公司自用的管理系统使用了shiro,但是对于这个登录页面跳转、登录的过程逻辑以及登录成功或者失败的跳转页面一直不理解,查看相关文档资料,整理出一些结果并本地调试测试,记录下备以后回顾之用。

对于spring+shiro,很多文档都是:搭建环境,然后配置web.xml,shiro spring配置文件,开发自己的realm、shiro的过滤器链以及spring controller等等内容。实际开发中,也是按照这套路来使用的。但是:对于localhost/xxx/login登录请求页面跳转,怎么感觉是直接请求spring而未通过shiro过滤器?

本地web.xml配置文件部分截图:

shiro配置:

spring mvc作为请求控制器,shiro作为权限过滤器,shiro对所有请求url进行判断,并指定相关的过滤器,例如/xxx/login指定的是authc过滤器(验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问),过滤器逻辑如果抛出异常表示认证失败,过滤器会转向shiroFilter配置的loginUrl地址,认证成功会转向配置的successUrl地址。而转向过后的逻辑将是由springmvc来控制。

登录时验证:

 /**

  *

  */

 package com.autrade.xxx.shiro;

 import javax.servlet.ServletRequest;

 import javax.servlet.ServletResponse;

 import org.apache.commons.lang.StringUtils;

 import org.apache.shiro.authc.AuthenticationException;

 import org.apache.shiro.authc.AuthenticationToken;

 import org.apache.shiro.authc.IncorrectCredentialsException;

 import org.apache.shiro.authc.UnknownAccountException;

 import org.apache.shiro.subject.Subject;

 import org.apache.shiro.web.util.WebUtils;

 import org.springframework.stereotype.Service;

 import com.autrade.sptmasterweb.util.FailCacheUtils;

 /**

  * 表单验证(包含验证码)过滤类

  *

  */

 @Service

 public class FormAuthenticationFilter extends org.apache.shiro.web.filter.authc.FormAuthenticationFilter {

     public static final String DEFAULT_MESSAGE_PARAM = "message";

     @Override

     protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {

         AuthenticationToken token = createToken(request, response);

         if (token == null) {

             String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +

                     "must be created in order to execute a login attempt.";

             throw new IllegalStateException(msg);

         }

         try {

             Long lockTime = FailCacheUtils.isLocked(token.getPrincipal().toString());

             if (lockTime>0){

                 request.setAttribute(DEFAULT_MESSAGE_PARAM, "错误次数过多,请稍后再试!");

                 return true;

             }

             Subject subject = getSubject(request, response); //代表当前前台传过来的用户

             subject.login(token);

             return onLoginSuccess(token, subject, request, response);

         } catch (AuthenticationException e) {

             return onLoginFailure(token, e, request, response);

         }

     }

     /**

      * 登录失败调用事件

      */

     @Override

     protected boolean onLoginFailure(AuthenticationToken token,

             AuthenticationException e, ServletRequest request, ServletResponse response) {

         String className = e.getClass().getName(), message = "";

         if (IncorrectCredentialsException.class.getName().equals(className)

                 || UnknownAccountException.class.getName().equals(className)){

             message = "用户或密码错误, 请重试.";

         }

         else if (e.getMessage() != null && StringUtils.indexOf(e.getMessage(), "msg:")!=-1){

             message = StringUtils.replace(e.getMessage(), "msg:", "");

         }

         else{

             message = "系统出现点问题,请稍后再试!";

             e.printStackTrace(); // 输出到控制台

         }

         request.setAttribute(getFailureKeyAttribute(), className);

         request.setAttribute(DEFAULT_MESSAGE_PARAM, message);

         String username = WebUtils.getCleanParam(request, FormAuthenticationFilter.DEFAULT_USERNAME_PARAM);

         FailCacheUtils.addFailCnt(username);

         return true;

     }

     @Override

     protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request,

             ServletResponse response) throws Exception {

         String username = WebUtils.getCleanParam(request, FormAuthenticationFilter.DEFAULT_USERNAME_PARAM);

         FailCacheUtils.remave(username);

         return super.onLoginSuccess(token, subject, request, response);

     }

 }

自定义realm中:

认证:

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
     //token令牌,也就相当于一张表格,你要去验证,你就得填个表,里面写好用户名密码,交给公安局的同志给你验证

        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

        InternalUserDownEntity userAcctInfoEntity = internalUserService.findInternalUserInfoByUserName(token.getUsername());if (userAcctInfoEntity!=null)

        {
       //用户我们可以前面的令牌也就是我说的表格来取的,我们前台提交给公安同志一个表格,里面有用户密码,
       //但需要注意的是,我们在这里并不把表格中的用户密码路数据库中的用户密码进行比较,我们只是根据表格中的用户名把密码查出来,
        //然后把数据库的用户密码放在一个SimpleAuthenticationInfo对象中返回即可,这位公安同志不负责验证,只负责验证的材料

            InternalUserAuthEntity userAuthEntity = new InternalUserAuthEntity();

            userAuthEntity.setUserId(userAcctInfoEntity.getUserId());

            ShiroUser shiroUser = new ShiroUser(userAcctInfoEntity.getUserId(), token.getUsername(),token.getUsername(), userAuthEntity);

            return new SimpleAuthenticationInfo(shiroUser,userAcctInfoEntity.getPassWord(),  getName());

        }

        else

        {

            return null;

        }

    }

以上准备好比对数据,什么时候验证呢?

