shiro框架---关于用户登录和权限验证功能的实现步骤(六)
2018-02-19 22:36
1206 查看
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(五)
在我前几篇文章里有shiro配置的文件下载包,下载后里边有四个配置文件
以上有个
另外还有个
以上的
另外
还有一个地方,即退出的
以上的方法
在我前几篇文章里有shiro配置的文件下载包,下载后里边有四个配置文件
ShiroConfig、
RetryLimitHashedCredentialsMatcher、
UserRealm、
MShiroFilterFactoryBean。这四个配置文件,在前边几篇文章里,已经一一写明,还有一个文件,即
LoginCheckController类,这个里边有关于
shiro框架下提供的登录、退出的接口。
具体配置如下:
package microservice.fpzj.shiro.controller; import microservice.fpzj.control.base.BaseController; import microservice.fpzj.core.models.Role; import microservice.fpzj.core.models.User; import microservice.fpzj.service.jwt.UserService; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.session.Session; import org.apache.shiro.subject.Subject; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; import org.springframework.web.bind.annotation.ResponseBody; import org.springframework.web.servlet.mvc.support.RedirectAttributes; import javax.servlet.http.HttpServletRequest; @Controller //如果用RestController,比如login.html就会只显示值,必须用controller注解才可以显示页面 public class LoginCheckController extends BaseController{ private static Logger logger = LoggerFactory.getLogger(LoginCheckController.class); @Autowired private UserService userService; /** * 用户登录验证入口 * 1、首次访问全部过滤到/index请求下,因为没有token,进入shiro验证会不通过,则会重定向到远程进行登录 * 2、远程登录成功后,根据该处给出的redirect地址,带上token重定向本方法,进行重新验证。 * @param * @return */ @RequestMapping(value="/weblogin",method=RequestMethod.GET) public String ssoLoginForm(String httptoken) throws Exception { boolean res=userService.verifyHttpToken(httptoken); if(!res){ return "profession/views/login"; } String token = userService.getContentFromHttpToken(httptoken); UsernamePasswordToken upt = new UsernamePasswordToken(token,""); Subject subject = SecurityUtils.getSubject(); try { subject.login(upt); } catch (Exception e) { return "profession/views/login"; } Session session = subject.getSession(); session.setAttribute("token", token); String username = userService.getUsernameFromToken(token); User user = userService.findUserByUserName(username); user.setPasswd(""); session.setAttribute("sessionUser", user); return "redirect:home"; } /** * 跳转本地登录页面 */ @RequestMapping(value="/login",method=RequestMethod.GET) public String login(HttpServletRequest request){ return "profession/views/login"; } /** * 本地登录页面账户密码提交验证 * @param request * @return */ @RequestMapping(value="/login",method=RequestMethod.POST) @ResponseBody public Object loginForm(HttpServletRequest request) throws Exception { String username = request.getParameter("username"); String password = request.getParameter("password"); UsernamePasswordToken upt = new UsernamePasswordToken(username,password); Subject subject = SecurityUtils.getSubject(); try { subject.login(upt); } catch (Exception e) { if("no_user".equals(e.getMessage())){ return addResultMapMsg(false,"当前用户不存在"); } if("no_permission".equals(e.getMessage())){ return addResultMapMsg(false,"该用户没有当前系统的访问权限"); } return addResultMapMsg(false,"账号密码错误"); } Session session = subject.getSession(); String createToken = userService.createTokenAndSave(username); session.setAttribute("token", createToken); User user = userService.findUserByUserName(username); for (Role r : user.getRoles()) { if (r.getSiteid() == 2) { //取出业务系统角色,将该角色赋值给user对象下的role属性 20170923 lsf user.setRole(r); break; } } user.setPasswd(""); session.setAttribute("sessionUser", user); return addResultMapMsg(true,"登录成功"); } /** * 登录首页 * @return */ @RequestMapping(value={"/home","/"},method=RequestMethod.GET) public Object home(){ return "profession/views/index"; } /** * 本地登出页面 * @param redirectAttributes * @return */ @RequestMapping(value="/logout",method=RequestMethod.GET) public String logout(RedirectAttributes redirectAttributes ){ //使用权限管理工具进行用户的退出,跳出登录,给出提示信息 Subject subject = SecurityUtils.getSubject(); if (subject.isAuthenticated()) { subject.logout(); } return "profession/views/login"; } }
以上有个
login方法,这是一个
GET请求方法,是
shiroConfig类中配置的未登录的情况下跳转的第一个接口,意思是,只要没有登录就会跳转到这个接口。
另外还有个
loginForm方法,是一个
POST请求方法,该方法是登录页面输入账号密码后,请求的登录验证接口,这地方主要有这样一个地方需要注意一下,如下:
UsernamePasswordToken upt = new UsernamePasswordToken(username,password); Subject subject = SecurityUtils.getSubject(); try { subject.login(upt); } catch (Exception e) { return "profession/views/login"; }
以上的
UsernamePasswordToken是用来存放用户名密码的对象,
另外
SecurityUtils.getSubject(),这个特别重要,是
shiro框架中获取的当前访问的用户对象,一个客户端将会对应一个
subject,最后就是
subject.login(upt)该方法,就开始进入到
shiro框架里验证账号密码了,从这里再往后走的逻辑图具体如下:
还有一个地方,即退出的
logout方法,因为退出后,需要清除
shiro框架里记录的用户信息,比如
subject对象,以及其中的
session对象等等,那么就需要该方法里的写法:
Subject subject = SecurityUtils.getSubject(); if (subject.isAuthenticated()) { subject.logout(); } return "profession/views/login";
以上的方法
subject.logout()即退出,并清除
subject。
以上仅仅是我个人打断点后走过的步骤,个人理解,如果有错误,请留言帮我指正一下,谢谢了。
下一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(七)相关文章推荐
- shiro框架---关于用户登录和权限验证功能的实现步骤(一)
- shiro框架---关于用户登录和权限验证功能的实现步骤(三)
- shiro框架---关于用户登录和权限验证功能的实现步骤(七)
- shiro框架---关于用户登录和权限验证功能的实现步骤(四)
- shiro框架---关于用户登录和权限验证功能的实现步骤(八)
- shiro框架---关于用户登录和权限验证功能的实现步骤(五)
- shiro框架---关于用户登录和权限验证功能的实现步骤(二)
- 基于权限安全框架Shiro的登录验证功能实现
- spring boot配置shiro安全框架及用户登录权限验证实现
- 基于权限安全框架Shiro的登录验证功能实现
- 从零开始实现asp.net MVC4框架网站的用户登录以及权限验证模块 详细教程
- 使用AjaxPro框架实现无刷新用户登录验证【原创】
- Spring学习之SpringMVC框架快速搭建实现用户登录功能
- Spring学习之SpringMVC框架快速搭建实现用户登录功能
- 框架 day54 BOS项目练习(权限/角色/用户管理(CRUD),基于数据库实现动态授权,ehcache缓存权限,shiro标签,菜单权限展示)
- Java小程序之集合框架模拟数据库实现用户登录和注册功能
- Spring学习之SpringMVC框架快速搭建实现用户登录功能
- springMVC中实现用户登录权限验证
- Spring学习之SpringMVC框架快速搭建实现用户登录功能
- 使用AjaxPro框架实现无刷新用户登录验证【原创】