Shiro登录校验

shiro是一种权限认证框架,实现一个简单的登录鉴权:

1、控制器层:

@Controller
@RequestMapping("/blogger")
public class BloggerController {
    
    @Resource
    private BloggerService bloggerService;
    
    @RequestMapping("/login")
    public String login(Blogger blogger,HttpServletRequest request){
        //shiro身份验证
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(blogger.getUserName(), CryptographyUtil.md5(blogger.getPassword(), "123456"));
        try {
            subject.login(token);    //身份认证
            return "redirect:/admin/main.jsp";
        } catch (Exception e) {
            e.printStackTrace();
            request.setAttribute("blogger", blogger);
            request.setAttribute("errorInfo", "用户名或密码错误");
            return "login";
        }
    }
    
}

Subject,可以理解为当前的用户主体,Shiro的session机制摆脱了http session限制,在非web环境中使用企业级session管理进行session会话管理,SecurityUtils为单例的工具类,返回当前Subject对象。

token,最基本是用户名密码token,当然也可以自己拓展,构建token后调用Subject的login方法,提交token到realm的doGetAuthenticationInfo进行身份验证:

public class MyRealm extends AuthorizingRealm{
    
    @Resource
    private BloggerService bloggerService;
    
    /**
     * 获取用户信息的所有资料,如权限角色等.
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        
        return null;
    }
    
    /**
     * 验证当前登录的用户
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        Blogger blogger = bloggerService.getByUserName(userName);
        if(blogger != null){            //存在该用户名
            SecurityUtils.getSubject().getSession().setAttribute("currentUser", blogger);
            AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(blogger.getUserName(), blogger.getPassword(),"any");
            return authcInfo;
        }else{
            return null;
        }
    }
}

这里拿到用户名后查询数据库获取正确的blogger登录对象,构建SimpleAuthenticationInfo认证信息对象,身份判别结果Shiro都会反映在异常中:

try {
            subject.login(token);    //身份认证
            return "redirect:/admin/main.jsp";
        } catch (Exception e) {
            e.printStackTrace();
            request.setAttribute("blogger", blogger);
            request.setAttribute("errorInfo", "用户名或密码错误");
            return "login";
        }

这里统一用Exception异常表示用户判别失败,ok了。。。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Kubernetes

containerd源码分析

本文是对containerd v0.2.4的源码分析。 ##Containerd源码流程图 ? 源码接口调用详情 从ctr调用containerd-api #...

6017
来自专栏沃趣科技

ASM 翻译系列第四十弹:理解ASM中 REQUIRED_MIRROR_FREE_MB和USABLE_FILE_MB的含义

原作者:Harald van Breederode 译者: 魏兴华 审核: 魏兴华 DBGeeK社区联合出品 原文链接:https://prutse...

37012
来自专栏鬼谷君

08-部署node节点

1132
来自专栏IT笔记

SpringBoot开发案例之整合Dubbo提供者(二)

? 00.jpg 大家有没有注意到,上一篇中提供者,暴露接口的方式?混搭。springboot本身接口实现使用了注解的方式,而Dubbo暴露接口使用的是配置文...

3258
来自专栏cmazxiaoma的架构师之路

FastDFS蛋疼的集群和负载均衡(九)之创建FastDFS的Maven项目

1662
来自专栏JavaEE

springboot整合shiro(含MD5加密)写在前面:开发环境:项目开始:

5.2K10
来自专栏北京马哥教育

Python大法之告别脚本小子---信息资产收集类脚本编写

在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了............当然这一切的前提,就是要有耐心了!!!由于要写工具...

1070
来自专栏Golang语言社区

go的net/http包使用

网上资料有点杂,有的还掺杂中间件进去,导致使用有障碍,所以,直接上官方文档: 1,首先搞清[]byte string的相互转换,最简单的方式就是 ...

36310
来自专栏Java技术分享

Apache Shiro 注解方式授权

除了通过API方式外,Shiro 提供Java 5+注解的集合,以注解为基础的授权控制。在你可以使用Java 注释之前,你需要在你的应用程序中启用AOP 支持。...

2279
来自专栏一只程序汪的自我修养

可能是全网首个支持阿里云Elasticsearch Xapck鉴权的Skywalking

对Skywalking有兴趣的同学参见:年轻人的第一个APM-Skywalking

2352

扫码关注云+社区