shiro登录机制及获取登录前地址,跳转到指定页面

最新推荐文章于 2023-06-09 15:48:20 发布
原创 最新推荐文章于 2023-06-09 15:48:20 发布 · 2.9k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#shiro #java
本文详细探讨了Shiro的登录机制,包括Subject的登录流程,如何通过SecurityManager和Authenticator接口进行用户认证。此外,还阐述了Shiro如何记住登录前的地址,并在用户成功登录后跳转回原始页面,涉及session管理和WebUtils的使用。通过对源码的分析,加深了对Shiro操作的理解。

一、shiro的登录机制

登录操作一般是由用户去触发的,有用户名,密码,记住密码等(密码加密方式可根据自己需要)

 String username = request.getParameter("username");
 String password = request.getParameter("password");
 Boolean flag =false;
 if(null != rememberMe && !"".equals(String.valueOf(rememberMe))){
            flag=true;
        }
//添加用户认证信息
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(
      username,
      MD5Util.md5(password).toUpperCase());  
token.setRememberMe(flag);

Subject的登录将委托给SecurityManager,SecurityManager的login方法实际上是产生了一个新的Subject,然后将相关属性赋予当前调用者Subject:这个过程shiro已经帮我们封装好了,我们只需要调用安全管理器就可以了

try{
            subject.login(token);//调用安全管理器,安全管理器调用Realm
            User user = (User) subject.getPrincipal();
            HttpSession session = request.getSession();
            session.setAttribute("currentUser",user);
            //明文密码的用户
            User user1 = userService.selectByUsername(username);
            user1.setPassword(password);
            session.setAttribute("originalUser",user1);
            SecurityUtils.getSubject().getSession().setTimeout(18000000);
            model.addAttribute("currentUser",user);
        }catch (UnknownAccountException e) {
            //用户名不存在,跳转到登录页面
            model.addAttribute("usernameerror","用户名不存在");
            return "login/login";
        }catch (IncorrectCredentialsException e) {
            // 密码错误,跳转到登录页面
            model.addAttribute("passwordeerror","密码错误");
            return "login/login";
        }

下面我们还是来看下shiro的源码,加深了解
当使用subject.login(token)方法时,会找到接口interface Subject的login方法,实际是进入了subject接口的实现类DelegatingSubject中

    public void login(AuthenticationToken token) throws AuthenticationException {
        this.clearRunAsIdentitiesInternal();
        Subject subject = this.securityManager.login(this, token);
        String host = null;
        PrincipalCollection principals;
        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject)subject;
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals != null && !principals.isEmpty()) {
            this.principals = principals;
            this.authenticated = true;
            if (token instanceof HostAuthenticationToken) {
                host = ((HostAuthenticationToken)token).getHost();
            }

            if (host != null) {
                this.host = host;
            }

            Session session = subject.getSession(false);
            if (session != null) {
                this.session = this.decorate(session);
            } else {
                this.session = null;
            }

        } else {
            String msg = "Principals returned from securityManager.login( token ) returned a null or empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
    }

通过断点追踪我们可以看到,当执行到Subject subject = this.securityManager.login(this, token)时,进入securityManager接口的实现类DefaultSecurityManager中

   public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = this.authenticate(token);
        } catch (AuthenticationException var7) {
            AuthenticationException ae = var7;

            try {
                this.onFailedLogin(token, ae, subject);
            } catch (Exception var6) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an exception.  Logging and propagating original AuthenticationException.", var6);
                }
            }

            throw var7;
        }

        Subject loggedIn = this.createSubject(token, info, subject);
        this.onSuccessfulLogin(token, info, loggedIn);
        return loggedIn;
    }

执行方法info = this.authenticate(token), 顶层实现了Authenticator 接口

   public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

在这里插入图片描述
Authenticator 接口以及实现类AbstractAuthenticator.class获取认证信息

public interface Authenticator {
    AuthenticationInfo authenticate(AuthenticationToken var1) throws AuthenticationException;
}


//Authenticator接口的实现类 AbstractAuthenticator
public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        if (token == null) {
            throw new IllegalArgumentException("Method argument (authentication token) cannot be null.");
        } else {
            log.trace("Authentication attempt received for token [{}]", token);

