shiro框架学习笔记(6)——登录认证+过滤器链+退出logout

最新推荐文章于 2024-06-12 00:28:18 发布
最新推荐文章于 2024-06-12 00:28:18 发布
阅读量9.5k 收藏 6
点赞数 2
分类专栏: shiro 文章标签: shiro 登录 退出 login logout
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinpz/article/details/81513731
版权

5.8 登陆

 5.8.1 原理

使用FormAuthenticationFilter过虑器实现 ,原理如下:

 

将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl

FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的)

FormAuthenticationFilter调用realm传入一个token(username和password)

realm认证时根据username查询用户信息(在Activeuser中存储,包括 userid、usercode、username、menus)。

如果查询不到,realm返回null,FormAuthenticationFilter向request域中填充一个参数(记录了异常信息)

 

5.8.2 登陆页面

由于FormAuthenticationFilter的用户身份和密码的input的默认值(username和password),修改页面的账号和密码 的input的名称为username和password

 

​​​​​​​ 5.8.3 登陆代码实现

 

​​​​​​​ 5.8.4 认证拦截过虑器

在applicationContext-shiro.xml中配置:

 

 

​​​​​​​​​​​​​​5.9 退出

 

​​​​​​​​​​​​​​ 5.9.1 使用LogoutFilter

不用我们去实现退出,只要去访问一个退出的url(该 url是可以不存在),由LogoutFilter拦截住,清除session。

 

在applicationContext-shiro.xml配置LogoutFilter:

 

 

可以删除原来的logout的controller方法代码。

​​​​​​​

 

 

​​​​​​​​​​​​​​5.10 认证信息在页面显示

1、认证后用户菜单在首页显示

2、认证后用户的信息在页头显示

 

​​​​​​​​​​​​​​5.10.1 修改realm设置完整认证信息

 

realm从数据库查询用户信息,将用户菜单、usercode、username等设置在SimpleAuthenticationInfo中。

先使用静态代码实现:

 

 

​​​​​​​​​​​​​​  5.10.2 修改first.action将认证信息在页面显示

 

 

 

​​​​​​​ 5.11 授权过虑器测试

 

​​​​​​​  5.11.1 使用PermissionsAuthorizationFilter

在applicationContext-shiro.xml中配置url所对应的权限。

 

测试流程:

1、在applicationContext-shiro.xml中配置filter规则

<!--商品查询需要商品查询权限  -->

/items/queryItems.action = perms[item:query]

2、用户在认证通过后,请求/items/queryItems.action

3、被PermissionsAuthorizationFilter拦截,发现需要“item:query”权限

4、PermissionsAuthorizationFilter调用realm中的doGetAuthorizationInfo获取数据库中正确的权限

5、PermissionsAuthorizationFilter对item:query 和从realm中获取权限进行对比,如果“item:query”在realm返回的权限列表中,授权通过。

 

​​​​​​​​​​​​​​  5.11.2 创建refuse.jsp

如果授权失败,跳转到refuse.jsp,需要在spring容器中配置:

 

 

  ​​​​​​​5.11.3 问题总结

1、在applicationContext-shiro.xml中配置过虑器链接,需要将全部的url和权限对应起来进行配置,比较发麻不方便使用。

 