(1)executeLogin中调用subject.isAuthenticated()时

(2)由于之前的shiro spring配置文件中配置了/login = authc, 配了authc过滤器,shiro会自动调用subject.isAuthenticated()方法完成验证对比。

shiro+spring的更多相关文章

  1. Shiro —— Spring 环境下的使用

    一.使用 1.搭建基础环境 (1)导入 Spring 和 Shiro 的 Jar 包 正常导入 spring jar包 导入日志包 log4j-1.2.15.jar slf4j-api-1.6.1.j ...

  2. shiro+spring相关配置

    首先pom中添加所需jar包: <!-- shiro start --> <dependency> <groupId>org.apache.shiro</gr ...

  3. 【shiro】报错:Caused by: java.lang.ClassNotFoundException: org.apache.shiro.spring.LifecycleBeanPostProcessor

    Caused by: java.lang.ClassNotFoundException: org.apache.shiro.spring.LifecycleBeanPostProcessor at o ...

  4. Shiro+Spring+SpringMVC+Mybatis整合

    Demo源码地址,v1.0分支 https://github.com/jxjy/hr

  5. Spring Boot 添加Shiro支持

    前言: Shiro是一个权限.会话管理的开源Java安全框架:Spring Boot集成Shiro后可以方便的使用Session: 工程概述: (工程结构图) 一.建立Spring Boot工程 参照 ...

  6. 基于Spring + Spring MVC + Mybatis + shiro 高性能web构建

    一直想写这篇文章,前段时间 痴迷于JavaScript.NodeJs.AngularJS,做了大量的研究,对前后端交互有了更深层次的认识. 今天抽个时间写这篇文章,我有预感,这将是一篇很详细的文章,详 ...

  7. Spring MVC 急速集成 Shiro 实录

    相信有很多的程序员,不愿意进行用户管理这块代码实现. 原因之一,不同的JavaEE 系统,用户管理都会有个性化的实现,逻辑很繁琐. 而且是系统门面,以后背锅的几率非常大,可谓是低收益高风险. 最近在系 ...

  8. spring 集成shiro 之 自定义过滤器

    在web.xml中加入 <!-- 过期时间配置 --> <session-config><session-timeout>3</session-timeout ...

  9. 基于Spring框架的Shiro配置

    一.在web.xml中添加shiro过滤器  <!-- Shiro filter--> <filter> <filter-name>shiroFilter</ ...

随机推荐

  1. 优化Recorder H5录音:可边录边转码上传服务器,支持微信提供Android IOS Hybrid App源码

    Recorder H5 GitHub开源库随着支持功能的增多,音频转码处理效率渐渐的跟不上需求了,近期抽时间对音频转码部分进行了升级优化,以支持更多实用的功能. 另外IOS的Hybrid App也完成 ...

  2. java IO流 之 FIle类基础

    package IO; import java.io.File;import java.io.IOException; public class FileIO { /** * 构建及获取文件名信息 * ...

  3. MongoDB 数据库的学习与使用

    MongoDB 数据库 一.MongoDB 简介(了解) ​ MongoDB 数据库是一种 NOSQL 数据库,NOSQL 数据库不是这几年才有的,从数据库的初期发展就以及存在了 NOSQL 数据库. ...

  4. 《Tomcat和JVM的性能调优你真的学会了吗?》总结篇

    Tomcat性能调优: 找到Tomcat根目录下的conf目录,修改server.xml文件的内容.对于这部分的调优,我所了解到的就是无非设置一下Tomcat服务器的最大并发数和Tomcat初始化时创 ...

  5. 持续集成高级篇之Jekins参数传入与常见任务

    系列目录 有的童鞋可能已经发现,PipeLine项目与自由式项目相比,可配置的项少了很多,比如说环境变量定义,所有步骤完成后执行动作,拉git代码库等.其实这些功能并没有缺,而是配置的方式不一样了,以 ...

  6. 【朝花夕拾】Handler篇(二)

    前言 一年前写过一篇文章[朝花夕拾]Handler篇,随着这一年来对Handler更多的认识和理解,本文对Handler知识点做的一些补充. 一.为什么要引入Handler Handler的主要作用是 ...

  7. [Python] 数据结构--实现顺序表、链表、栈和队列

    说明: 本文主要展示Python实现的几种常用数据结构:顺序表.链表.栈和队列. 附有实现代码. 来源主要参考网络文章. 一.顺序表 1.顺序表的结构 一个顺序表的完整信息包括两部分,一部分是表中元素 ...

  8. Linux下手动安装MySQL5.7

    1.下载tar包,这里使用wget从官网下载 https://dev.mysql.com/downloads/mysql/ 2.将mysql安装到/usr/local/mysql下 # 解压 tar ...

  9. HDU - 3974 Assign the task (DFS建树+区间覆盖+单点查询)

    题意:一共有n名员工, n-1条关系, 每次给一个人分配任务的时候,(如果他有)给他的所有下属也分配这个任务, 下属的下属也算自己的下属, 每次查询的时候都输出这个人最新的任务(如果他有), 没有就输 ...

  10. hdu 5903 Square Distance(dp)

    Problem Description A string is called a square string if it can be obtained by concatenating two co ...