认证思路

  1. 调用 SecurityUtils.getSubject() 方法,获取当前的 Subject 对象 ;

  2. 调用 Subject.isAuthenticated() 测试当前的用户,即 Subject 是否以及被认证,即是否登录 ;

  3. 如果没有被认证,则进行认证操作;

  4. 将用户名和密码封装成 UsernamePasswordToken 对象;

  5. 自定义 Realm 的方法,从数据库获取对应的记录,返回给 shiro

    如果是仅仅完成登录,则继承 AuthenticatingRealm 类,实现 doGetAuthenticationInfo(AuthenticationToken) 方法 ;

  6. 调用 Subject.login(AuthenticationToken) 方法,执行登录 ;

  7. shiro 完成密码的比对 。

自定义用于登录检验的Realm的思路

在认证的时候, Subject.login(AuthenticationToken) 方法,传进去的参数,最终被传到了 AuthenticatingRealm 的自定义子类中,用于认证的方法中;

  1. 将方法中token参数,强转为 UsernamePasswordToken 对象;

  2. UsernamePasswordToken 中获取 用户名 ;

  3. 调用数据库方法,获取此用户名对用的记录;

  4. 如若此用户不存在,则抛出 UnknownAccountException 异常;

  5. 用户存在的情况下,根据实际情况看是否需要抛出其他 AuthenticationException 异常,比如:用户被锁定异常

  6. 根据用户情况,构建 AuthenticationInfo 对象返回,最常用的是实现类是:SimpleAuthenticationInfo

    如果不需要进行盐值加密,则调用有三个参数的构造器;

    1. principal : 认证的实体信息,也就上面我们是使用什么信息进行认证,比如这里就是使用 用户名 ;
    2. credentials:数据库中保存的密码;
    3. realmName:当前 realm 的名字,调用父类的 getName() 方法即可 ;

代码实现

控制器代码:

 @RequestMapping(value = "/isAllowLogin", method = {RequestMethod.POST})

    @ResponseBody

    public String isAllowLogin(@RequestParam("username") String username, @RequestParam("password") String password) throws IOException {

        JSONObject jsonObject = new JSONObject();

        Subject subject = SecurityUtils.getSubject();

        if (!subject.isAuthenticated()) {

            UsernamePasswordToken token = new UsernamePasswordToken(username, password);

            try {

                subject.login(token);

            } catch (AuthenticationException e) {

                jsonObject.put("result", "0");

                return jsonObject.toJSONString();

            }

        }

        jsonObject.put("result", "1");

        return jsonObject.toJSONString();

    }

自定义Realm代码:

@Service

public class ShiroRealm extends AuthenticatingRealm {

    @Autowired

    private UserMapper userMapper;

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

       UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

        String username = token.getUsername();

        User user = userMapper.findUserByName(username);

        if (null == user) {

            throw new UnknownAccountException("用户名或密码错误");

        }

        String password = user.getUserPass();

        AuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());

		 return info;

    }

}

后记

shiro 的校验通过以后,同一个 session 对应的浏览器再次输入 任意登录信息 都会校验通过,这是 shiro 拿缓存了,没有走 realm 校验 ;

要想登出,可以使用在受保护页面那里配置一个 logout 进行登出操作;

   <property name="filterChainDefinitions">

            <value>

                /logout.action = logout

               ...

               ....

               ...

            </value>

        </property>

这里注意,前面的路径随便写,无论其存在不存在,只要后面写成 logout 就行, shiro 就会执行登出操作;其原理应该是销毁了对应的 session

(三)shiro的认证的更多相关文章

  1. Apache shiro集群实现 (三)shiro身份认证(Shiro Authentication)

    Apache shiro集群实现 (一) shiro入门介绍 Apache shiro集群实现 (二) shiro 的INI配置 Apache shiro集群实现 (三)shiro身份认证(Shiro ...

  2. Shiro入门之一 -------- Shiro权限认证与授权

    一  将Shirojar包导入web项目 二 在web.xml中配置shiro代理过滤器 注意: 该过滤器需要配置在struts2过滤器之前 <!-- 配置Shiro的代理过滤器 -->  ...

