2. 程式人生 > >shiro學習筆記 過濾器 shiro 表單 驗證碼 登入

shiro學習筆記 過濾器 shiro 表單 驗證碼 登入

阿新 發佈:2019-02-20

自己自定義實現了一個驗證碼錶單過濾器,基於FormAuthenticationFilter

程式碼如下:

package cn.ddsxy.ddlx.shiro;

import cn.ddsxy.ddlx.util.CaptchaUtil;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * 自定義表單過濾器
 * @author zhiguang
 */
public class CaptchaFormAuthentcationFileter extends FormAuthenticationFilter {

    /**
     * 是否開啟驗證碼支援
     */
    private boolean captchaEbabled = true;

    /**
     * 驗證碼引數名
     */
    private String captchaParam = "captcha";

    public boolean isCaptchaEbabled() {
        return captchaEbabled;
    }

    public void setCaptchaEbabled(boolean captchaEbabled) {
        this.captchaEbabled = captchaEbabled;
    }

    public String getCaptchaParam() {
        return captchaParam;
    }

    public void setCaptchaParam(String captchaParam) {
        this.captchaParam = captchaParam;
    }

    public String getCaptcha(ServletRequest request){
        return WebUtils.getCleanParam(request, this.getCaptchaParam());
    }

    @Override
    protected CaptchaUserNamePassWordToken createToken(ServletRequest request, ServletResponse response) {
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        String captcha = request.getParameter("captcha");
        return new CaptchaUserNamePassWordToken(username, password==null?"":password, captcha);
    }

    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        CaptchaUserNamePassWordToken token = createToken(request, response);
        try {
            if(captchaEbabled) CaptchaUtil.verify(request);
            Subject subject = getSubject(request, response);
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (IncorrectCaptchaException e) {
            return onLoginFailure(token, e, request, response);
        } catch (UnknownAccountException e1) { // 不存在使用者名稱對應的有效使用者記錄
            return onLoginFailure(token, e1, request, response);
        } catch (IncorrectCredentialsException e2) { // 使用者名稱或密碼不對
            return onLoginFailure(token, e2, request, response);
        } catch (AuthenticationException e3) { // 其它異常
            return onLoginFailure(token, e3, request, response);
        }
    }

    @Override
    protected void setFailureAttribute(ServletRequest request, AuthenticationException e) {
        if(e instanceof IncorrectCaptchaException){
            request.setAttribute(DEFAULT_ERROR_KEY_ATTRIBUTE_NAME,"驗證碼錯誤");
        }else if(e instanceof UnknownAccountException){
            request.setAttribute(DEFAULT_ERROR_KEY_ATTRIBUTE_NAME,"使用者不存在");
        }else if(e instanceof IncorrectCredentialsException){
            request.setAttribute(DEFAULT_ERROR_KEY_ATTRIBUTE_NAME,"密碼錯誤");
        }else if(e instanceof AuthenticationException){
            request.setAttribute(DEFAULT_ERROR_KEY_ATTRIBUTE_NAME,"登入失敗");
        }
    }

    /**
     * 表示訪問拒絕時是否自己處理,如果返回true表示自己不處理且繼續攔截器鏈執行,返回false表示自己已經處理了(比如重定向到另一個頁面)
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        return super.onAccessDenied(request, response);
    }

    /**
     * 是否允許訪問,返回true表示允許
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue);
    }
}

CaptchaUtil.verify該方法驗證驗證碼是否正確,可自行實現,重要的是executeLogin這個方法,我開始瞭解shiro的時候一直分不清這個FormAuthenticationFilter過濾器和Realm的doGetAuthenticationInfo(身份認證)有什麼關係,看原始碼,看到了AuthenticatingFilter這個父類executeLogin方法裡呼叫了 
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = this.createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        } else {
            try {
                Subject subject = this.getSubject(request, response);
                subject.login(token);
                return this.onLoginSuccess(token, subject, request, response);
            } catch (AuthenticationException var5) {
                return this.onLoginFailure(token, var5, request, response);
            }
        }
    }
我明白了,這個過濾器無非還是用subject進行登入,shiro實現登入就這個介面

相關推薦

shiro學習筆記 過濾器 shiro 驗證 登入

自己自定義實現了一個驗證碼錶單過濾器,基於FormAuthenticationFilter 程式碼如下: package cn.ddsxy.ddlx.shiro; import cn.ddsxy.ddlx.util.CaptchaUtil; import org.apac

Shiro學習筆記(2)——身份驗證之Realm

環境準備 建立java工程 需要的jar包 大家也可以使用maven,參考官網 什麼是Realm 在我所看的學習資料中,關於Realm的定義,寫了整整一長串,但是對於初學者來說,看定義實在是太頭疼了。 對於什麼是Realm,我使用

學習springBoot 進階驗證(四)

