基于shiro框架实现自动登录(rememberMe)

shirorememberMe流程原理研究

  • 输入用户密码正儿八经登录时, 如果勾选了"记住我", 则后台给shiro设置rememberme

image.png

  • 前一次登录勾选了记住我, 则本次登录时isRemembered()==true(如果上一次设置了rememberme, 本次登录是不会触发action中的login()的方法的, 即会直接进入登录状态. 这里为了演示, 强行进入login()方法).
  • 经过shirologin()则表示为认证登录的. 就是说authentication==true. 访问权限最高.
  • rememberMe==true, 则将不会进入任何action. 可以访问所有user控制的页面或路径. 但不能访问authc控制的.

基于shiro框架实现自动登录(rememberMe)_第1张图片

但是authentication=false. 这里有个关键点:

subject.isAuthenticated()==true,
则subject.isRemembered()==false;
反之一样

下图所示, authentication=false, 并且能够principle不为空, 能够获取用户信息.
基于shiro框架实现自动登录(rememberMe)_第2张图片

关于过滤器规则设置

另外对于过滤器,一般这样使用:

  • 访问一般网页,如个人在主页之类的,我们使用user拦截器即可,user拦截器只要用户登录(isRemembered()==true or isAuthenticated()==true)通过即可访问成功;
  • 访问特殊网页,如我的订单,提交订单页面,我们使用authc拦截器即可,authc拦截器会判断用户是否是通过Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则会跳转到登录页面叫你重新登录。

基于shiro框架实现自动登录(rememberMe)_第3张图片

关于rememberMecookie

  • shiro自动对用户对象序列化并加密. 当获得请求时, 能够获取反序列化且解密之后的用户对象
  • 当设置rememberMe==false, 将会自动清空rememberMe cookie.

如下图, 在设置rememberMe==false的前提下, 之前的rememberMe cookie已经不见了.
基于shiro框架实现自动登录(rememberMe)_第4张图片

基于shiro框架实现自动登录(rememberMe)_第5张图片

项目重启后(排除缓存影响). 强行访问action, 能够获取user对象.
基于shiro框架实现自动登录(rememberMe)_第6张图片

不想要自动登录怎么办?

调用shirologout()方法, 即消除自动登录功能.

rememberMe功能实现

简单实现

  1. 引入shiro框架

引入maven坐标.

   
        
            org.apache.shiro
            shiro-all
            ${shiro.version}
        
  1. 配置spring

    
    
        
        
        
        
        
        

        
        
            
                /css/**=anon
                /js/**=anon
                /images/**=anon
                /validatecode.jsp*=anon
                /userAction_login.action=anon
                /customerAction_login.action=anon
                /info.jsp*=anon
                /courierAction_pageQuery*=perms["courier:list"]
                /pages/base/courier.jsp*=perms["courier:list"]
                /** = user
                /pay/** = authc

            
        
    
    
    
        
        
        
    
    
    

 

    
    
        
        
    
  1. 实现上文配置文件中realm
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserDao userDao;
    @Autowired
    private PermissionDao permissionDao;


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // !这里的username可能并不是真正的username, 可能是手机号或者其他可以作为登录凭证的字段!
        String username = token.getUsername();

        User u = userDao.findByUsernameOrTelephone(username, username);
        if (u == null) {
            return null;
        }
        AuthenticationInfo info = new SimpleAuthenticationInfo(u, u.getPassword(), this.getName());
        return info;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        //获取当前用户
        User user = (User) principalCollection.getPrimaryPrincipal();
        //内置用户:授予所有权限
        List permissions = null;
        if (user != null && user.getUsername().equals("admin")) {
            permissions = permissionDao.findAll();
        } else { // 其他普通用户:查出该用户对应的所有权限
            permissions = permissionDao.findByUserId(user.getId());
        }

        // 授权
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        for (Permission p : permissions) {
            info.addStringPermission(p.getKeyword());
        }


        return info;
    }
}
  1. 登录action
   @Action(value = "userAction_login")
    public String login() throws UnsupportedEncodingException {
        Log.begin();
        String validateCode_ser = (String) ServletActionContext.getRequest().getSession().getAttribute("validateCode");
        Subject subject;
        if (StringUtils.isNotBlank(this.validateCode) && this.validateCode.equals(validateCode_ser)) {

            subject = SecurityUtils.getSubject();

            // 不论用户输入的是用户名还是手机号, 前台标签统一用username接收
            UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
            //[[ADD 2018-1-9 14:44:01
            // 设置是否'记住我'
            rememberme = rememberme == null ? false : rememberme;   //null=>false
            token.setRememberMe(rememberme);
            // ]]

            try {
                subject.login(token);
                if (rememberme)
                    LOG.info("用户【{}】自动登录----{}", "天王", String.valueOf(System.currentTimeMillis()));
            } catch (AuthenticationException e) {
                e.printStackTrace();
                return LOGIN;
            }
        } else {
            this.addActionError("输入的验证码有误!");
            return ERROR;
        }//end if

        return "home";
    }

注意: 默认cookie会保存一年. 这个有点太长了, 通常需要缩短.
基于shiro框架实现自动登录(rememberMe)_第7张图片

自定义cookie, 并指定寿命

主要是spring配置的区别, 需要: 1. 配置自定义cookie; 2. 注入给rememberMeManager; 3. 将rememberMeManager注入给securityManager.

 
    
    
        
        
        
        
        
        

        
        
            
                /css/**=anon
                /js/**=anon
                /images/**=anon
                /validatecode.jsp*=anon
                /userAction_login.action=anon
                /customerAction_login.action=anon
                /info.jsp*=anon
                /courierAction_pageQuery*=perms["courier:list"]
                /pages/base/courier.jsp*=perms["courier:list"]
                /** = user
                /pay/** = authc

            
        
    
    
    
        
        
        
        
        
    
    

    
    
        
        
        
    

    
    
        
        
    

    
    
        
        
    

复杂实现

这种方式需要在spring中配置很多参数. 很繁琐. 但是功能齐全. 如果只想实现简单的自动功能, 可以参照简单实现.
本部分spring配置可参见: 第十三章 RememberMe——《跟我学Shiro》

参考资料:
[1] http://jinnianshilongnian.ite...
[2] http://blog.icoolxue.com/shir...
[3] http://blog.csdn.net/lhacker/...

你可能感兴趣的:(java,shiro,自动登录)