JavaWeb day41-saas-export项目-shiro认证

最新推荐文章于 2023-05-18 21:17:46 发布
最新推荐文章于 2023-05-18 21:17:46 发布
阅读量82 收藏
点赞数
原文链接:https://blog.csdn.net/u013621398/article/details/109569505
版权
本文介绍Shiro框架如何通过过滤器和标签实现权限控制。详细解释了anon和authc过滤器的作用,以及如何配置Shiro拦截特定URL。同时,展示了如何在用户登录时验证用户名和密码,并处理不同类型的认证错误。
摘要由CSDN通过智能技术生成

Shiro过滤器&标签简介

判断 sesion中是否有 user 判断账户密码是否正确
(1)分析
需要过滤器控制 没有权限下访问链接
需要标签控制 没有权限下 界面元素的隐藏
》anon代表不认证也可以访问,通常对静态资源进行放行
》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证,Shiro会自动跳转到login.jsp页面

Shiro登陆认证-判断session中的user

(1)过滤器
在项目中使用认证过滤器拦截资源(该拦截的拦截,该放行的放行)
(2)authc认证过滤器
必须认证才能访问,如果未认证跳登录页
(3)anon过滤器
放行,不需要拦截认证
(4)拦截路径问题

applicationContext-shiro.xml

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--注入SecurityManager-->
        <property name="securityManager" ref="securityManager"/>
        <property name="filterChainDefinitions">
            <value>
                <!-- 如果请求提静态资源 anon 不要求session中有user,直接可以访问-->
                /css/**=anon
                /img/**=anon
                /plugins/**=anon
                <!-- 如果请求login.do方法 anon-->
                /system/user/login-shiro.do=anon
                <!-- 如果除以上之后的xxx.do 要求登录 authc查询session中是否有user-->
                /**=authc
            </value>
        </property>
        <!--如果 session就是没有user,表示未登录,页面转到login-shiro.jsp -->
        <property name="loginUrl" value="/login-shiro.jsp"/>

    </bean>

Shiro登录认证-用户密码判断

Shiro登陆认证三种结果

(1)正确
无异常
User user = (User)subject.getPrincipal()//获取user对象
(2)用户不存在
程序抛出UnknownAccountException异常
(3)用户密码出错
程序抛出IncorrectCredentialsException异常

Shiro登陆认证login方法

(1) 获取Subject对象
Subject subject = SecurityUtils.getSubject();
(2)调用Subject的认证方法 : login 本质:AuthRealm的认证方法
subject.login(token);
(3)登录的结果
正确
用户不存在
用户密码出错

UserController

//${path}/system/user/login-shiro.do
    @RequestMapping(path = "/login-shiro", method = {RequestMethod.GET, RequestMethod.POST})
    public String loginShiro(String email,String password) {
        //根据 email查询对应的用户
        l.info("loginShiro email " + email);
        l.info("loginShiro password " + password);
        //使用shiro框架进行认证  结果也是三种可能  正确 没有异常,用户不存在 UnknownAccountException,密码出错 IncorrectCredentialsException
        //本质是需要调用realm进行查找用户
        Subject subject = SecurityUtils.getSubject();//获取连接
        //1:先获取subject 表示对securitymanager连接
        //2:调用 securitymanager
        //3:再调用realm
        //难验信息
        UsernamePasswordToken token = new UsernamePasswordToken(email, password);//身份验证
        try {
            subject.login(token);//正确  --realm
            //正确
            l.info("正确");
            //保存用户信息
            //要求访问realm返回一个user对象
            User user = (User) subject.getPrincipal();//  --realm
            session.setAttribute("loginUser",user);
            //一个 Module对象 就是左侧栏上的一个菜单项
            List<Module> menus = iModuleService.findModulesByUser(user);
            session.setAttribute("menus",menus);
            l.info("login menus "+menus);
            //跳到主页
            return "redirect:/home/toMain.do";
        } catch (UnknownAccountException e) {//用户不存在
            e.printStackTrace();
            l.info("用户不存在");
            request.setAttribute("error","用户不存在");
            return "forward:/login-shiro.jsp";
        }catch (IncorrectCredentialsException e){//密码出错
            e.printStackTrace();
            l.info("密码不对");
            request.setAttribute("error","邮箱或者密码不对");
            return "forward:/login-shiro.jsp";
        }