            AuthenticationInfo info;
            try {
                info = this.doAuthenticate(token);
                if (info == null) {
                    String msg = "No account information found for authentication token [" + token + "] by this " + "Authenticator instance.  Please check that it is configured correctly.";
                    throw new AuthenticationException(msg);
                }
            } catch (Throwable var8) {
                AuthenticationException ae = null;
                if (var8 instanceof AuthenticationException) {
                    ae = (AuthenticationException)var8;
                }

                if (ae == null) {
                    String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " + "error? (Typical or expected login exceptions should extend from AuthenticationException).";
                    ae = new AuthenticationException(msg, var8);
                    if (log.isWarnEnabled()) {
                        log.warn(msg, var8);
                    }
                }

                try {
                    this.notifyFailure(token, ae);
                } catch (Throwable var7) {
                    if (log.isWarnEnabled()) {
                        String msg = "Unable to send notification for failed authentication attempt - listener error?.  Please check your AuthenticationListener implementation(s).  Logging sending exception and propagating original AuthenticationException instead...";
                        log.warn(msg, var7);
                    }
                }

                throw ae;
            }

            log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);
            this.notifySuccess(token, info);
            return info;
        }
    }

protected abstract AuthenticationInfo doAuthenticate(AuthenticationToken var1) throws AuthenticationException;

ModularRealmAuthenticator 继承AbstractAuthenticator,重写了方法doAuthenticate

 protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        this.assertRealmsConfigured();
        Collection<Realm> realms = this.getRealms();
        return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
    }


protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" + token + "].  Please ensure that the appropriate Realm implementation is " + "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        } else {
            AuthenticationInfo info = realm.getAuthenticationInfo(token);
            if (info == null) {
                String msg = "Realm [" + realm + "] was unable to find account data for the " + "submitted AuthenticationToken [" + token + "].";
                throw new UnknownAccountException(msg);
            } else {
                return info;
            }
        }
    }

AuthenticationInfo info = realm.getAuthenticationInfo(token)方法,追寻到Realm接口的实现类AuthenticatingRealm
在这里插入图片描述

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
        if (info == null) {
            info = this.doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                this.cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            this.assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

使用shiro认证真正主要我们写的就是获取认证数据,MyShiroRealm extends AuthorizingRealm,重写doGetAuthenticationInfo方法

/**
     * 用户认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken myToken = (UsernamePasswordToken) authenticationToken;
        String username = myToken.getUsername();
        char[] password = myToken.getPassword();
        User user= userDao.selectByUsername(username);
        if(user == null){
            return null;
        }
        // 参数一:签名对象,认证通过后,可以在程序的任意位置获取当前放入的对象
        // 参数二:数据库中查询出的密码
        // 参数三:当前realm的类名
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,
                user.getPassword(), this.getClass().getName());
        return info;

shiro对用户信息的校验完成,即用户合法,不会进行拦截,就会按照我们编辑的逻辑跳转至页面,接上文章开始触发登录的代码

  // 失效时长2小时
 subject.getSession().setTimeout(7200000L);
  return "redirect:/index";

二、shiro记住登陆之前的地址

如果直接想到系统的某个页面,但是又没有登录,想要在输入用户名和密码之后到呢个页面而不是到配置的首页,那么就需要记住之前的地址。我们来看看shiro是怎么做的

shiro在跳转前会把跳转过来的页面链接保存到session的attribute中,key的值叫shiroSavedRequest,我们可以能过WebUtils类拿到。当用户登录成功后,可能通过String url = WebUtils.getSavedRequest(request).getRequestUrl();,拿到跳转到登录页面前的url,然后redirect到这个url。
来看看它的源码

   public static SavedRequest getSavedRequest(ServletRequest request) {
        SavedRequest savedRequest = null;
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession(false);
        if (session != null) {
            savedRequest = (SavedRequest)session.getAttribute("shiroSavedRequest");
        }

        return savedRequest;
    }

对于我们来说,只需要稍微修改返回首页的部分代码就可以达到这个目的

  // 失效时长2小时
        subject.getSession().setTimeout(7200000L);
        SavedRequest saveRequest = WebUtils.getSavedRequest(request);
        if (saveRequest == null || saveRequest.getRequestUrl() == null){
            return "redirect:/index";
        }else{
            String s = saveRequest.getRequestUrl().replaceAll("/GisqManagementCloudPlatformV1.1", "");
            if (s.contains("/login")||s.contains("logout")){
                return "redirect:/index";
            }
            return "redirect:" + s;
        }