現在用一個新的springBoot專案來繼續學習,所有的配置都是和springBootdemo一樣只是名字換了一下 SpringBootUpgrade 新專案   現在修改一下新增的方法,不在直接傳數值,而是直接傳一個Girl物件到後臺新增 修改後 啟動專案去測

Angular2學習筆記.4、相關,雙向資料繫結,HeroForm

開始 本次我們將會學會如何用Angular建立表單、two-way data binding(雙向資料繫結)、change tracking(檢測變化)、validation(驗證) 和 error handling(錯誤處理)等功能以及ngModel、ngC

shiroshiro學習筆記1-shiro初識

認證流程 環境 程式碼 總結 認證流程 Created with Raphaël 2.1.0Start構造SecurityManager環境Subject.login

Spring Boot筆記八:驗證

ast override con body def 返回 table 正則 system 所謂的表單驗證,就是為了防止用戶亂輸入的,這個問題前端的HTML5就可以判斷了,其實不需要後端來驗證,這裏還是講一下後端驗證 首先,我們的Person類,我們加上一些表單驗證的註釋,如

spring boot學習(六)---驗證

表單驗證 1.表單驗證 修改 StuController中getAdd方法 @RequestMapping(method=RequestMethod.POST) public String getAdd(@Valid Stu stu,Bindi

vue+element 學習筆記 form驗證之input數字必輸(只能是數字)校驗問題

序言 在開發專案的過程中,表單需要設定某些欄位輸入的值必須是數字,且是必輸欄位,我使用了element提供的方法v-model.number,但是出現了一點問題。具體見圖: 用了v-model.nuber以後: 看到了圖以後很顯然意見,他雖然完成了必輸欄位需要時

Apache Shiro學習筆記總結

授權 維護 代碼 自定義 密碼 源碼 器) 對象 訪問控制 1.1 簡介 Apache Shiro是Java的一個安全框架。目前,使用Apache Shiro的人越來越多,因為它相當簡單,對比Spring Security,可能沒有Spring Security做的功能強

[jQuery學習系列五 ]5-Jquery學習五-驗證

正則表達式 prevent 反選 mit 信息 只能輸入數字 event 正則表達 紅包 一,字段驗證:1.1 字段非空 <form action="" method="post" id ="myform"> <p id="error"&g

Java學習總計(二十六)——JavaScript正則表達式,Js驗證,原生js+css頁面時鐘

text 先來 helloword 郵箱 用戶名 就是 lac round 外部 一.JavaScript正則表達式1.exec檢索字符串中指定的值,返回找到的值,並確定其位置2.test檢索字符串中指定的值,返回true或false3.正則表達式對象的創建:(1)方式一:

JavaEE--Mybatis學習筆記(四)--的CURD 補充

動態代理 doctype bubuko 使用 rop 單表 one lse name 1.屬性名和字段名不一致 使用別名 <select id="selectAllStudents" resultType="Student"><!-- 需要

shiro學習筆記

成功 通過 是什麽 etsec png authent exc span edi 一、概念: shiro是apache旗下一個開源框架,它將軟件系統的安全認證相關的功能抽取出來,實現用戶身份認證、權限授權、加密、會話管理等功能,組成了一個通用的安全認證框架。 (一)shir

shiro學習筆記(7)--cacheManager、sessionManager、rememberMe配置

1、授權:在自定義realm的doGetAuthorizationInfo方法中讀取使用者許可權並授權 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pri

shiro學習筆記(6)--spring整合及可能遇到的問題小結

上篇spring整合shiro後續… spring整合shiro主要是org.apache.shiro.web.filter.authc.FormAuthenticationFilter類。 1、controller @Controller public class HelloSsm {

shiro學習筆記(5)--spring整合

spring整合shiro(1) 1、jar <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</art

shiro學習筆記(4)--加密

一:加密 1、ini配置 說明: (1)CredentialsMatcher在AuthenticatingRealm中注入 (2)配置HashedCredentialsMatcher加密是因為此類中引數配置方便 #自定義realm 資料加密 [main] credentialsMatc

shiro學習筆記(3)--自定義realm、授權

一:自定義Realm 1、繼承AuthorizingRealm(因為該類中有認證、授權的抽象方法,實現簡單) public class MyRealm1 extends AuthorizingRealm{ @Override public String getName(

shiro學習筆記(2)--認證策略

一:shiro認證策略 1、三種認證策略的實現,可根據需要選擇 2、認證策略配置在ModularRealmAuthenticator中;我畫了一個簡單的流程圖,粗淺理解一下 說明: (1)subject通過實現類DelegatingSubject呼叫login()方法; (2)委託Sec

shiro學習筆記(1)--基礎定義

一:shiro基礎 (學習地址:https://www.w3cschool.cn/shiro/andc1if0.html) 1、核心概念 Authentication:認證 Authorization:授權 SessionManageMent:session管理 Cryptography: