springboot2.0 整合shiro认证成功为什么不调用doGetAuthorizationInfo(授权)
ShiroConfig.java文件
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
System.out.println("ShiroConfiguration.shirFilter()");
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
//拦截器.
Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
// 配置不会被拦截的链接 顺序判断,因为前端模板采用了thymeleaf,这里不能直接使用 ("/static/**", "anon")来配置匿名访问,必须配置到每个静态目录
filterChainDefinitionMap.put("/css/**", "anon");
filterChainDefinitionMap.put("/fonts/**", "anon");
filterChainDefinitionMap.put("/img/**", "anon");
filterChainDefinitionMap.put("/js/**", "anon");
filterChainDefinitionMap.put("/shiroTest", "authc");
//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
filterChainDefinitionMap.put("/login/logout", "logout");
filterChainDefinitionMap.put("/login/*", "anon");
//<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
//<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
filterChainDefinitionMap.put("/**", "authc");
// 需要用户认证时自动重定向到指定登入页面
shiroFilterFactoryBean.setLoginUrl("/login/login");
// 登录成功后自动跳转到指定的页面
shiroFilterFactoryBean.setSuccessUrl("/index/index");
//未授权界面;
shiroFilterFactoryBean.setUnauthorizedUrl("/error/403");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public MyShiroRealm myShiroRealm(){
MyShiroRealm myShiroRealm = new MyShiroRealm();
return myShiroRealm;
}
@Bean
public SecurityManager securityManager(){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myShiroRealm()); //一定要通过上面的定义来加载自定义realm,否则在自定义realm中无法注入service层
return securityManager;
}
}
public class MyShiroRealm extends AuthorizingRealm {
@Resource
private UserService userService;
/*主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确。*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
System.out.println("进行身份认证中...");
//获取用户的输入的账号.
String userName = (String)token.getPrincipal();
String password = new String((char[]) token.getCredentials()); //shiro会把密码转为字符,所以这里需要把字符转字符串
System.out.println("用户输入的账号:"+userName);
System.out.println("用户输入的密码:"+password);
//通过username从数据库中查找 User对象.
//实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
System.out.println("从数据库获取数据中...");
User user = userService.queryByName(userName);
// System.out.println("数据库保存的密码:");
if(user == null || !user.getPasswd().equals(password)){
throw new AccountException("用户名或密码不正确");
}
ByteSource credentialsSalt = ByteSource.Util.bytes(userName);
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
user, //这里传入的是user对象,比对的是用户名,直接传入用户名也没错,但是在授权部分就需要自己重新从数据库里取权限
user.getPasswd(), //密码
credentialsSalt,//
getName() //realm name
);
return authenticationInfo;
}
//权限信息,包括角色以及权限
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("认证成功进行授权中...");
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
//如果身份认证的时候没有传入User对象,这里只能取到userName
//也就是SimpleAuthenticationInfo构造的时候第一个参数传递需要User对象
User user = (User)principals.getPrimaryPrincipal();
String rolePermission = "/shiroTest"; //模拟数据库查询出来的用户角色对应的权限
authorizationInfo.addStringPermission(rolePermission);
return authorizationInfo;
}
}
百度了一天没找到解决办法,认证成功后死活没有进入授权的方法中
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
注意
login只会调用到Realm中的doGetAuthenticationInfo()方法.当调用判断权限的方法, 才会触发
doGetAuthorizationInfo()方法, 然后缓存.具体可以阅读源码, 或者打断点
debug了解方法调用栈.