shiro 自定义FormAuthenticationFilter,记住我
来源:互联网 发布:网络广告公司薪酬调查 编辑:程序博客网 时间:2024/05/09 15:55
验证码
思路
shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。
需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。
自定义FormAuthenticationFilter
package cn.me.ssm.shiro;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {@Overrideprotected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {// 在这里进行验证码的校验HttpServletRequest httpServletRequest = (HttpServletRequest) request;HttpSession session = httpServletRequest.getSession();// 取出验证码String validateCode = (String) session.getAttribute("validateCode");// 取出页面的验证码// 输入的验证和session中的验证进行对比String randomcode = httpServletRequest.getParameter("randomcode");if (randomcode != null && validateCode != null && !randomcode.equals(validateCode)) {// 如果校验失败,将验证码错误失败信息,通过shiroLoginFailure设置到request中httpServletRequest.setAttribute("shiroLoginFailure", "randomCodeError");// 拒绝访问,不再校验账号和密码return true;}return super.onAccessDenied(request, response);}}
<!-- Shiro过滤器 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><!-- Shiro的核心安全接口,这个属性是必须的 --><property name="securityManager" ref="securityManager" /><!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 --><property name="loginUrl" value="/login.do" /><!-- 认证成功统一跳转到first.action,建议不配置,shiro认证成功自动到上一个请求路径 --><property name="successUrl" value="/first.do" /><!-- 通过unauthorizedUrl指定没有权限操作时跳转页面 --><property name="unauthorizedUrl" value="/refuse.jsp" /><!-- 自定义filter配置 --><property name="filters"><map><!-- 将自定义 的FormAuthenticationFilter注入shiroFilter中 --><entry key="authc" value-ref="formAuthenticationFilter" /></map></property><!-- Shiro连接约束配置,即过滤链的定义 --><property name="filterChainDefinitions"><value><!-- /** = anon所有url都可以匿名访问 --><!-- 对静态资源设置匿名访问 -->/images/** = anon/js/** = anon/styles/** = anon<!-- 验证码,可匿名访问 -->/validatecode.jsp = anon<!-- 请求 logout.action地址,shiro去清除session -->/logout.action = logout<!--商品查询需要商品查询权限 ,取消url拦截配置,使用注解授权方式 --><!-- /items/queryItems.action = perms[item:query] --><!-- /** = authc 所有url都必须认证通过才可以访问 -->/**=authc</value></property></bean><!-- 自定义form认证过虑器 --><!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 --><bean id="formAuthenticationFilter" class="cn.me.ssm.shiro.CustomFormAuthenticationFilter "><!-- 表单中账号的input名称 --><property name="usernameParam" value="username" /><!-- 表单中密码的input名称 --><property name="passwordParam" value="password" /></bean>
在login.do对验证错误 进行解析
//登陆提交地址,和applicationContext-shiro.xml中配置的loginurl一致@RequestMapping("/login")public String login(HttpServletRequest request) throws Exception {// 如果登录失败从request中获取认证异常信息,shiroLoginFailure就是shiro异常类的全限定名// 根据shiro返回的异常类路径判断,抛出指定异常信息String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");if (exceptionClassName != null) {if (UnknownAccountException.class.getName().equals(exceptionClassName)) {throw new CustomException("用户名不存在");} else if (IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {throw new CustomException("用户名/密码不正确");}else if("randomCodeError".equals(exceptionClassName)){throw new CustomException("验证码错误 ");}else {throw new Exception();// 最终在异常处理器生成未知错误}}// 此方法不处理登陆成功(认证成功),shiro认证成功会自动跳转到上一个请求路径// 登陆失败还到login页面return "login";}
记住我
用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。
用户身份实现java.io.Serializable接口
向cookie记录身份信息需要用户身份信息对象实现序列化接口,如下:
package cn.me.ssm.po;import java.io.Serializable;import java.util.List;/** * 用户身份信息 * * @author Administrator * */public class ActiveUser implements Serializable {/** * */private static final long serialVersionUID = -60165487594776678L;private String userid;// 用户idprivate String usercode;// 用户帐号private String username;// 用户名称private List<SysPermission> menus;// 用户的菜单private List<SysPermission> permissions;// 权限public String getUserid() {return userid;}public void setUserid(String userid) {this.userid = userid;}public String getUsercode() {return usercode;}public void setUsercode(String usercode) {this.usercode = usercode;}public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public List<SysPermission> getMenus() {return menus;}public void setMenus(List<SysPermission> menus) {this.menus = menus;}public List<SysPermission> getPermissions() {return permissions;}public void setPermissions(List<SysPermission> permissions) {this.permissions = permissions;}}
