springboot整合shiro 认证与授权与记住密码与密码错过锁定次数

                                                                       Spring Boot + Shiro总结

背景:最近领导要完成用户管理、菜单管理,角色管理等系统功能,上家公司的时候想过用了shiro来对整个系统进行权限控制,就想多一项技术,总归是好事,不过现在框架是spring boot,省去了沉于的配置,花了两天时间,大致认证、授权、以及记住密码完成了,后期开发菜单的时候,在整上动态更改shiro权限与角色,以下是我shiro boot整合shiro的艰难历程

第一步:引入shiro所需的必备jar包如下(shiro.version为:1.4.0):

第二步:配置ShiroConfig,添加注解@Configuration,让spring容器可以扫描到

               1)先配置shiro过滤器

               2)配置密码加密方式,实现自定义密码验证,同时引入shiro的自带的缓存,每登录一次存入缓存中

               3)注入自定义认证、授权中心类,同时设置验证密码的自定义类

               4)配置shiro的安全管理器(核心),所以的注册都是通过它来注入到shiro整个的框架里面

               6)配置cookie  (遇到问题是,remembme设置为true,并且失效时间也设置了,但是关闭浏览器时,下次访问首页还是要登录,等于设置了记住我的缓存根本没用,一直没有解决,直到今天才解决(2018年10月31日 18:49:18))

                    步骤1:

                           filterChainDefinitionMap.put("/**", "user"); 把authc改成user,防止访问index时跳转登录页

                     步骤2:cookie的设置

                           

                          原来不起作用的时候是,cookie域访问不到,访问项目ip+项目名时,cookie默认是根目录,导致访问项目时根本没有携带,从而导致获取用户的时候,根本获取不到用户,导致跳转到登录页

                       步骤3:

    

访问首页时,根据缓存拿用户对象,若发现对象为空,则跳转到登录页,这样这个bug也就解决了,但是由于别人只要拿到这个cookie就可以恶意登录你的系统了,所以由于我这里是单机版,不考虑,你们使用时注意下

               6)定义一个全局的异常,若没有授权则跳转没有授权页面,若其它错误,则跳转自定义错误

               7)开启shiro注解的代理,如 @RequireRole("system")

               8)配置缓存中心,读取配置文件ehcache.xml文件

 

相关辅助代码如下:

第三步:用户登录授权、与认证

@Autowired
   private SysUserService sysUserService;

   /**
    * @description 跳转登录页面
    * @method  toLogin
    * @param  * @param
    * @return java.lang.String
    * @date: 2018/5/17 16:40:39
    * @author:zhoujinbing
    */
   @GetMapping({"/login","/"})
   public String login()
   {
       return "/login";
   }

   /**
    * 
    * @description 登录方法
    * @method  login
    * @param @param request
    * @param @param response
    * @param @return
    * @return String
    * @date: 2018年5月22日 上午11:32:32
    * @author:yangfengming
    */
   @PostMapping(value = "/login")
@ResponseBody
   public Map<String,Object> login(HttpServletRequest request,HttpServletResponse response,String name,String password)
   {
   Map<String,Object> resultMap = new HashMap<>();
   response.setContentType("text/html;charset=UTF-8");
   response.setCharacterEncoding("UTF-8");
   Integer errorCode = -1;
   String msg = "";

   try {
      request.setCharacterEncoding("UTF-8");

      //获取当前Subject
      Subject currentUser = SecurityUtils.getSubject();
      //判断用户是否认证
      if(!currentUser.isAuthenticated())
      {
         // 把用户名和密码封装为 UsernamePasswordToken 对象
         boolean rememberMe = true;
         UsernamePasswordToken token = new UsernamePasswordToken(name, password,rememberMe);

         try {
            // 执行登录.
            currentUser.login(token);
            errorCode = 1;
            msg = "登录成功";
         } catch (IncorrectCredentialsException e) {
            msg = "登录密码错误";
            System.out.println("登录密码错误!!!" + e);
         } catch (ExcessiveAttemptsException e) {
            msg = "登录失败次数过多,请5分钟后再登录!";
            System.out.println("登录失败次数过多!!!" + e);
         } catch (LockedAccountException e) {
            msg = "帐号已被锁定";
            System.out.println("帐号已被锁定!!!" + e);
         } catch (DisabledAccountException e) {
            msg = "帐号已被禁用";
            System.out.println("帐号已被禁用!!!" + e);
         } catch (ExpiredCredentialsException e) {
            msg = "帐号已过期";
            System.out.println("帐号已过期!!!" + e);
         } catch (UnknownAccountException e) {
            msg = "帐号不存在";
            System.out.println("帐号不存在!!!" + e);
         } catch (UnauthorizedException e) {
            msg = "您没有得到相应的授权!";
            System.out.println("您没有得到相应的授权!" + e);
         } catch (Exception e) {
            System.out.println("出错!!!" + e);
         }
      }
      else {
         errorCode = 1;
         msg = "登录成功";
      }
   } catch (Exception e) {
      log.error("登录失败,why:{}",e.getMessage());
      e.printStackTrace();
   }
   resultMap.put("code",errorCode);
   resultMap.put("msg",msg);
       return resultMap;
   }

   @RequestMapping("/unauthorized")
   public String unauthorized()
{
   return "unauth";
}

 

大致流程就是:前台输入用户名、密码、记住密码,到后台的login方法,subject.login()去调用配置的认证与授权,然后跳转至成功页面

学习的shiro的url:

https://blog.csdn.net/qq_37171353/article/details/78893282(体验下这个小的Demo,很有用)

https://www.cnblogs.com/learnhow/p/5694876.html (讲解原理)

https://blog.csdn.net/u014695188/article/details/52356158 (讲解 Cookie与密码错误次数校验)

 

记录下,方便以后学习时可以更容易理解

 

发布了21 篇原创文章 · 获赞 7 · 访问量 2万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览