    }

AuthRealm

//认证(登录账号密码)
 //subject.login(token);
 //参1 接受 subject.login(token); 方法的值  authenticationToken

 @Autowired
 IUserService userService;
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
     l.info("AuthRealm doGetAuthenticationInfo 函数执行了");
     //响应login方法和getPrincipal方法的调用
     UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) token;

     String email  = usernamePasswordToken.getUsername();
     l.info("doGetAuthenticationInfo --"+email);
     //调service读dao
     User user =  userService.findUserByEmail(email);
     l.info("doGetAuthenticationInfo --"+user);
     if (user == null) {
         //用户不存在
         return null;//-->系统会将null转成UnknownAccountException抛出
     } else {
         //用户存在的
         //AuthenticationInfo 返回给 User user = (User) subject.getPrincipal();
         /**
          * 参数一:principal,存放用户登录信息,subject.getPrincipal()获取
          * 参数二:数据库的密码
          * 参数三:realm的别名,只有在多个Realm的时候才会用,一般不用
          */
         AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), "");
         return info;
     }
 }
好哥哥1998
关注
Shiro登录的使用以及原理(二)----Filter过滤器原理和使用
大鹏的博客
11-27 678
在第一篇中进行的简单的介绍了Shiro的登录的实现https://blog.csdn.net/qq_38340127/article/details/109866392,因为主要为了后续的Spring结合Shiro,而Shiro通过Filer实现的,所以此篇主要讲Filter原理和使用。 一 Filter 过滤器 在web项目中Filer的主要功能就是对用户请求做预处理,接着将请求交给servlet处理并响应,然后Filter在对该相应进行后置处理。 web浏览器-------->web服务器-
SpringBoot整合shiro-重写shiro的登录过滤器
tengfei308的博客
03-30 704
SpringBoot整合shiro-重写shiro的登录过滤器 shiro是利用过滤器进行工作,而springboot的web项目本质其实就是springmvc.所有的请求都在DispatcherServlet中进行了分发.在web项目中,Filter先于servlet执行的.shiro的登录的拦截器比springboot的controller先执行.而shiro的登录filter只支持登录失败时返回一个页面,如果使用的是ajax请求,希望没有登录时返回JSON数据,shiro本身的filter是做不到的,
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 606
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证Shiro会自动跳转到login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1720
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
shiro(一):springMVC与shiro整合,实现简单登录
热门推荐
coolwind的博客
11-29 1万+
&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;shiro与web的整合的起点就是在web.xml里添加一个shiro的filter,通过filter来进行安全管理。 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nb
apache shiro jar包_只需要6个步骤,springboot集成shiro,并完成登录
weixin_39644139的博客
11-22 657
小Hub领读:导入jar包,配置yml参数,编写ShiroConfig定义DefaultWebSecurityManager,重写Realm,编写controller,编写页面,一气呵成。搞定,是个高手~上面一篇文章中,我们已经知道了shiro认证与授权过程,这也是shiro里面最核心常用的基础功能。现在我们把shiro集成到我们的项目中,开始搭建一个有认证和权限体系的项目,比如用户中心需要登录...
JavaWeb课程设计-购物商城项目源码+数据库(满分期末大作业)
最新发布
10-22
JavaWeb课程设计-购物商城项目源码+数据库(满分期末大作业)JavaWeb课程设计-购物商城项目源码+数据库(满分期末大作业)JavaWeb课程设计-购物商城项目源码+数据库(满分期末大作业)JavaWeb课程设计-购物商城项目...
JavaWeb商城购买-javaweb购物商城-网上购物项目源码+数据库
