Shiro提供的功能結(jié)構(gòu)圖:
Shiro詳細(xì)的架構(gòu):
Shiro中的各類過濾器
| Filter Name | Class |
|---|---|
| anon | org.apache.shiro.web.filter.authc.AnonymousFilter |
| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
| logout | org.apache.shiro.web.filter.authc.LogoutFilter |
| noSessionCreation | org.apache.shiro.web.filter.session.NoSessionCreationFilter |
| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
| port | org.apache.shiro.web.filter.authz.PortFilter |
| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
| ssl | org.apache.shiro.web.filter.authz.SslFilter |
| user | org.apache.shiro.web.filter.authc.UserFilter |
單一登錄:同一個(gè)賬戶同一時(shí)間只能在一個(gè)地方登錄纱注。
項(xiàng)目Spring+SpringMVC+Mybatis畏浆,引入了Shiro作認(rèn)證授權(quán)。公司要求實(shí)現(xiàn)一個(gè)單一登錄功能狞贱,大部分人做法都是在自定義實(shí)現(xiàn)Realm的doGetAuthenticationInfo里面做session過濾和刪除刻获,這在沒有啟用Shiro的rememberMe功能是可以生效的,但是啟用了rememberMe功能后斥滤,會(huì)發(fā)現(xiàn)session移除無效将鸵,用戶仍然可以登錄。
Realm中doGetAuthenticationInfo實(shí)現(xiàn)
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String userName = (String) token.getPrincipal();
UserEntity user = userService.queryByLoginName(userName);
if (user == null) {
throw new AuthenticationException("帳號(hào)密碼錯(cuò)誤");
}
//錯(cuò)誤次數(shù)控制
checkLoginErrorTimes(userName);
//單一登錄控制
checkSingleSingOn(user);
SimpleAuthenticationInfo sainfo = new SimpleAuthenticationInfo(user, user.getPassWord(), ByteSource.Util.bytes(user.getSalt()), getName());
return sainfo;
}
單一登錄控制:
/**
* 用戶單一登錄
* @param user 用戶實(shí)體
*/
private void checkSingleSingOn(UserEntity user) {
DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
//獲取當(dāng)前已登錄的用戶session列表
SessionDAO sessionDAO = sessionManager.getSessionDAO();
Collection<Session> sessions = sessionDAO.getActiveSessions();
for (Session session : sessions) {
//清除該用戶以前登錄時(shí)保存的session
if (user.getId().equals(String.valueOf(session.getAttribute("userId")))) {
// 清除認(rèn)證緩存
sessionDAO.delete(session);
}
}
}
RememberAuthenticationFilter實(shí)現(xiàn)
public class RememberAuthenticationFilter extends FormAuthenticationFilter{
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
Subject subject = getSubject(request, response);
//如果 isAuthenticated 為 false 證明不是登錄過的佑颇,同時(shí) isRememberd 為true 證明是沒登陸直接通過記住我功能進(jìn)來的
if(!subject.isAuthenticated() && subject.isRemembered()){
//獲取session看看是不是空的
Session session = subject.getSession();
// 用于處理單一登錄問題顶掉,由于使用了rememberMe功能,所以導(dǎo)致移除session用戶身份仍然短期有效挑胸,這邊做登出處理
if(session.getAttribute("userId") == null){
subject.logout();
}
}
//這個(gè)方法本來只返回 subject.isAuthenticated() 現(xiàn)在我們加上 subject.isRemembered() 讓它同時(shí)也兼容remember這種情況
return subject.isAuthenticated() || subject.isRemembered();
}
}
1痒筒、沒有在RememberMe中做過濾的場(chǎng)景
初始化時(shí),Redis中沒有任何數(shù)據(jù)茬贵。
第一次登錄簿透,創(chuàng)建了一個(gè)用戶的Session(Chrome)
第二次登錄清除了第一次登錄的session,但是同時(shí)又創(chuàng)建了新的session(Firefox)
刷新第一次登錄的頁面解藻,會(huì)發(fā)現(xiàn)多了兩個(gè)session-id老充,并且頁面用戶憑證仍然有效,session被重建了···(這里是由于RememberMe的機(jī)制干擾螟左,導(dǎo)致了單一 登錄的功能無法正撤茸牵控制)
2、在RememberMe加入過濾后以同樣的方式進(jìn)行
第一次登錄胶背,創(chuàng)建了一個(gè)用戶的Session(Chrome)
第二次登錄清除了第一次登錄的session巷嚣,但是同時(shí)又創(chuàng)建了新的session(Firefox)
刷新第一次登錄的頁面,redis里面的session沒有新增钳吟,session沒有重建廷粒,而是跳轉(zhuǎn)到登錄頁面,成功。
