    	map.put("/login.jsp","anon");
    	map.put("/userAuth/login","anon");
    	map.put("/userAuth/logout","logout");
    	map.put("/User.jsp","authc,roles[user]");//需要认证并且有user角色
    	map.put("/admin.jsp","authc,roles[admin]");//需要认证并且有admin角色
    	
    	map.put("/list.jsp","user");//认证过或“记住我”都可访问list.jsp
    	
    	map.put("/**","authc");
    	return map;
    }
}

然后记得之前我们在登录Controller的login服务中,在登录验证成功之后,会设置“记住我”为true:

@RequestMapping("login")
public String login(String username,String password){
	//获取当前的Subject
    Subject currentUser = SecurityUtils.getSubject();
    //测试当前用户是否已经被认证(即是否已经登录)
    if (!currentUser.isAuthenticated()) {
    	//将用户名与密码封装为UsernamePasswordToken对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        token.setRememberMe(true);//记录用户
        try {
            currentUser.login(token);//调用Subject的login方法执行登录
        } catch (AuthenticationException e) {//所有认证时异常的父类
            System.out.println("登录失败:"+e.getMessage());
        } 
    }
	return "redirect:/list.jsp";
}

同时回顾一下我们的授权Realm,里面有模拟数据库的四个测试账号:

package com.test.shiro.realms;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import com.test.shiro.po.User;
public class ShiroRealm extends AuthorizingRealm{
	
	private static Map<String,User> userMap = new HashMap<String,User>();
	static{
		//使用Map模拟数据库获取User表信息
		userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文:aaa123
		userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文:aaa123
		userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文:bbb321
		userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文:ccc213
	}
 
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		System.out.println("[ShiroRealm]");
		//1.把AuthenticationToken转换为UsernamePasswordToken
		UsernamePasswordToken userToken = (UsernamePasswordToken) token;
		
		//2.从UsernamePasswordToken中获取username
		String username = userToken.getUsername();
		
		//3.调用数据库的方法,从数据库中查询Username对应的用户记录
		System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
		//Map模拟数据库取数据
		User u = userMap.get(username);
		
		//4.若用户不行存在,可以抛出UnknownAccountException
		if(u==null){
			throw new UnknownAccountException("用户不存在");
		}
		
		//5.若用户被锁定,可以抛出LockedAccountException
		if(u.isLocked()){
			throw new LockedAccountException("用户被锁定");
		}
		
		//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
		//以下信息是从数据库中获取的
		//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
		Object principal = u.getUsername();
		//2)credentials:密码
		Object credentials = u.getPassword();
		//3)realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		//4)credentialsSalt盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值
		
		SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
		return info;
	}
 
	//给Shiro的授权验证提供授权信息
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		//1.从principals中获取登录用户的信息
		Object principal = principals.getPrimaryPrincipal();
		
		//2.利用登录用户的信息获取当前用户的角色(有数据库的话,从数据库中查询)
		Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)
		roles.add("user");//放置所有用户都有的普通用户角色
		if("administrator".equals(principal)){
			roles.add("admin");//当账号为administrator时,添加admin角色
		}
		
		//3.创建SimpleAuthorizationInfo,并设置其roles属性
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
		
		//4.返回SimpleAuthorizationInfo对象
		return info;
	}
}

list.jsp页面代码:

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>首页</title>
  </head>
  <body>
     登录成功!欢迎<shiro:principal/>访问首页O(∩_∩)O
   <a href="userAuth/logout">登出</a>
 
   <br/><br/>
   <a href="admin.jsp">Admin Page</a>
   
   <br/><br/>
   <a href="User.jsp">User Page</a>
   
  </body>
</html>

此时我们启动Web系统,然后登录一个普通用户“jack”(doGetAuthorizationInfo会自动分配“user”权限):

让后进入首页list.jsp:

此时分别点击admin.jsp和User.jsp的超链接是一个可进入一个不可进入(因为普通用户只有user角色,没有admin角色):

