springboot+shrio简易登录登出和用户权限认证。
2024-09-24 18:26:31
源码:https://github.com/huangshengz/myJavaDemo
本例子参考:https://www.cnblogs.com/HowieYuan/p/9259638.html 本例子验证主要有两个类,一个是自定义的拦截类ShiroConfig,在这里我们自定义了很多需要的操作。
例如:角色权限路径,登录路径等,一些具体的含义如下:
* anon:无参,开放权限,可以理解为匿名用户或游客
* logout:无参,注销,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
* authc:无参,需要认证
* authcBasic:无参,表示 httpBasic 认证
* user:无参,表示必须存在用户,当登入操作时不做检查
* ssl:无参,表示安全的URL请求,协议为 https
* perms[user]:参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms["user, admin"],当有多个参数时必须每个参数都通过才算通过
* roles[admin]:参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles["admin,user"],当有多个参数时必须每个参数都通过才算通过
* rest[user]:根据请求的方法,相当于 perms[user:method],其中 method 为 post,get,delete 等
* port[8081]:当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等,
* serverName 是你访问的 Host,8081 是 Port 端口,queryString 是你访问的 URL 里的 ? 后面的参数 第二个类是CustomRealm。它继承了AuthorizingRealm类并且重写了登录验证和权限验证。在里面我们可以自定义我们的业务逻辑。这个类非常重要,
因为在拦截类ShiroConfig里,securityManager.setRealm(),就是把这个类注入进去,使得拦截能知道用户信息。
这个类doGetAuthenticationInfo 和 doGetAuthorizationInfo一定要区分明白,第一个是身份认证,例如登录时就是它,而第二个是角色权限认证,
在里面我们设置了角色权限。 在登录方法里,很明确的把用户信息放入到了UsernamePasswordToken里,而doGetAuthenticationInfo进行身份认证时,用户信息就从UsernamePasswordToken取。 最后说一下整个流程:
1. 项目启动时,Shiro拦截器工厂类ShiroConfig已经成功的注入。
2. 然后我们登录的时候,跳转到login方法里,数据会保存到UsernamePasswordToken里面,主要是用户名和用户密码。
3. 然后就走到了CustomRealm类了的身份证方法doGetAuthenticationInfo,在这里,我们根据用户名从数据库里拿到了用户密码
与登录密码做比较,然后判断密码是否正确,然后放行,到此用户登录成功。
4. 然后用户访问数据的时候,会调用CustomRealm的doGetAuthorizationInfo进行权限认证。
最新文章
- 游戏服务器菜鸟之C#初探二游戏服务
- springMVC自定义注解实现用户行为验证
- Alcatraz安装在xcode7失败执行下面代码
- git服务器搭建-new
- 战胜忧虑<5>——运用亚里士多德法则
- linux下配置tomcat7 + solr4.9(续)--- 多核索引的配置
- 低字节序和高字节序相互转换(Little Endian/Big Endian)
- 代码审计中的XSS反射型漏洞
- 底层码农的Stanford梦 --- 从SCPD开始 [转]
- "逃离北京"的这些年 2
- kindeditor配合requirejs使用时,ready失效
- Django学习之九: auth 认证组件
- 对HTML5的初步认识(一)
- topcoder srm 600 div1
- Linux(centos7)如何安装Zend Optimizer Zend Guard Loader
- R apply() 函数和 tapply() 函数
- spring boot扫描mapper文件
- php curl请求回来的中文为乱码
- Java8学习笔记(十)--自定义收集器
- 中检测到有潜在危险的 Request.Form 值。