Shiro登录校验

shiro是一种权限认证框架,实现一个简单的登录鉴权:

1、控制器层:

@Controller
@RequestMapping("/blogger")
public class BloggerController {
    
    @Resource
    private BloggerService bloggerService;
    
    @RequestMapping("/login")
    public String login(Blogger blogger,HttpServletRequest request){
        //shiro身份验证
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(blogger.getUserName(), CryptographyUtil.md5(blogger.getPassword(), "123456"));
        try {
            subject.login(token);    //身份认证
            return "redirect:/admin/main.jsp";
        } catch (Exception e) {
            e.printStackTrace();
            request.setAttribute("blogger", blogger);
            request.setAttribute("errorInfo", "用户名或密码错误");
            return "login";
        }
    }
    
}

Subject,可以理解为当前的用户主体,Shiro的session机制摆脱了http session限制,在非web环境中使用企业级session管理进行session会话管理,SecurityUtils为单例的工具类,返回当前Subject对象。

token,最基本是用户名密码token,当然也可以自己拓展,构建token后调用Subject的login方法,提交token到realm的doGetAuthenticationInfo进行身份验证:

public class MyRealm extends AuthorizingRealm{
    
    @Resource
    private BloggerService bloggerService;
    
    /**
     * 获取用户信息的所有资料,如权限角色等.
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        
        return null;
    }
    
    /**
     * 验证当前登录的用户
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        Blogger blogger = bloggerService.getByUserName(userName);
        if(blogger != null){            //存在该用户名
            SecurityUtils.getSubject().getSession().setAttribute("currentUser", blogger);
            AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(blogger.getUserName(), blogger.getPassword(),"any");
            return authcInfo;
        }else{
            return null;
        }
    }
}

这里拿到用户名后查询数据库获取正确的blogger登录对象,构建SimpleAuthenticationInfo认证信息对象,身份判别结果Shiro都会反映在异常中:

try {
            subject.login(token);    //身份认证
            return "redirect:/admin/main.jsp";
        } catch (Exception e) {
            e.printStackTrace();
            request.setAttribute("blogger", blogger);
            request.setAttribute("errorInfo", "用户名或密码错误");
            return "login";
        }

这里统一用Exception异常表示用户判别失败,ok了。。。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏xingoo, 一个梦想做发明家的程序员

Spring Boot快速搭建Web工程

先想一下,正常我们想要创建一个web服务,首先需要下载tomcat,创建web工程,配置各种web.xml,引入spring的配置,各种配置文件一顿倒腾......

22110
来自专栏一个会写诗的程序员的博客

《Springboot极简教程》继承WebMvcConfigurerAdapter: 一行代码写Controller文章概要常用的写Controller类方法继承 WebMvcConfigurerAd

要添加一个新页面访问总是要新增一个Controller或者在已有的一个Controller中新增一个方法,然后再跳转到设置的页面上去。考虑到大部分应用场景中Vi...

401
来自专栏禁心尽力

用户登录安全框架shiro—用户的认证和授权(一)

ssm整合shiro框架,对用户的登录操作进行认证和授权,目的很纯粹就是为了增加系统的安全线,至少不要输在门槛上嘛。   这几天在公司独立开发一个供公司内部人...

1975
来自专栏一个会写诗的程序员的博客

Spring Boot 自定义Spring MVC 配置: WebMvcConfigurationSupport

Spring Boot 自定义Spring MVC 配置: WebMvcConfigurationSupport

642
来自专栏技术沉淀

Rails测试:Rspec

1064
来自专栏雨过天晴

Android Studio 多渠道打

1453
来自专栏JavaEE

ssm整合案例(超级详细)spring+springmvc+mybatis整合案例

34010
来自专栏Java技术栈

@Resource,@Autowired,@Inject3种注入方式详解

概况 @Resource,@Autowired,@Inject 这3种都是用来注入bean的,它们属于不同的程序中。 ANNOTATIONPACKAGESOUR...

3479
来自专栏dalaoyang

SpringBoot的国际化使用

在项目中,很多时候需要国际化的支持,这篇文章要介绍一下springboot项目中国际化的使用。 在这个项目中前端页面使用的thymeleaf,另外加入了neko...

46113
来自专栏pangguoming

简单的Hibernate入门简介

其实Hibernate本身是个独立的框架,它不需要任何web server或application server的支持。然而,大多数的Hibernate入门介绍...

3389

扫码关注云+社区