spring-shiro.xml 修改
<!-- Shiro过滤器 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><!-- Shiro的核心安全接口,这个属性是必须的 --><property name="securityManager" ref="securityManager" /><!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 --><property name="loginUrl" value="/login.do" /><!-- 认证成功统一跳转到first.action,建议不配置,shiro认证成功自动到上一个请求路径 --><property name="successUrl" value="/first.do" /><!-- 通过unauthorizedUrl指定没有权限操作时跳转页面 --><property name="unauthorizedUrl" value="/refuse.jsp" /><!-- 自定义filter配置 --><property name="filters"><map><!-- 将自定义 的FormAuthenticationFilter注入shiroFilter中 --><entry key="authc" value-ref="formAuthenticationFilter" /></map></property><!-- Shiro连接约束配置,即过滤链的定义 --><property name="filterChainDefinitions"><value><!-- /** = anon所有url都可以匿名访问 --><!-- 对静态资源设置匿名访问 -->/images/** = anon/js/** = anon/styles/** = anon<!-- 验证码,可匿名访问 -->/validatecode.jsp = anon<!-- 请求 logout.action地址,shiro去清除session -->/logout.action = logout<!--商品查询需要商品查询权限 ,取消url拦截配置,使用注解授权方式 --><!-- /items/queryItems.action = perms[item:query] --><!-- 配置记住我或认证通过可以访问的地址 -->/** = user<!-- /** = authc 所有url都必须认证通过才可以访问 -->/**=authc</value></property></bean><!-- 自定义form认证过虑器 --><!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 --><bean id="formAuthenticationFilter" class="cn.me.ssm.shiro.CustomFormAuthenticationFilter "><!-- 表单中账号的input名称 --><property name="usernameParam" value="username" /><!-- 表单中密码的input名称 --><property name="passwordParam" value="password" /><!-- 记住我input的名称 --><property name="rememberMeParam" value="rememberMe"/></bean><!-- rememberMeManager管理器,写cookie,取出cookie生成用户信息 --><bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager"><property name="cookie" ref="rememberMeCookie" /></bean><!-- 记住我cookie --><bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie"><!-- rememberMe是cookie的名字 --><constructor-arg value="rememberMe" /><!-- 记住我cookie生效时间30天 --><property name="maxAge" value="2592000" /></bean><!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><!-- 注入自定义Realm --><property name="realm" ref="customRealm" /><!-- 注入缓存管理器 --><property name="cacheManager" ref="cacheManager" /><!-- 注入session管理器 --><property name="sessionManager" ref="sessionManager" /><!-- 记住我 --><property name="rememberMeManager" ref="rememberMeManager"/></bean>
<tr><TD></TD><td><input type="checkbox" name="rememberMe" />自动登陆</td></tr>
测试
0 0
- shiro 自定义FormAuthenticationFilter,记住我
- Shiro登录机制验证,自定义FormAuthenticationFilter
- shiro表单的验证 自定义FormAuthenticationFilter
- Spring Boot Shiro权限管理--自定义 FormAuthenticationFilter验证码整合
- shiro试用记录-FormAuthenticationFilter
- shiro 记住我 的实现
- Shiro中自定义Realm的作用(FormAuthenticationFilter和PermissionAuthorizationFilter)以及源码解析
- shiro- session,自定义FormAuthenticationFilter(表单认证器)-->实现验证码校验
- spring-shiro外篇记住我功能
- Shiro第六篇【验证码、记住我】
- spring boot 集成shiro记住我实现
- shiro框架之RememberMe(记住我)
- shiro+ehcache缓存 和 验证码 和 记住我
- SpringBoot学习:整合shiro(rememberMe记住我功能)
- Spring Boot Shiro 权限信息缓存处理,记住我,thymleaf使用shiro标签
- Spring Boot Shiro 权限信息缓存处理,记住我,thymleaf使用shiro标签
- 我的shiro之旅: 六 自定义shiro的sessionId
- 我的shiro之旅: 十 自定义shiro的SessionIdCookie
- 面向对象12
- 图片旋转总结
- Java之真实项目中的章节排序实例
- andriod 打造炫酷的电影票在线选座控件,1比1还原淘宝电影在线选座功能
- Serialize and Deserialize Binary Tree -- leetcode
- shiro 自定义FormAuthenticationFilter,记住我
- C#控制台 使用struct结构,输出hello world
- easyui datagrid 小结
- Android 事件总线OTTO入门
- JavaScript 实现 DOM树 的遍历
- 如何从Zbrush里面抓MatCap Material做成Texuture,好做lit sphere shading
- [2016/7/9][USACO1.5][dp]Superprime Rib
- 开源免费天气预报接口API以及全国所有地区代码!!(国家气象局提供)
- PHP session 防止重复登录