shiro框架---关于用户登录退出接口的介绍

客官°小女子只卖身不卖艺 2023-10-17 18:19 51阅读 0赞

接上一篇文章[shiro框架—shiro配置用户名和密码的注意][shiro_shiro]  
  项目已分享到`GitHub`上，如果需要的可以看下，[springboot+shiro项目Git下载地址][springboot_shiro_Git]。  
  在我前几篇文章里有shiro配置的文件下载包，下载后里边有四个配置文件`ShiroConfig`、`RetryLimitHashedCredentialsMatcher` 、`UserRealm` 、`MShiroFilterFactoryBean`。这四个配置文件，在前边几篇文章里，已经一一写明，还有一个文件，即`LoginCheckController` 类，这个里边有关于`shiro` 框架下提供的登录、退出的接口。

##### 具体配置如下： #####

package microservice.fpzj.shiro.controller;
    import microservice.fpzj.control.base.BaseController;
    import microservice.fpzj.core.models.Role;
    import microservice.fpzj.core.models.User;
    import microservice.fpzj.service.jwt.UserService;
    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.session.Session;
    import org.apache.shiro.subject.Subject;
    import org.slf4j.Logger;
    import org.slf4j.LoggerFactory;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Controller;
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RequestMethod;
    import org.springframework.web.bind.annotation.ResponseBody;
    import org.springframework.web.servlet.mvc.support.RedirectAttributes;
    import javax.servlet.http.HttpServletRequest;
    
    @Controller //如果用RestController，比如login.html就会只显示值，必须用controller注解才可以显示页面
    public class LoginCheckController extends BaseController{
        
        private static Logger logger = LoggerFactory.getLogger(LoginCheckController.class);
        @Autowired
        private UserService userService;
        /**
         * 用户登录验证入口
         * 1、首次访问全部过滤到/index请求下，因为没有token，进入shiro验证会不通过，则会重定向到远程进行登录
         * 2、远程登录成功后，根据该处给出的redirect地址，带上token重定向本方法，进行重新验证。
         * @param
         * @return
         */
        @RequestMapping(value="/weblogin",method=RequestMethod.GET)
        public String ssoLoginForm(String httptoken) throws Exception {
            boolean res=userService.verifyHttpToken(httptoken);
            if(!res){
                return "profession/views/login";
            }
            String token = userService.getContentFromHttpToken(httptoken);
            UsernamePasswordToken upt = new UsernamePasswordToken(token,"");
            Subject subject = SecurityUtils.getSubject();
            try {
                subject.login(upt);
            } catch (Exception e) {
                return "profession/views/login";
            }
            Session session = subject.getSession();
            session.setAttribute("token", token);
            String username = userService.getUsernameFromToken(token);
            User user = userService.findUserByUserName(username);
            user.setPasswd("");
            session.setAttribute("sessionUser", user);
            return "redirect:home";
        }
        /**
         * 跳转本地登录页面
         */
        @RequestMapping(value="/login",method=RequestMethod.GET)
        public String login(HttpServletRequest request){
            return "profession/views/login";
        }
        /**
         * 本地登录页面账户密码提交验证
         * @param request
         * @return
         */
        @RequestMapping(value="/login",method=RequestMethod.POST)
        @ResponseBody
        public Object loginForm(HttpServletRequest request) throws Exception {
            String username = request.getParameter("username");
            String password = request.getParameter("password");
            UsernamePasswordToken upt = new UsernamePasswordToken(username,password);
            Subject subject = SecurityUtils.getSubject();
            try {
                subject.login(upt);
            } catch (Exception e) {
                if("no_user".equals(e.getMessage())){
                    return addResultMapMsg(false,"当前用户不存在");
                }
                if("no_permission".equals(e.getMessage())){
                    return addResultMapMsg(false,"该用户没有当前系统的访问权限");
                }
                return addResultMapMsg(false,"账号密码错误");
            }
            Session session = subject.getSession();
            String createToken = userService.createTokenAndSave(username);
            session.setAttribute("token", createToken);
            User user = userService.findUserByUserName(username);
            for (Role r : user.getRoles()) {
                if (r.getSiteid() == 2) { //取出业务系统角色，将该角色赋值给user对象下的role属性 20170923 lsf
                    user.setRole(r);
                    break;
                }
            }
            user.setPasswd("");
            session.setAttribute("sessionUser", user);
            return addResultMapMsg(true,"登录成功");
        }
        /**
         * 登录首页
         * @return
         */
        @RequestMapping(value={
       "/home","/"},method=RequestMethod.GET)
        public Object home(){
            return "profession/views/index";
        }
    
        /**
         * 本地登出页面
         * @param redirectAttributes
         * @return
         */
        @RequestMapping(value="/logout",method=RequestMethod.GET)  
        public String logout(RedirectAttributes redirectAttributes ){ 
            //使用权限管理工具进行用户的退出，跳出登录，给出提示信息
            Subject subject = SecurityUtils.getSubject();
            if (subject.isAuthenticated()) {  
                subject.logout();  
            }
            return "profession/views/login";
        }
    }

以上有个`login` 方法，这是一个`GET` 请求方法，是`shiroConfig` 类中配置的未登录的情况下跳转的第一个接口，意思是，只要没有登录就会跳转到这个接口。  
  另外还有个`loginForm` 方法，是一个`POST` 请求方法，该方法是登录页面输入账号密码后，请求的登录验证接口，这地方主要有这样一个地方需要注意一下，如下：

UsernamePasswordToken upt = new UsernamePasswordToken(username,password);
    Subject subject = SecurityUtils.getSubject();
    try {
                subject.login(upt);
            } catch (Exception e) {
                return "profession/views/login";
            }

以上的`UsernamePasswordToken` 是用来存放用户名密码的对象，  
另外`SecurityUtils.getSubject()` ,这个特别重要，是`shiro` 框架中获取的当前访问的用户对象，一个客户端将会对应一个`subject`，最后就是`subject.login(upt)` 该方法，就开始进入到`shiro` 框架里验证账号密码了，从这里再往后走的逻辑图具体如下：  
![这里写图片描述][70]  
  还有一个地方，即退出的`logout` 方法，因为退出后，需要清除`shiro` 框架里记录的用户信息，比如`subject` 对象，以及其中的`session` 对象等等，那么就需要该方法里的写法：

Subject subject = SecurityUtils.getSubject();
            if (subject.isAuthenticated()) {  
                subject.logout();  
            }
            return "profession/views/login";

以上的方法`subject.logout()` 即退出，并清除`subject` 。

#####   以上仅仅是我个人打断点后走过的步骤，个人理解，如果有错误，请留言帮我指正一下，谢谢了。 #####

下一篇文章[关于项目按钮权限控制的配置要点][Link 1]

[shiro_shiro]: http://blog.csdn.net/wohaqiyi/article/details/79337981
[springboot_shiro_Git]: https://github.com/lingshufeng/shiro
[70]: https://img-blog.csdn.net/20180219222959289?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd29oYXFpeWk=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70
[Link 1]: http://blog.csdn.net/wohaqiyi/article/details/79347391