【Shiro】四、Shiro实现记住登录功能

墨蓝 2022-10-14 15:56 365阅读 0赞

**用户每次在登录系统时需要重新输入账户、密码、验证码等信息，非常麻烦，于是要求加一个记住登录的功能，这对于 Shiro 来说是非常简单，下面就让我们一起来实现记住登录功能**

## 一、使用场景 ##

![登录界面][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwMDY1Nzc2_size_16_color_FFFFFF_t_70]  
在登录界面，我们需要放置记住登录的选择框，当用户勾选“记住登录”后，在用户下次打开浏览器进入系统时，能够无感登录，即不需要进入到登录界面输入用户信息

## 二、功能开发 ##

*  1、当用户勾选“记住登录”后，我们在登录接口需要接受是否记住登录这个参数

@ApiOperation(value = "登录验证")
        @ApiImplicitParams({
                @ApiImplicitParam(name = "account", value = "账号", required = true),
                @ApiImplicitParam(name = "password", value = "密码", required = true),
                @ApiImplicitParam(name = "resCode", value = "验证码", required = true),
                @ApiImplicitParam(name = "rememberMe", value = "记住登录", required = true)
        })
        @PostMapping("doLogin")
        @ResponseBody
        public R doLogin(@RequestBody LoginVO loginVO, HttpServletRequest request) {
            // 验证码
            if (!KaptchaUtil.validate(loginVO.getResCode(), request)) {
                return R.no(StatusEnums.KAPTCH_ERROR);
            }
            try {
                //获取当前的用户
                Subject subject = SecurityUtils.getSubject();
                // 验证帐号和密码，记住登录
                UsernamePasswordToken token = new UsernamePasswordToken(loginVO.getAccount(), loginVO.getPassword(), loginVO.getRememberMe());
                // 执行登录
                subject.login(token);
                // 将用户保存到session中
                request.getSession().setAttribute(SystemConst.SYSTEM_USER_SESSION, ShiroUtils.getSysUserInfo());
                // 保存登录日志
                sysLoginLogService.save(loginVO.getAccount(), 0, "用户登录成功");
                return R.ok("登录成功，欢迎回来！");
            } catch (UnknownAccountException e) {
                sysLoginLogService.save(loginVO.getAccount(), 1, "登录账户不存在");
                return R.no("账户不存在");
            } catch (DisabledAccountException e) {
                sysLoginLogService.save(loginVO.getAccount(), 1, "登录账户已被冻结");
                return R.no("账户已被冻结");
            } catch (IncorrectCredentialsException e) {
                sysLoginLogService.save(loginVO.getAccount(), 1, "登录密码不正确");
                return R.no("密码不正确");
            } catch (ExcessiveAttemptsException e) {
                sysLoginLogService.save(loginVO.getAccount(), 1, "密码连续输入错误超过5次，锁定半小时");
                return R.no("密码连续输入错误超过5次，锁定半小时");
            } catch (RuntimeException e) {
                sysLoginLogService.save(loginVO.getAccount(), 1, "未知错误");
                return R.no("未知错误");
            }
        }

这样我们在 UsernamePasswordToken 对象里多传入了一个 rememberMe 的参数，true 表示是，false 表示否

*  2、注册 rememberMe 的cookie管理器

/**
         * 记住登录Cookie信息
         *
         * @return
         */
        @Bean
        public SimpleCookie rememberMeCookie() {
            SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
            // 防止xss攻击，窃取cookie内容
            simpleCookie.setHttpOnly(true);
            // 30天有效期
            simpleCookie.setMaxAge(30 * 24 * 60 * 60);
            return simpleCookie;
        }

因我我们记住登录的信息是放置在 cookie 对象中，所以我们设置了记住登录的有效期为30天，30天过后，会失效，要求用户重新登录

*  3、注册 rememberMe 管理对象

/**
         * 记住登录管理对象
         *
         * @return
         */
        @Bean
        public CookieRememberMeManager rememberMeManager() {
            CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
            cookieRememberMeManager.setCookie(rememberMeCookie());
            cookieRememberMeManager.setCipherKey(Base64.decode("4BxVhuFKUs0KTA3Kprsdag=="));
            return cookieRememberMeManager;
        }

我们设置了管理器的 cookie 对象，和对信息加密的 key

*  4、注入安全管理器

/**
     * 安全管理器
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置自定义的relam
        securityManager.setRealm(loginRelam());
        // 设置记住登录管理器
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }

5、修改地址过滤器

/**
     * 地址过滤器
     *
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 设置登录url
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 设置主页url
        shiroFilterFactoryBean.setSuccessUrl("/");
        // 设置未授权的url
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 注销登录
        filterChainDefinitionMap.put("/loginOut", "logout");
        // 开放登录接口
        filterChainDefinitionMap.put("/doLogin", "anon");
        // 开放获取登录验证码接口
        filterChainDefinitionMap.put("/kaptcha/**", "anon");
        // 开放Api接口
        filterChainDefinitionMap.put("/api/**", "anon");
        // 开放微信接口
        filterChainDefinitionMap.put("/weixin/**", "anon");
        // 开放websocket接口
        filterChainDefinitionMap.put("/websocket/**", "anon");
        // 开放接口文档
        filterChainDefinitionMap.put("/doc.html", "anon");
        filterChainDefinitionMap.put("/service-worker.js", "anon");
        filterChainDefinitionMap.put("/swagger-resources/**", "anon");
        filterChainDefinitionMap.put("/webjars/**", "anon");
        filterChainDefinitionMap.put("/v2/**", "anon");
        // 开放静态资源
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/layui/**", "anon");
        filterChainDefinitionMap.put("/layuimini/**", "anon");
        filterChainDefinitionMap.put("/module/**", "anon");
        filterChainDefinitionMap.put("/upload/**", "anon");
        // 其余url全部拦截，必须放在最后
        filterChainDefinitionMap.put("/**", "user");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

除了我们设置的 url 不拦截外，其余的 url 都会拦截，拦截规则为 user，拦截规则详解如下：

> （1）anon：匿名过滤器，表示通过了url配置的资源都可以访问，例：“/statics/\*\*=anon”表示statics目录下所有资源都能访问  
> （2）authc：基于表单的过滤器，表示通过了url配置的资源需要登录验证，否则跳转到登录，例：“/unauthor.jsp=authc”如果用户没有登录访问unauthor.jsp则直接跳转到登录
> 
> （3）authcBasic：Basic的身份验证过滤器，表示通过了url配置的资源会提示身份验证，例：“/welcom.jsp=authcBasic”访问welcom.jsp时会弹出身份验证框
> 
> （4）user：用户过滤器，表示可以使用登录验证/记住我的方式访问通过了url配置的资源，例：“/welcom.jsp=user”表示访问welcom.jsp页面可以通过登录验证或使用记住我后访问，否则直接跳转到登录
> 
> （5）logout：退出拦截器，表示执行logout方法后，跳转到通过了url配置的资源，例：“/logout.jsp=logout”表示执行了logout方法后直接跳转到logout.jsp页面

如您在阅读中发现不足，欢迎留言！！！

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwMDY1Nzc2_size_16_color_FFFFFF_t_70]: /images/20221014/6a38c4ec3b1e49c2a05ad144a39e1a6f.png