2、每次授权都需要调用realm查询数据库,对于系统性能有很大影响,可以通过shiro缓存来解决。

菜鸟柱子
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
07-12 759
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
shiro整合springboot的登录退出
虾米大王的学习历程
10-07 193
在src/main/java下,新键shiro配置类。新建springboot项目,导入依赖。
Shiro框架通过配置实现退出登录状态------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-12 836
Shiro框架通过配置实现退出登录状态------Shiro框架
shiro框架---关于用户登录退出接口的介绍
凌大大的博客
02-19 8405
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(五) 在我前几篇文章里有shiro配置的文件下载包,下载后里边有四个配置文件ShiroConfig、RetryLimitHashedCredentialsMatcher 、UserRealm 、MShiroFilterFactoryBean。这四个配置文件,在前边几篇文章里,已经一一写明,还有一个文件,即LoginCheckCon...
spring中 shiro logout 配置方式
m0_67401920的博客
04-27 1646
有两种方式实现logout 1. 普通的action中 实现自己的logout方法,取到Subject,然后logout 这种需要在ShiroFilterFactoryBean 中配置 filterChainDefinitions 对应的action的url为anon # some example chain definitions: /index.htm = anon /logout = anon /unauthed = anon /console/** = anon /css/** = anon /
springboot整合shiro-实现自己的登出(十六)
这个名字想了很久
12-17 1万+
前面所有的博客登出都是使用的shiro默认自带的登出,使用方式也很简单,不用我们去实现退出功能,只要去访问一个退出的url(该 url是可以不存在),由LogoutFilter拦截住,清除session。(如果没有什么特殊需求,我建议直接使用shiro的登出) 具体如下: 8.png 只要拦截到访问/logout的请求,就会被走logout对应的 LogoutFilter,自动登出。 为什么要...
shiro框架教案+笔记+sql脚本+项目案例
08-14
在这个压缩包中,包含了关于Shiro框架学习资料,包括教案、笔记、SQL脚本以及项目案例,这些都是深入理解和应用Shiro的重要资源。 首先,"shiro框架教案"部分可能涵盖了Shiro的基本概念、架构设计、核心组件如...
shiro+spring+data+session+redis实现单点登录
08-03
Apache Shiro是一款轻量级的安全框架,提供了认证、授权、会话管理和加密等核心功能。在SSO场景中,Shiro主要负责用户的认证和权限管理。它能够处理用户登录、验证用户凭证,并根据用户角色和权限控制对资源的访问。...
springmvc+shiro自定义过滤器的实现代码
08-26
SpringMVC+Shiro自定义过滤器的实现代码 itle"springmvc+shiro自定义过滤器的实现代码"所涉及的知识点如下: 1. SpringMVC拦截器 在SpringMVC中,拦截器(Interceptor)是一种特殊的Bean,它可以在请求处理之前、...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
在实现登录失败次数限制时,我们需要使用 Shiro 框架提供的拦截器来判断用户的登录失败次数。当用户登录失败时,Shiro 框架将记录用户的登录失败次数,并在达到一定限制时禁止用户登录。 在实现密码加密时,我们...
shiro登录/退出demo(web应用)
05-03
shiro登录/退出demo(web应用),使用eclipse、maven、jetty。运行点击项目右键maven build...,在Goals中填写 jetty:run 即可。
shiro实现登录登出_我的shiro之旅: 十三 shiro 用户的登录退出 | 学步园
weixin_36211941的博客
01-16 601
shiro登录退出非常简单,在这里简单给出代码,更详细可以参考官网。(1)用户的登录public void login(User user, HttpServletRequest request, HttpServletResponse response) {user.encodePassword();baseLogin(user, request, response);}public vo...
解决spring boot shirologout过滤器任何请求都会调用的问题
genaro26的博客
06-11 3272
最近发现了一个问题,我写了一个shiro logout过滤器,本意是在退出登录时清空一些缓存,如下: public class CustomLogoutFilter extends LogoutFilter{ private static String checkOutFlag = "checkOut"; private Cache<String, Deque<Seri...
shiro的使用(三)
yankun01的博客
10-18 463
shiro第二天 shiro授权 shiro和企业项目整合开发   1      复习   什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该资源的访问权限才可以访问该资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该资源的访问权限才可以访问该资源。   权限模型:标准
shiro框架下的logout说明
abou15871390117的博客
11-15 1万+
在使用shiro管理框架下,在登录拦截时我们可以注销掉如下代码: /* //用户退出 @RequestMapping("/logout") public String logout(HttpSession session)throws Exception{ //session失效 session.invalidate(); //重定向到商品查询页面 return "redirec
shiro认证及授权的执行流程分析及图解(一)
有一种信仰叫海阔天空
04-06 5403
一,认证 1、先建两个class文件 ①、一个写AuthRealm (授权与认证方法,并继承)extends AuthorizingRealm获取其默认方法doGetAuthorizationInfo(授权方法)doGetAuthenticationInfo(认证方法) ②、一个写PasswordMatcher(密码验证器,并继承)extends SimpleCredentia...
Spring 中的 Token 验证
LinzhiQQQ的博客
12-02 1282
在 Java Web 工程项目中,登录等操作是非常常见的,那么登陆之后要做的第一件事就是要记住这个登录状态,那么常规且一般的操作是怎么做的呢? 1.账号密码验证 2.验证通过,往 session 里赛用户信息 但是今天要介绍另一个高级的身份验证方法 : token 那么为什么要使用 token 而不直接使用 session 呢?首先,token 相对session安全性更好,另外这种方法兼...
【vue】前端必须掌握的登陆 token 处理( Vue 登陆处理 token 的补充)
热门推荐
qq_41399901的博客
04-07 2万+
前言 前段时间用到了 token 处理登陆,简单弄了一下 https://blog.csdn.net/qq_41399901/article/details/88696054 在这里进行一次深入补充 token token 一般长这样: 426648ef200b455684cb15d6523a935e.d86c828583c5c6160e8acfee88ba1590 一串加密字符串 为了安全和方便...
Springboot学习笔记之springboot+shiro+cas