三、写在最后

学海无涯,源码是枯燥无味的,要想弄透弄明白还需要大家自己去打断点跟踪,知其一也要知其二,大家一起进步。

我是如何做到开源系统中的检测到未登录自动跳转登录页面的?
编码人生
01-20 655
实现未登录跳转登录界面的方法有很多,例如后端框架使用springsecurity来实现安全框架 @Override protected void configure(HttpSecurity http) throws Exception { // 表单认证 http.formLogin() .successForwardUrl("/welcome") //登录成功后,跳转指定请求(此处是 post 请求) .failureFor
Shiro(三)——三种不同的登录方式、RememberMe登录Shiro 授权、其他配置(配置注销后的跳转页面、处理 JsessionID)
qq_41824825的博客
02-12 2146
Shiro(三)—— 一、三种不同的登录方式 1、第一种登录方式 上一篇博客用的就是第一种登录方式,自己定义登录逻辑,自己定义页面,错误信息等,就是第一种登录方式了。 2、第二种登录方式——无状态登录 这是一种比较老的登录方式了。登录网站会弹框让你输入账号密码。这种一般就是属于 httpBasic 登录,然后把账号密码放在请求头信息中,传输到服务端解析。 这种登录有比较大的弊端: 一是不安全,因为信息都放在请求头中了; 二是这种登录是无状态登录,没有会话,也就没有 cookie 了,然后就是登录后账号密码
Shiro的未认证页面
weixin_43735588的博客
06-06 785
在整合shiro的时候,在配置shiro的过滤器里面,配置了这一句。未登录时的跳转页面。 <property name="loginUrl" value="/index.jsp"></property> 但是有时候,特别是后端分离的项目,我们不用跳转到一个页面,而是直接但会一个jason格式的数据提示。这个就需要使用覆盖shiro自带的过滤器了。未认证也就是未登录的请求会被shiro的authc 过滤器拦截。拦截后会执行这个过滤器里面的onAccessDenied方法。所以我们只
shiro实现登录成功后跳转到之页面
曰业而安的博客
03-29 3436
使用Shiro实现不同用户登录成功后跳转到不同的主页 项目背景: 在项目中使用sso统一认证中心实现登录模块,各个业务模块均不提供登录入口,如何在用户登录成功后跳转到之访问路径呢? 由于项目中集成了shiro,里面就有这么个功能 shiro跳转有记录跳转页面,当没有认证的用户请求需要认证的链接时,shiro跳转会把跳转过来的页面链接保存到session的...
Shiro未登录时请求跳转问题
qq_38410795冰淇淋的博客
10-19 1063
问题:未登录时浏览器发送的请求都会重定向,导致端无法捕捉重定向后的消息。 原因:FormAuthenticationFilter.onAccessDenied()中做的重定向 解决:继承FormAuthenticationFilter,重写onAccessDenied方法,在config中配置filter import com.alibaba.fastjson.JSONObject; import org.apache.shiro.web.filter.authc.FormAuthenticati
react-router4.0 访问其他页面未登录跳到登录
zywpurple的博客
07-26 1万+
没有登录直接访问页面跳转登录页,官网的例子很详细了,参照官网做以下调整: 先把Route封装一下,判断一下用户是否登录,如果登录则正常router跳转,如果未登录跳转登录页。代码: privateRoute.jsx import React, {Component} from 'react'; import {Route, withRouter} from 'react-router-d...
我的shiro之旅: 十五 shiro 登录成功后,跳转登录页面
热门推荐
Dylan的博文
03-04 3万+
博客已移至 http://blog.gogl.top 很多时候,我们需要做到,当用户登录成功后,跳转登录页面。如果用户是点击"登录"链接去到登录页面进行登录的,我们很容易跟踪用户的登录页面。比如,在"登录"链接后加一个url参数,如:http://www.xxx.com/login.html?url=http://www.xxx.com/xx.html,这个url就是当页面。用户浏览...
Shiro实现会话过期动态跳转(动态跳转到loginUrl)
过于丰富,无法简介
03-22 2322
需求 项目基于session实现的会话机制,在会话过期后根据当登录的角色实现不同界面的跳转,管理员角色登录过期后跳转到/manage/login界面,其他角色登录过期后跳转到/login界面 项目结构 springboot + shiro + session + thymeleaf 依赖 <!--Shiro--> <dependency> <groupId>org.apache.shiro</groupId> .