10-22
JavaWeb商城购买_javaweb购物商城_网上购物项目源码+数据库JavaWeb商城购买_javaweb购物商城_网上购物项目源码+数据库JavaWeb商城购买_javaweb购物商城_网上购物项目源码+数据库JavaWeb商城购买_javaweb购物商城_...
Javaweb课程设计-网上订餐管理系统源码+数据库(高分项目
09-24
Javaweb课程设计-网上订餐管理系统源码+数据库(高分项目),个人大三学期的课程设计、经导师指导并认可通过的高分大作业设计项目,评审分98分。主要针对计算机相关专业的正在做大作业的学生和需要项目实战练习的...
基于MVC的Javaweb项目-----简单的唱片管理销售平台 # 初学javaweb,制作简单唱片销售管理平台-附件资源
03-02
基于MVC的Javaweb项目-----简单的唱片管理销售平台 # 初学javaweb,制作简单唱片销售管理平台-附件资源
Javaweb课程设计----基于Javaweb的音乐项目(源码+报告).zip
12-29
开发语言:Java 1.8 MVC框架:Spring 4.3.3 web服务器:Tomcat 开发系统:OSX/LINUX 数据库: MySQL 、需要提前配置好mysql数据库,sql文件位于根目录 (DDL.sql DML.sql) 2、设置数据库参数 配置文件位于 ...
shiro讲解,以及SpringBoot微框架集成shiro完成登录拦截器功能。
听风动的博客
04-02 1261
一:shiro是什么? 1.shiro是什么 shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro与传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限...
Shiro 实现权限管理
HHM
08-05 466
本章节:结合SSM + Dubbo 和 Spring Boot + Shiro来讲,我也是参考spring Boot + Shiro + Vue 来做的一套权限管理。 最近公司项目重构,项目也是好几年前的项目,Dubbo 架构。我本身也没有做过权限。 权限说难也难。说不难也不难。主要是设计和思想很重要。具体看业务场景。 设计核心: 每个登录用户拥有各自的权限,比如:一级菜单~二级菜单 : 列表/添...
(十二)整合 Shiro 框架,实现用户权限管理
爱是与世界平行
07-08 514
整合 Shiro 框架,实现用户权限管理1、Shiro简介1.1 基础概念1.2 核心角色1.3 核心理念2、SpringBoot整合Shiro2.1 核心依赖2.2 Shiro核心配置2.3 域对象配置3.4 核心工具类3.5 自定义权限异常提示3、案例演示代码3.1 测试接口3.2 测试流程 1、Shiro简介 1.1 基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅
00【笔记】 Shiro登陆过滤提示信息
杨不易呀
06-17 163
Shiro登陆过滤 提示信息 package top.yangbuyi.system.shiro; import com.alibaba.fastjson.JSONObject; import org.apache.shiro.web.filter.authc.FormAuthenticationFilter; import javax.servlet.ServletRequest;...
shiro实现登陆认证和权限管理
BushRo
07-12 1725
ApacheShiro是Java 的一个安全(权限)框架。 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 功能介绍 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的...
shiro-自定义登录过滤器控制转发路径
qq_31856061的博客
01-27 547
引文:shiro自带有多种过滤器,但是在一些场景中,需要登录页面有多种展现形式,通常需要用一些字段参数来控制,这个时候shiro的过滤不能满足需求,需要注入自定过滤器来满足需求 1.自定义过滤器,实现 public class LoginFilter extends AuthenticationFilter { /** 用户没登录时操作 */ @Override protected boolean onAccessDenied(ServletRequest servletReque
使用shiro的的表单过滤器重写shiro默认的认证规则来实现先验证验证码再验证登录所遇到的问题
XWJ
03-11 5360
我之前写过一篇用shiro实现登录认证的博文,今天就是在这基础上做出修改而成。由于对shiro认识不够深入,折腾了很久,今天主要就是对遇到的问题做出点小总结。 首先我先给出shiro的配置文件: <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001
Shiro实现登录拦截与用户认证
Healerjy的博客
05-18 492
测试结果:用户名和密码输入都正确则进入首页,并且能够具有add、update的权限,如果用户名或密码输入错误则有相应的提示。编写Shiro配置类 UserRealm类同上。新建一个login.html作为拦截后跳转的登录页面。测试结果:没有权限将会跳转到登录页面。编写controller接口。配置UserRealm类。修改登录页面部分代码。
javaweb Day11-08修改
09-24
Javaweb的基础教程中,第11天的第8节课通常涉及Servlet和HttpSession的基本概念。这一天可能会讲到如何创建一个简单的Servlet,也就是一个处理HTTP请求的小程序,它是服务器端Java应用的核心组成部分。学习内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值