那么这个时候关闭浏览器,重新打开,这个时候访问admin.jsp/User.jsp都访问不了,会直接跳回登录页:

而直接去访问list.jsp,发现依然可以:

这就说明list.jsp/admin.jsp/user.jsp页面访问权限过滤是有效的,特别是list.jsp,不管是登录认证,还是“记住我”都可以。

实际开发时会在登录页面放置一个checkBox复选框,让用户勾选是否“记住我”,以此来判断是否在后台调用“token.setRememberMe(true);”方法。

最后,我们可以给RememberMe设置一个生效时长(一个月/一年等),我们在登录时,会使用securityManager配置的实现类DefaultWebSecurityManager,在其中含有rememberMeManager对象,其中含有一个cookie对象,在cookie对象中有一个名为maxAge的参数,代表了“记住我”的默认最大生效时间:

可以看到默认为31536000秒。所以我们可以通过设置securityManager的rememberManager的cookie对象的maxAge参数,来设置rememberMe的生效时间:

<!--1. 配置 SecurityManager-->     
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="authenticator" ref="authenticator"/>
    <property name="realms">
        <list>
            <ref bean="shiroRealm"/>
            <ref bean="secordRealm"/>
        </list>
    </property>
    <!-- 设置rememeberMe的时常为30分钟(1800秒) -->
    <property name="rememberMeManager.cookie.maxAge" value="1800"></property>
</bean>