Shiro:未登录时请求跳转问题
a1336292215的博客
09-05 3036
问题:后端分离项目,在用Shiro做权限控制时,未登录状态发送的请求都会重定向,导致端无法捕捉重定向后的消息。如何不重定向在原来的请求返回信息提示未登录端根据信息调到登录页? 首先,看一下Shiro是在哪里做的重定向。下面是Shiro的部分源码 package org.apache.shiro.web.filter.authc; public class FormA...
springboot整合shiro 总是跳往login.jsp
Fishman113的博客
10-18 1236
springboot整合shiro写项目的过程发现发送登录请求想跳转到HTML的时候,总是跳往login.jsp。加上这行配置,可以暂时关闭,shiro的web过滤器,方便开发测试。
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 4741
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
Spring中利用拦截器控制登录页面跳转
在猿类世界奋斗的小晨
05-12 1万+
一、问题简要描述: 在做web开发的时候往往会遇到这种情况,用户在没登录的情况下访问一些需要身份验证的页面,系统会自动帮用户跳转登录页面,用户登录成功后,不会返回一个固定的页面,系统会跳转到用户之访问的页面,用户可以继续进行刚才的操作。或者是session里面保存的用户信息过期了,用户需要重新进行身份验证(重新登录),用户登录成功后,页面还是会回到之访问的页面。 二、问题所涉及的知识
vue 路由判断是否登录未登录跳转登录
weixin_42988734的博客
04-24 6795
一进入网页,首先判断有没有登录,没有登录跳转登录页 在router文件夹下index.js(路由文件)中,做如下修改(在需要判断的路由里添加 meta: { requireAuth: true // 判断是否需要登录 }) 在main.js 同级新建一个文件 permission.js 在permission.js 中: import router from './router...
Shiro登录记录请求地址的问题解决
失忆๑的博客
08-18 696
Shiro登录失败的情况下记录了上次请求的地址 产生的原因: 通常我们使用shiro登录之后就会跳到我们上一次访问的URL,如果我们是直接访问登录页面的话,shiro就会根据我们配置的successUrl去重定向。 1、shiro会把请求信息保存到session中: 在WebUtils工具类中保存了当请求地址的路径 public static void saveRe...
安全框架Shiro获取登录的URI URL
小麦专栏
05-18 6385
Shiro会将登录的一些信息放入到Session中,具体方法就s shiro里头会将登录地址放进session,具体取得方法可以通过属性:"shiroSavedRequest"取得
shiro登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 9212
今天登录的时候一直没有记录当用户信息下来,执行security.getsubject()时结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
跳转系统实现免密登录,并在未登录情况下第二次跳转指定页面
weixin_66961876的博客
06-09 1151
跳转系统实现免密登录功能
Vue未登录跳转登录页,不可以控制url进入主页
阿天的博客
05-18 1036
1 { path: ‘/home’, name: ‘首页’, meta:{ requireAuth: true //需要验证的加上这个字段 }, component: () => import(’…/views/index.vue’) }, 2. /** 未登录跳转登录未登录跳转登录页,也可以通过axios的响应拦截器去实现,但是会先在当页面渲染一下,再跳转登录页,会有个闪动的现象 这里通过路由守卫的方式,不会在当页闪现一下,但是需要在每个路由组件添加一个是否需要登录的标识位,如本项
未登录拦截和登陆后直接跳转到当时想要跳的页面
liuhongboke的博客
08-01 1166
例如我这里想要跳转到center页面去,但是这个页面需要登录授权才可以跳转过去,没有登录的话就会直接返回登录页面,query字段的话就可以记录到我是从center页面跳转过来的)应用获取到的query字段,我可以在登录成功后直接跳转到我想去的center页面。//next是必须要执行的,加上next路由才会跳转(next()允许跳转)我这里路由配置是单独放在一个文件下面。//from是跳转的路由(从哪儿来)//to是跳转后的页面路由(到哪儿去。query字段记录从哪儿跳转来的。//路由拦截(守卫)...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值