05-21
Spring Boot 是一个快速开发框架,它提供了一系列的工具和插件,可以快速构建一个企业级的应用程序。而 Shiro 是一个强大而灵活的安全框架,可以提供身份验证、授权、密码加密、会话管理等功能。CAS 是一个单点登录(SSO)协议,可以实现用户在多个应用系统中使用同一个身份验证。 下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> <version>3.6.0</version> </dependency> ``` 2. 配置 Shiro: ```java @Configuration public class ShiroConfig { @Bean public CasRealm casRealm() { CasRealm realm = new CasRealm(); realm.setCasServerUrlPrefix("https://cas.example.com/cas"); realm.setCasService("https://myapp.example.com/cas"); realm.setDefaultRoles("user"); realm.setRoleAttributeNames("memberOf"); return realm; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(casRealm()); return manager; } @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean(); filter.setSecurityManager(securityManager()); filter.setLoginUrl("https://cas.example.com/cas/login?service=https://myapp.example.com/cas"); filter.setSuccessUrl("/home"); filter.setUnauthorizedUrl("/403"); filter.setFilterChainDefinitionMap(Collections.singletonMap("/**", "authc")); return filter; } } ``` 3. 配置 CAS: ```java @Configuration public class CasConfig { @Bean public CasAuthenticationFilter casAuthenticationFilter() { CasAuthenticationFilter filter = new CasAuthenticationFilter(); filter.setCasServerLoginUrl("https://cas.example.com/cas/login"); filter.setServerName("https://myapp.example.com/cas"); filter.setAuthenticationSuccessHandler(authenticationSuccessHandler()); filter.setAuthenticationFailureHandler(authenticationFailureHandler()); return filter; } @Bean public SimpleUrlAuthenticationSuccessHandler authenticationSuccessHandler() { SimpleUrlAuthenticationSuccessHandler handler = new SimpleUrlAuthenticationSuccessHandler(); handler.setDefaultTargetUrl("/home"); handler.setAlwaysUseDefaultTargetUrl(true); return handler; } @Bean public SimpleUrlAuthenticationFailureHandler authenticationFailureHandler() { SimpleUrlAuthenticationFailureHandler handler = new SimpleUrlAuthenticationFailureHandler(); handler.setDefaultFailureUrl("/login?error=true"); return handler; } @Bean public FilterRegistrationBean<CasAuthenticationFilter> casFilterRegistrationBean() { FilterRegistrationBean<CasAuthenticationFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(casAuthenticationFilter()); registration.addUrlPatterns("/*"); registration.setName("CAS Authentication Filter"); registration.setOrder(1); return registration; } @Bean public ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> singleSignOutHttpSessionListener() { ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> registration = new ServletListenerRegistrationBean<>(); registration.setListener(new SingleSignOutHttpSessionListener()); registration.setOrder(2); return registration; } @Bean public ServletRegistrationBean<Servlet> casValidationServletRegistrationBean() { ServletRegistrationBean<Servlet> registration = new ServletRegistrationBean<>(); registration.setServlet(new Cas20ProxyReceivingTicketValidationFilter()); registration.addUrlMappings("/cas/*"); registration.setName("CAS Validation Filter"); registration.setOrder(3); return registration; } } ``` 4. 创建一个 HomeController: ```java @Controller public class HomeController { @GetMapping("/home") public String home() { return "home"; } @GetMapping("/403") public String error403() { return "403"; } } ``` 5. 创建一个 CAS 认证服务器: ```java @SpringBootApplication public class CasServerApplication { public static void main(String[] args) { SpringApplication.run(CasServerApplication.class, args); } } ``` 6. 创建一个 CAS 客户端: ```java @SpringBootApplication @EnableScheduling public class CasClientApplication { public static void main(String[] args) { SpringApplication.run(CasClientApplication.class, args); } } ``` 这就是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值