  3. spring boot(十四)shiro登录认证与权限管理

    这篇文章我们来学习如何使用Spring Boot集成Apache Shiro.安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求.在Java领域一般有Spring Security ...

  4. springboot+mybatis+shiro——登录认证和权限控制

    转载:https://z77z.oschina.io/ 一.引入依赖 shiro-all包含shiro所有的包.shiro-core是核心包.shiro-web是与web整合.shiro-spring ...

  5. Shiro 登录认证源码详解

    Shiro 登录认证源码详解 Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证.授权管理.企业级会话管理和加密等功能,相比 Spring Security 来说要更加 ...

  6. Shiro身份认证---转

    目录 1. Shro的概念 2. Shiro的简单身份认证实现 3. Shiro与spring对身份认证的实现 前言: Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境 ...

  7. Shiro身份认证、盐加密

    目的: Shiro认证 盐加密工具类 Shiro认证 1.导入pom依赖 <dependency> <groupId>org.apache.shiro</groupId& ...

  8. SpringBoot整合Shiro完成认证

    三.SpringBoot整合Shiro思路 首先从客户端发来的所有请求都经过Shiro过滤器,如果用户没有认证的都打回去进行认证,认证成功的,再判断是否具有访问某类资源(公有资源,私有资源)的权限,如 ...

  9. 射频识别技术漫谈(12)——三次相互认证【worldsing笔记】

    射频识别系统中由于卡片和读写器并不是固定连接为一个不可分割的整体,二者在进行数据通讯前如何确信对方的合法身份就变得非常重要.根据安全级别的要求不同,有的系统不需认证对方的身份,例如大多数的TTF模式的 ...

  10. 阿里云API网关(11)API的三种安全认证方式

    网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https ...

随机推荐

  1. 性能测试学习第八天-----linux环境整合篇

  2. bootstrap table插件动态加载表头

    这篇文章主要为大家详细介绍了bootstrap table插件动态加载表头,具有一定的参考价值,感兴趣的小伙伴们可以参考一下   bootstrap的table属性已经很熟悉了,最近遇到一个问题,犹豫 ...

  3. spring boot 之注册

    注册数据库 使用spring boot 之登录笔记  的数据库 在server 层 User create(String username, String password, String email ...

  4. 微信小程序“一劳永逸”的接口封装

    前言 最近都在研究小程序了,我可以的! 需求 之前都是用vue来开发项目的,接口模块我特意封装了一下.感觉也可以记录一下 小程序的接口虽说简单,但是重复调用那么多,显得不专业(一本正经的胡说八道) 还 ...

  5. ubuntu之路——day6(今天对数据集的建立有了更深的体会)

    两个重点: 一.举个例子,如果建立一个图像识别的数据集,你的训练集和你的训练验证集是从网上爬下来的(也就是说这些图片的大小.像素.后期制作都可能很精美),你真正的测试集是用户的手机上传(不同的手机.环 ...

  6. [教程] Packt - Create a Game Environment with Blender and Unity by Darrin Lile

    学习了解如何使用Blender,photoshop和Unity创建自己的游戏环境!了解如何通过比以往更加集成的方式使用Blender和Unity,将自己的游戏设计变为现实.在Unity中创建测试版本 ...

  7. AXURE RP8 - 实战手册 网站和APP原型制作案例精粹

    扫码时备注或说明中留下邮箱 付款后如未回复请至https://shop135452397.taobao.com/ 联系店主    

  8. 常见的医学基因筛查检测 | genetic testing | 相癌症早筛 | 液体活检

    NIPT, Non-invasive Prenatal Testing - 无创产前基因检测 (学术名词) NIFTY,胎儿染色体异常无创产前基因检测 (注册商标)华大的明显产品 新生儿耳聋基因检测 ...

  9. SSH项目中使用struts-tags报错According to TLD or attribute directive in tag file, attribute test does not accept any expressions

    在运行struts2标签页面时报错,代码如下:<%@ page language="java" pageEncoding="gbk"%><%@ ...

  10. Flutter ------- WebView加载网页

    在Flutter 加载网页?也是有WebView的哦,和Android一样 1.添加依赖 dependencies: flutter_webview_plugin: ^0.2.1+2 2.导入库 im ...