shiro表单登录认证及退出（自定义form认证器）

亦凉 2022-08-23 00:42 144阅读 0赞

博主地址：[http://blog.csdn.net/zcl\_love\_wx][http_blog.csdn.net_zcl_love_wx]  
注意：此文是基于springMVC框架的，所以关于springMVC的配置这里不说，后面有时间专门写一个shiro整合spring的文章

# **1.自定义form认证器** #

自定义的form表单认证器需要继承FormAuthenticationFilter类，我们先看看该类里面有哪些变量

public static final String DEFAULT_ERROR_KEY_ATTRIBUTE_NAME = "shiroLoginFailure";
    
    public static final String DEFAULT_USERNAME_PARAM = "username";
    public static final String DEFAULT_PASSWORD_PARAM = "password";
    public static final String DEFAULT_REMEMBER_ME_PARAM = "rememberMe";
    
    private static final Logger log = LoggerFactory.getLogger(FormAuthenticationFilter.class);
    
    private String usernameParam = DEFAULT_USERNAME_PARAM;
    private String passwordParam = DEFAULT_PASSWORD_PARAM;
    private String rememberMeParam = DEFAULT_REMEMBER_ME_PARAM;
    
    private String failureKeyAttribute = DEFAULT_ERROR_KEY_ATTRIBUTE_NAME;

由上面代码可看出，我们可以通过usernameParam等参数配置表单认证时form表单里的input框的名字，即常说的字段。默认时为username、password、rememberMe。

自定义form认证器的代码：

public class MyFormAuthenticationFilter extends FormAuthenticationFilter{ 
    
        /** * 校验验证码 * * 原FormAuthenticationFilter的认证方法 * 该方法会在realm前调用 * 由于验证码是我们自己生成存在session里的，所以我们需要在登录时判断验证码是否成功就可用该方法 * * 验证码为空或验证成功 继续执行父类的onAccessDenied方法 * 验证码不为空且验证失败，返回true则不再走realm,直接进控制器的login.do */
        @Override
        protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object map) throws Exception {
            // 从session获取正确的验证码
            HttpSession session = ((HttpServletRequest)request).getSession();
            //页面输入的验证码
            String randomcode = request.getParameter("rememberMe");
            //从session中取出验证码
            //String validateCode = (String) session.getAttribute("validateCode");
            String validateCode = "123456";
            if (randomcode != null && validateCode != null) {
                if (!randomcode.equals(validateCode)) {
                    //如果校验失败，将验证码错误失败信息，通过shiroLoginFailure设置到request中
                    request.setAttribute("shiroLoginFailure", "randomCodeError");
                    //拒绝访问，不再校验账号和密码
                    return true;
                }
            }
            return super.onAccessDenied(request, response, map);
    
        }
    }

# 2. 在shiro配置文件里添加代码 #

添加滤器里

<bean id="myFormAuthenticationFilter" class="com.mvc.filter.MyFormAuthenticationFilter">
        
        <property name="usernameParam" value="username"/>
        
        <property name="passwordParam" value="password"/>
    </bean>
    
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.do"/>
        <property name="unauthorizedUrl" value="/refuse.jsp"/>
    
        <property name="filters">
            <map>               
                
                <entry key="authc" value-ref="myFormAuthenticationFilter"/>
                
            </map>
        </property>
    
        
        <property name="filterChainDefinitions">
            <value>
                /login.do = authc
                /logout.do = logout 
                /refuse.jsp = anon
                /** = authc
            </value>
        </property>     
    </bean>
    
     
     <bean id="myShiroRealm" class="com.mvc.realm.MyShiroRealm">  </bean>  
     
     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
         <property name="realm" ref="myShiroRealm"></property>  
     </bean>

其余参见：[http://blog.csdn.net/zcl\_love\_wx/article/details/51577058][http_blog.csdn.net_zcl_love_wx_article_details_51577058]

[http_blog.csdn.net_zcl_love_wx]: http://blog.csdn.net/zcl_love_wx
[http_blog.csdn.net_zcl_love_wx_article_details_51577058]: http://blog.csdn.net/zcl_love_wx/article/details/51577058