Spring Boot + Shiro总结
背景:最近领导要完成用户管理、菜单管理,角色管理等系统功能,上家公司的时候想过用了shiro来对整个系统进行权限控制,就想多一项技术,总归是好事,不过现在框架是spring boot,省去了沉于的配置,花了两天时间,大致认证、授权、以及记住密码完成了,后期开发菜单的时候,在整上动态更改shiro权限与角色,以下是我shiro boot整合shiro的艰难历程
第一步:引入shiro所需的必备jar包如下(shiro.version为:1.4.0):
第二步:配置ShiroConfig,添加注解**@Configuration,让spring容器可以扫描到**
1)先配置shiro过滤器
2)配置密码加密方式,实现自定义密码验证,同时引入shiro的自带的缓存,每登录一次存入缓存中
3)注入自定义认证、授权中心类,同时设置验证密码的自定义类
4)配置shiro的安全管理器(核心),所以的注册都是通过它来注入到shiro整个的框架里面
6)配置cookie (遇到问题是,remembme设置为true,并且失效时间也设置了,但是关闭浏览器时,下次访问首页还是要登录,等于设置了记住我的缓存根本没用,一直没有解决,直到今天才解决(2018年10月31日 18:49:18))
步骤1:
filterChainDefinitionMap.put(“/**”, “user”); 把authc改成user,防止访问index时跳转登录页
步骤2:cookie的设置
原来不起作用的时候是,cookie域访问不到,访问项目ip+项目名时,cookie默认是根目录,导致访问项目时根本没有携带,从而导致获取用户的时候,根本获取不到用户,导致跳转到登录页
步骤3:
访问首页时,根据缓存拿用户对象,若发现对象为空,则跳转到登录页,这样这个bug也就解决了,但是由于别人只要拿到这个cookie就可以恶意登录你的系统了,所以由于我这里是单机版,不考虑,你们使用时注意下
6)定义一个全局的异常,若没有授权则跳转没有授权页面,若其它错误,则跳转自定义错误
7)开启shiro注解的代理,如 @RequireRole(“system”)
8)配置缓存中心,读取配置文件ehcache.xml文件
相关辅助代码如下:
第三步:用户登录授权、与认证
@Autowired
private SysUserService sysUserService;
/**
* @description 跳转登录页面
* @method toLogin
* @param * @param
* @return java.lang.String
* @date: 2018/5/17 16:40:39
* @author:zhoujinbing
*/
@GetMapping({"/login","/"})
public String login()
{
return "/login";
}
/**
*
* @description 登录方法
* @method login
* @param @param request
* @param @param response
* @param @return
* @return String
* @date: 2018年5月22日 上午11:32:32
* @author:yangfengming
*/
@PostMapping(value = "/login")
@ResponseBody
public Map<String,Object> login(HttpServletRequest request,HttpServletResponse response,String name,String password)
{
Map<String,Object> resultMap = new HashMap<>();
response.setContentType("text/html;charset=UTF-8");
response.setCharacterEncoding("UTF-8");
Integer errorCode = -1;
String msg = "";
try {
request.setCharacterEncoding("UTF-8");
//获取当前Subject
Subject currentUser = SecurityUtils.getSubject();
//判断用户是否认证
if(!currentUser.isAuthenticated())
{
// 把用户名和密码封装为 UsernamePasswordToken 对象
boolean rememberMe = true;
UsernamePasswordToken token = new UsernamePasswordToken(name, password,rememberMe);
try {
// 执行登录.
currentUser.login(token);
errorCode = 1;
msg = "登录成功";
} catch (IncorrectCredentialsException e) {
msg = "登录密码错误";
System.out.println("登录密码错误!!!" + e);
} catch (ExcessiveAttemptsException e) {
msg = "登录失败次数过多,请5分钟后再登录!";
System.out.println("登录失败次数过多!!!" + e);
} catch (LockedAccountException e) {
msg = "帐号已被锁定";
System.out.println("帐号已被锁定!!!" + e);
} catch (DisabledAccountException e) {
msg = "帐号已被禁用";
System.out.println("帐号已被禁用!!!" + e);
} catch (ExpiredCredentialsException e) {
msg = "帐号已过期";
System.out.println("帐号已过期!!!" + e);
} catch (UnknownAccountException e) {
msg = "帐号不存在";
System.out.println("帐号不存在!!!" + e);
} catch (UnauthorizedException e) {
msg = "您没有得到相应的授权!";
System.out.println("您没有得到相应的授权!" + e);
} catch (Exception e) {
System.out.println("出错!!!" + e);
}
}
else {
errorCode = 1;
msg = "登录成功";
}
} catch (Exception e) {
log.error("登录失败,why:{}",e.getMessage());
e.printStackTrace();
}
resultMap.put("code",errorCode);
resultMap.put("msg",msg);
return resultMap;
}
@RequestMapping("/unauthorized")
public String unauthorized()
{
return "unauth";
}
大致流程就是:前台输入用户名、密码、记住密码,到后台的login方法,subject.login()去调用配置的认证与授权,然后跳转至成功页面
学习的shiro的url:
https://blog.csdn.net/qq_37171353/article/details/78893282(体验下这个小的Demo,很有用)
https://www.cnblogs.com/learnhow/p/5694876.html(讲解原理)
https://blog.csdn.net/u014695188/article/details/52356158(讲解 Cookie与密码错误次数校验)
记录下,方便以后学习时可以更容易理解
2729
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