HernSong
关注
专栏目录
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1683
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 2042
Shiro实现rememberMe功能
Shiro——rememberMe允许用户在下次访问应用时免除重新登录,保持持久性的登录状态
最新发布
程序员阿皓的博客
05-06 196
Shiro——rememberMe允许用户在下次访问应用时免除重新登录,保持持久性的登录状态
第十三章 RememberMe——《跟我学Shiro
jinnianshilongnian的专栏
03-17 801
  目录贴: 跟我学Shiro目录贴   Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览...
Shiro第六篇【验证码、记住我】
3y
08-23 457
验证码 在登陆的时候,我们一般都设置有验证码,但是我们如果使用Shiro的话,那么Shiro默认的是使用FormAuthenticationFilter进行表单认证。 而我们的验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 FormAuthenticationFilter是Shiro默认的功能,我们想要在FormAuthenticati...
Shiro 实现记住我功能
Charge8的博客
04-27 6240
登录一些网站的时候,在登录输入框的下侧一般都会有一个“记住我”的勾选框,选择之后,下次进入网站时就会自动进行登录操作,无需我们再次输入密码。 有关“记住我”的实现原理如下: 1、首先在登录页面选中“记住我”然后登录成功;如果是浏览器登录,一般会把“记住我”的Cookie写到客户端并保存下来。 2、关闭浏览器再重新打开,会发现浏览器还是记住你的。 3、访问一般的网页服务器端还是知道你是...
shiro - rememberMe
The Secret
02-07 296
applicationContext-shiro.xml 我这里只列出rememberMe需要添加的部分,详细的,最下面有。   &lt;bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie"&gt; &lt;property name="name" value="...
跟我学Shiro第13章Demo(RememberMe)
09-23
"跟我学Shiro第13章Demo(RememberMe)"是一个实战教程,旨在帮助开发者理解并实现Shiro中的RememberMe特性。RememberMe功能允许用户在一段时间内免于重新登录,提高了用户体验。 在这个Demo中,我们将探讨以下几个...
shiro记住登录信息
08-29
本文将详细介绍 Shiro 如何实现“记住登录信息”(RememberMe)的功能,帮助用户在关闭浏览器后仍能保持登录状态,以便在下次打开时无需重新登录。 1. **RememberMe 的工作原理** RememberMe 功能主要依赖于 ...
springmvc+shiro实现记住我功能以及权限缓存.rar
07-20
2. 实现RememberMe服务:配置RememberMeManager,例如设置Cookie的名称、路径、有效期等属性。 3. 缓存管理:配置CacheManager,如EhCache,设置缓存策略和过期时间。 4. 权限验证:在Controller或Service层,使用...
Shiro安全框架》专题(十)-Shiro之rememberMe
专业的计算机毕业设计指南
02-02 1222
文章目录1.Remember me简介2.登录表单中添加记住我复选框3.配置文件中配置4.登录控制器5.测试 1.Remember me简介 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1.首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2.关闭浏览器再重新打开;会发现浏览器还是记住你的; 3.访
Shiro记住我篇
qq_43654581的博客
10-14 265
1.实现记住我功能 2.比较authc和user的区别
Apache Shiro Remember Me服务
热门推荐
王浩的技术博客
03-29 1万+
Shiro提供Remember服务,AuthenticationToken需要实现org.apache.shiro.authc.RememberMeAuthenticationToken接口,此接口提供了一个方法: boolean isRememberMe(); 如果该方法返回true,则Shiro 将会在整个会话中记住终端用户的身份ID。 注:经常使用的Us
Shiro 实现 RememberMe 功能
暗星涌动
10-08 5581
本文内容:Shiro 中RememberMe 功能的介绍以及实现。1介绍Shiron 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器...
Shiroshiro记住我功能
来日浅谈的博客
05-27 1016
Shiroshiro记住我功能 在登录后,可以将⽤户名存在cookie中,下次访问时,可以先不登录,就可以识别身份。 在确实需要身份认证时,⽐如购买,⽀付或其他⼀些重要操作时,再要求⽤户登录即可,⽤户体验好。 由于可以保持⽤户信息,系统后台也可以更好的监控、记录⽤户⾏为,积累数据。 ”记住我“ 起点在登录时刻:Subject.login(UsernameAndPasswordToken) ⽽是否确定要“记住我”,由登录时的token控制开关: token.setRememberMe(true); Sub
springboot集成shiro实现权限缓存和记住
weixin_34336526的博客
08-10 264
到这节为止,我们已经实现了身份验证和权限验证。但是,如果我们登录之后多次访问http://localhost:8080/userInfo/userDel的话,会发现权限验证会每次都执行一次。这是有问题的,因为像用户的权限这些我们提供给shiro一次就够了。 下面,我们开始给shiro添加缓存支持: 1.添加依赖 <!-- shiro ehcache -->...
Shiro进阶(四)Shiro之RememberMe
jwang的博客
05-13 6290
前言 本章讲解一下Shiro记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不...
Shiro的Remember Me
有志青年
09-02 2097
Shiro提供了Remember服务,AuthenticationToken需要实现org.apache.shiro.authc.RememberMeAuthenticationToken接口(UsernamePasswordtoken已经提供了这个接口)。 这个接口提供了一个方法 : boolean isRememberMe(); 如果这个方法设置为true,Shiro 将会在整个会话
Springboot整合Shiro实现记住我功能
2401_84048225的博客
04-17 921
/这个地方有点坑,不是所有的base64编码都可以用,长度过大过小都不行,没搞明白,官网给出的要么0x开头十六进制,要么base64。model.addAttribute(“msg”,“用户名和密码不能为空!}catch (LockedAccountException e){//账户锁定。model.addAttribute(“msg”, “用户名错误”);model.addAttribute(“msg”, “验证码错误”);model.addAttribute(“msg”, “密码错误”);
shiro rememberMe
10-20
Shiro是一个Java安全框架,提供了记住我(RememberMe)的功能。当用户在登录页面选中RememberMe并成功登录后,Shiro会将RememberMe的Cookie写到客户端并保存下来。下次用户访问时,浏览器会自动发送该Cookie,Shiro会根据该Cookie自动登录用户,无需再次输入用户名和密码。但是需要注意的是,如果用户进行敏感操作(如查看订单或进行支付),仍需要进行身份认证以确保当前用户是合法的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值