shiro登录过程
工作流程:
浏览器将用户名、密码、是否记住登录等信息发送给登录controller ,
new UsernamePasswordToken()获取token,将用户名、加密后的密码、rememberMe,set到token中。SecurityUtils.getSubject();获取subject对象,执行subect.login(token)进行登录操作并捕获可能出现的账号密码错误等异常。
1.前端登录页面将用户名、密码、是否记住登录,传入到Controller
Controller登录方法:
1 //1.获取shiro中的subject对象
2 Subject subject = SecurityUtils.getSubject();
3 //2.对用户从页面输入的密码进行加密处理
4 password = new Md5Hash(password,username,1024).toString();
5 System.out.println("加密后的密码: " + password);
6 //3.创建shiro中的用户名和密码对象,将用户输入的用户名密码交给shiro管理
7 UsernamePasswordToken token = new UsernamePasswordToken(username, password);
8 //4.关于记住我的设置
9 System.out.println("是否记住我: " + rememberMe);
10 if(rememberMe){
11 token.setRememberMe(true);
12 }
13 //5.调用shiro的登录方法,调用后,shiro会自动执行Realm实现类===========
14 try {
15 subject.login(token);
16 System.out.println("开始登陆");
17 } catch (UnknownAccountException e) {
18 return new Result(1, "账号不存在");
19 }catch (IncorrectCredentialsException e){
20 return new Result(1,"密码错误");
21 }catch (AuthenticationException e){
22 System.out.println("其他异常");
23 return new Result(1,"其他异常");
24 }
25 return new Result(0, "登陆成功!");
26
27 /**
28 * 注销方法
29 * @return
30 */
31 public Result logout(){
32 //1.获取subject对象
33 Subject subject = SecurityUtils.getSubject();
34 //2.返回注销方法
35 subject.logout();
36 //3.返回
37 return Result.ok("注销成功");
38 }
获取完数据后,shiro会自动执行Realm的实现类,实现类需要手动实现,如下:
1 /**
2 * projectName: myproject
3 * @author: xxx
4 * time: 2021/9/6 21:17
5 * description: 自定义realm对象
6 *
7 * 1.从数据库根据用户名,取出数据库中的用户名,密码交给shiro框架
8 * 2.根据用户名,到数据库取出用户对应的角色和权限对象交给shiro框架管理
9 */
10
11 public class MyUserRealm extends AuthorizingRealm {
12
13 @Autowired
14 private UserService userService;
15 @Autowired
16 private MenuService menuService;
17 @Autowired
18 private RoleService roleService;
19
20 /**
21 * 用户输入的用户名和密码输入正确,校验完成后进行赋值操作
22 * 根据用户名到数据库查询这个用户对应的角色和权限,交给shiro管理
23 * 调用时机:在需要访问资源的时候,需要角色和权限的视乎才会调用此方法
24 * @param principalCollection
25 * @return
26 */
27 @Override
28 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
29
30 System.out.println("已登陆成功,授予登录用户权限,也就是赋予用户对应的角色和能够访问的菜单");
31
32 //1.获取当前登录的用户对象
33 SysUsers sysUSers = (SysUsers) principalCollection.getPrimaryPrincipal();
34
35 //2.获取当前登录用户的 用户id
36 int uid = sysUSers.getId();
37
38 //3.根据用户id,查询数据库中这个用户对应的角色集合和权限集合
39 Set<String> roleList = roleService.findRoleListByUid(uid);
40 Set<String> menuList = menuService.findMenuListbyUid(uid);
41
42 //4.创建shiro中的用户权限对象
43 SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo();
44
45 //5.将查询到的角色集合放入shiro的权限对象
46 auth.setRoles(roleList);
47
48 //6.将查询到的权限集合放入shiro的权限对象
49 auth.setStringPermissions(menuList);
50
51 //7.返回shiro权限对象
52 return auth;
53 }
54
55 /**
56 * 根据用户在页面输入的用户名,查询数据库中的用户名和密码,交给shiro框架
57 * 让shiro框架进行对比用户名,密码是否正确
58 * 调用时机:在controller调用subject.login(token);方法就会执行这个方法,进行用户名 密码校验
59 * @param auth
60 * @return
61 * @throws AuthenticationException
62 */
63 @Override
64 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
65 System.out.println("开始校验用户名和密码................");
66
67 //1.获取用户在浏览器输入的用户名
68 String userName = (String) auth.getPrincipal();
69 //2.根据用户输入的用户名,查询数据库的用户对象
70 String password = new String((char[]) auth.getCredentials());
71 //3.判断用户是否为空,为空则抛出异常
72 SysUsers sysUSer = userService.findUserbyName(userName);
73 if (sysUSer == null) {
74 throw new UnknownAccountException("账号不存在,请先注册,再登录!");
75 }
76 //4.对比数据库的密码和用户输入的密码是否一致
77 if(!password.equals(sysUSer.getPassword())){
78 throw new IncorrectCredentialsException("密码错误");
79 }
80 //5.判断用户状态,1正常,其他为锁定状态
81 if(sysUSer.getStatus() != 1){
82 throw new LockedAccountException("账号被锁定不允许登录");
83 }
84 //6.封装shiro中需要的权限对象,包括用户名 密码 以及当前用户对象交给shiro返回
85 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName, password, this.getName());
86 return info;
87 }
88 }
其他Controller方法需要做权限验证时,可以在上面加注解@RequiresPermissions("sys:product:add")
括号里是权限字符串,用冒号连接
shiro注解用在Service和Controller层,但是如果Service层有事务注解,那么shiro注解要放在Controller层。因为两个代理对象在类型转换时会出现异常。
shiro登录过程的更多相关文章
- Shiro 登录认证源码详解
Shiro 登录认证源码详解 Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证.授权管理.企业级会话管理和加密等功能,相比 Spring Security 来说要更加 ...
