情景:
这是在我们公司项目改造中遇到过程,把原来的spring MVC框架改boot,这个时候就需要将原来后台项目中用的shiro框架从mvc转移到boot中,然后还要兼容原有的数据,并且我们后台是有swagger的,swagerr访问又通过了shiro,所以必须登录,那么在后台就还要提供一个简单的登录界面,以方便后台人员测试接口。
在原来mvc项目中我们用的是一个简单的jsp页面来登录,但是在boot项目中支持jsp比较麻烦,需要引入一些额外的jar包,还要创建webapp等文件,还要再配置文件添加什么什么的一系列操作,我根据网上查到的解决方案试了一遍,发现行不通(我比较菜,如果有兴趣的话可以自己试试)。然后我就想着直接使用html,反正都一样,只要能实现登录就ok了。
然后就根据网上大部分人所操作的一样,将shiro与boot集成,就是简单的导入一些jar包,然后配置一些bean,很快就可以起来了,但是我发现并没有达到我所要结果。然后接下来就是排查问题了。
1.html +js ajax 实现登录
一个html文件加一个js文件,通过ajax提交到后台接口实现简单登录,然后在登录接口中通过
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
userName,password);
subject.login(usernamePasswordToken);
登录,发现能够登录成功,但是我发现网上说不建议使用这种方式登录,推荐使用shiro自带的表单校验。然后我又发现这种方式没有走原来mvc框架中的一些过滤器,而且原来框架中使用的也是shiro自带的校验器。
2.直接使用html表单提交
网上了解到FormAuthenticationFilter.class这个类只能拦截form表单提交的请求,如果用ajax提交的话就没法拦截到,我在项目中也使用过,其他的过滤器都是正常,但是就是在这个过滤器中打断点没法进入。如果转用form表单提交的形式,那么就没有问题,能够正常进入。
很多时候正确的配置了FormAuthenticationFilter.class,但是类没有起作用原因可能有,需要注意的地方有:
1.注意FormAuthenticationFilter.class类的bean配置:
@Bean
public MyFormAuthenticationFilter myFormAuthenticationFilter(){
MyFormAuthenticationFilter myFormAuthenticationFilter= new MyFormAuthenticationFilter ();
myFormAuthenticationFilter.setUsernameParam("username");
myFormAuthenticationFilter.setPasswordParam("password");
myFormAuthenticationFilter.setRememberMeParam("rememberMe");
myFormAuthenticationFilter.setLoginUrl("/admin/login");//这个是登录接口的地址
myFormAuthenticationFilter.setSuccessUrl("/admin/loginSuccess");//这个是登录成功后调用的接口地址
return myFormAuthenticationFilter;
}
2.注意ShiroFilterFactoryBean.class类的bean配置:
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager, MyFormAuthenticationFilter myFormAuthenticationFilter,
ShiroUserFilter shiroUserFilter,SysUserFilter sysUserFilter) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
LinkedHashMap<String, String> map = new LinkedHashMap<String, String>();//存储过滤路径与过滤器名字的map
LinkedHashMap<String, Filter> map2 = new LinkedHashMap<String, Filter>();//存储过滤器名与过滤器的map
map2.put("myFormAuthenticationFilter",myFormAuthenticationFilter);//shiro自带的表单校验器,我这里只是重写了
map2.put("shiroUserFilter",shiroUserFilter);//我自定义的过滤器,因为前后端分离,这是为了在session 过期后前端可以跳到登录界面,这里做的是后端跳转,为什么这样做原因不知道。
map2.put("sysUserFilter",sysUserFilter);//自定义的过滤器可以在其中做一些操作
shiroFilterFactoryBean.setFilters(map2);//这部是添加过滤器到shiro中
//登录
shiroFilterFactoryBean.setLoginUrl("/login.html");//登录界面
//错误页面,认证不通过跳转
shiroFilterFactoryBean.setUnauthorizedUrl("/404.html");//错误界面
shiroFilterFactoryBean.setSecurityManager(securityManager);
//对所有用户认证
map.put("/admin/login", "adminFormAuthenticationFilter");//这样配置是为了让表单校验器来拦截登录请求进行校验
//登出
map.put("/logout", "logout");//登出接口
map.put(" /**/*.html", "anon");//静态资源允许匿名访问
map.put("/**/*.js", "anon");
map.put("/webjar/**", "anon");//这里是swagger的html访问
map.put("/**", "sysUserFilter,shiroUserFilter");//其余正常请求走shiro
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);//讲规则存入shiro过滤器中
return shiroFilterFactoryBean;
}
3.注意上面的配置成功后就可以成功的进行登录验证了,但是这个时候你会发现每次登录能够进入form表单过滤器的类中,但是每次都是登录失败,这是为什么呢??? 我发现原来项目中还有一个类HashedCredentialsMatcher.class,我并不知道这个类的作用是什么,那么就去搜索咯,了解到这个类是用来做密码匹配的,也就是在我们保存用户的时候会将密码进行加密,那么我们从后台数据库查到的字段也是加过密的,肯定不可能是明文存储,然后用户输入的是明文,那么我们就同样的需要进行加密然后做对比,这里的重点就是这里的加密要与创建用户或者注册用户是加密的方式保持一样,否则的话就无法比对成功,那么也就无法登陆成功了,配置该bean:
@Bean
public MyLimitHashedCredentialsMatcher myLimitHashedCredentialsMatcher(){
MyLimitHashedCredentialsMatcher myLimitHashedCredentialsMatcher= new MyLimitHashedCredentialsMatcher ();
myLimitHashedCredentialsMatcher.setHashAlgorithmName("md5");
myLimitHashedCredentialsMatcher.setHashIterations(2);
myLimitHashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
return myLimitHashedCredentialsMatcher;
}
@Bean
public MyRealm myRealm(MyLimitHashedCredentialsMatcher myLimitHashedCredentialsMatcher) {
MyRealm myRealm= new MyRealm ();
myRealm.setCredentialsMatcher(myLimitHashedCredentialsMatcher);
myRealm.setCachingEnabled(false);
return myRealm;
}
4.这时候就能够正常的登录了,一些其余的cookie 配置,session配置就可以根据自己来设置,然后我导入之前项目中的swagger集成的配置类后,启动项目发现原来可以访问的login.html页面访问不到了,后台提示404,这个很疑惑,一时间我也不知道为什么,但是可以确定的是swagger配置类有问题,检查代码,发现上面有一个@EnableWebMvc的注解,我尝试去掉后重启,发现可以成功访问。
网上查找@EnableWebMvc的作用:
在spring-boot+spring mvc 的项目中,有些时候我们需要自己配置一些项目的设置,就会涉及到这三个,那么,他们之间有什么关系呢?
首先,@EnableWebMvc=WebMvcConfigurationSupport,使用了@EnableWebMvc注解等于扩展了WebMvcConfigurationSupport但是没有重写任何方法。
所以有以下几种使用方式:
1.@EnableWebMvc+extends WebMvcConfigurationAdapter,在扩展的类中重写父类的方法即可,这种方式会屏蔽springboot的@EnableAutoConfiguration中的设置
2.extends WebMvcConfigurationSupport,在扩展的类中重写父类的方法即可,这种方式会屏蔽springboot的@EnableAutoConfiguration中的设置
3.extends WebMvcConfigurationAdapter,在扩展的类中重写父类的方法即可,这种方式依旧使用springboot的@EnableAutoConfiguration中的设置
使用 @EnableWebMvc 注解,需要以编程的方式指定视图文件相关配置;
所以无法访问到原来可以访问登录页。
网上找到的说明链接(https://blog.csdn.net/testcs_dn/article/details/80249894)