- spring boot(十四)shiro登录认证与权限管理
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro.安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求.在Java领域一般有Spring Security ...
- Shiro登录中遇到了问题
Shiro登录中遇到了问题 记录二次开发中遇到的问题, 如果系统学习Shiro, 推荐跟我学Shrio. 问题 项目是要将验证从本地改为LDAP验证, 但是因为jeecms的验证和授权中, 用户和角色 ...
- 简述Shiro验证过程
如果让我们自己实现用户登录验证我们都需要哪些步骤? 很简单,根据用户提供的账号从数据库中查询该账户的密码以及一些其他信息,然后拿这个密码与用户输入的密码相比较,因为保存在数据库中的密码一般是经过加密的 ...
- 【转】SQL Server -- 已成功与服务器建立连接,但是在登录过程中发生错误
SQL Server -- 已成功与服务器建立连接,但是在登录过程中发生错误 最近在VS2013上连接远程数据库时,突然连接不上,在跑MSTest下跑的时候,QTAgent32 crash.换成IIS ...
- 已成功与服务器建立连接,但是在登录过程中发生错误。 (provider: SSL Provider, error: 0 - 接收到的消息异常,或格式不正确。)
之前做好的asp.net部署后,发现 访问数据库时: 异常:已捕获: "已成功与服务器建立连接,但是在登录过程中发生错误. (provider: SSL Provider, error: 0 ...
- SQL Server(解决问题)已成功与服务器建立连接,但是在登录过程中发生错误。(provider: Shared Memory Provider, error:0 - 管道的另一端上无任何进程。
http://blog.csdn.net/github_35160620/article/details/52676416 如果你在使用新创建的 SQL Server 用户名和密码 对数据库进行连接的 ...
- 使用Shiro登录成功后,跳转到之前访问的页面实现
转:http://blog.csdn.net/lhacker/article/details/20450855 很多时候,我们需要做到,当用户登录成功后,跳转回登录前的页面.如果用户是点击" ...
- flask的session解读及flask_login登录过程研究
#!/usr/bin/env python # -*- coding: utf-8 -*- from itsdangerous import URLSafeTimedSerializer from f ...
随机推荐
- GitHub 简介
用详细的图文对GitHub进行简单的介绍. git是一个版本控制工具,github是一个用git做版本控制的项目托管平台. 主页介绍: overview:总览.相当于个人主页. repositorie ...
- midway的使用教程
一.写在前面 先说下本文的背景,这是一道笔者遇到的Node后端面试题,遂记录下,通过本文的阅读,你将对楼下知识点有所了解: midway项目的创建与使用 typescript在Node项目中的应用 如 ...
- 用一个性能提升了666倍的小案例说明在TiDB中正确使用索引的重要性
背景 最近在给一个物流系统做TiDB POC测试,这个系统是基于MySQL开发的,本次投入测试的业务数据大概10个库约900张表,最大单表6千多万行. 这个规模不算大,测试数据以及库表结构是用Dump ...
- DAST 黑盒漏洞扫描器 第三篇:无害化
0X01 前言 甲方扫描器其中一个很重要的功能重点,就是无害化,目的是尽量降低业务影响到可接受程度. 做过甲方扫描器,基本上对于反馈都有所熟悉. "我们的服务有大量报错,请问和你们有关么&q ...
- 拙见--springMVC的controller接受的请求参数
1-这种是最常用的表单参数提交,ContentType指定为application/x-www-form-urlencoded,也就是会进行URL编码. 1.1-对象类型实体Bean接收请求参数(表单 ...
- CSCMS代码审计
很久之前审的了. 文章首发于奇安信攻防社区 https://forum.butian.net/share/1626 0x00 前言 CSCMS是一款强大的多功能内容管理系统,采用php5+mysql进 ...
- SprinigBoot自定义Starter
自定义Starter 是什么 starter可以理解是一组封装好的依赖包,包含需要的组件和组件所需的依赖包,使得使用者不需要再关注组件的依赖问题 所以一个staerter包含 提供一个autoconf ...
- spring中的bean生命周期
1.实例化(在堆空间中申请空间,对象的属性值一般是默认值.通过调用createBeanInstance()方法进行反射.先获取反射对对象class,然后获取默认无参构造器,创建对象) 2.初始化(就是 ...
- 使用Kind快速构建k8s
什么是 KindKind(Kubernetes in Docker) 是一个 Kubernetes 孵化项目,Kind 是一套开箱即用的 Kubernetes 环境搭建方案.顾名思义,就是将 Kube ...
- 飞鱼CRM
直接放干货吧,今日头条飞鱼CRM的PHP调用方法,点我跳转. 很简单的两个方法,加密时重要的是有一个空格,必须要有,这个也是坑了我很长时间的一个坑. 接下来具体说一下飞鱼CRM系统接口加密的方法. & ...