shiro免密码登录

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量1.4w 收藏 8
点赞数 1
分类专栏: shiro 文章标签: string shiro 密码 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ant_Shen/article/details/57958345
版权

在实际开发中,一般我们使用shiro进行用户密码登录,有时候面对一些常见的需求,不得不再已有的框架上进行修改,比如说,增加一种使用手机验证码登录的登录方式。这时候,我们可以根据已有的框架,对其稍微修改一下便可满足需求。

public class ShiroDBRealm extends AuthorizingRealm{

    private static final String className = "ShiroDBRealm";

    @Autowired
    private SecurityService securityService;

    public ShiroDBRealm(){
        setAuthenticationTokenClass(UsernamePasswordLoginTypeToken.class); 
    }

    @Override
    public String getName() {

        return "shiroDBRealm";
    }

    @Override
    public boolean supports(AuthenticationToken token) {

        return token instanceof UsernamePasswordToken;
    }


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authenticationToken) throws AuthenticationException {
        try {
            UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken ;

            User user = securityService.login(token.getUsername(),new String(token.getPassword()));
                String pwd = new String(token.getPassword());
            }

            if(user!=null){         
                return new SimpleAuthenticationInfo(user, pwd,getName()) ;
            }else{
                return null ;
            }
        } catch (Exception e) {
            e.printStackTrace() ;
        }
        return null ;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        final String meth = "doGetAuthorizationInfo";
        SimpleAuthorizationInfo  info = new SimpleAuthorizationInfo() ;
        User user = (User)principal.getPrimaryPrincipal();

        List<Authority> authorityList = securityService.getAuthorityList(user);

        for(Authority authority:authorityList){
            info.addStringPermission(authority.getAuthorityString());           
        }

        return info;
    }
}

一般来说,我们是像上面那样实现AuthorizingRealm接口,并且实现doGetAuthenticationInfo和doGetAuthorizationInfo两个方法,分别进行身份验证和授权。而如果要实现免密码登录,也就是说要提供一个不需要通过密码就能够实现身份验证的service方法,所以在这里,我们可以写一个根据用户账号来获取用户信息的方法。同时需要对token增加属性,而且还要处理返回的SimpleAuthenticationInfo如何免密码通过的问题。也就是说,在认证和授权这里,我们需要做的工作是有:
1.提供使用用户名获取用户信息的service方法。
2.对表单提交产生的token增加必要的属性。
3.处理返回的SimpleAuthenticationInfo的问题。
其中第1点是根据数据库的设计来实现的,第2点直接继承UsernamePasswordToken 类,增加需要用到的属性,第3点根据shiro的实现,返回的SimpleAuthenticationInfo必须有密码才能通过,所以可以给它一个通用的密码。

public class UsernamePasswordLoginTypeToken extends UsernamePasswordToken{

    private String loginType = "0";// 0为用户密码登录,1为手机验证码登录
    private String utoken;
    private String uphoneNum;

    public String getUphoneNum() {
        return uphoneNum;
    }

    public void setUphoneNum(String uphoneNum) {
        this.uphoneNum = uphoneNum;
    }

    public String getLoginType() {
        return loginType;
    }

    public void setLoginType(String loginType) {
        this.loginType = loginType;
    }

    public String getUtoken() {
        return utoken;
    }

    public void setUtoken(String utoken) {
        this.utoken = utoken;
    }

    public UsernamePasswordLoginTypeToken(){
        super();
    }

    public UsernamePasswordLoginTypeToken(final String username, final String password,
            final boolean rememberMe, final String host,String loginType,String utoken,String uphoneNum) {
        super(username, password, rememberMe, host);
        this.loginType = loginType;
        this.utoken = utoken;
        this.uphoneNum = uphoneNum;
    }
}

protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authenticationToken) throws AuthenticationException {
        try {
            UsernamePasswordLoginTypeToken token = (UsernamePasswordLoginTypeToken)authenticationToken ;


            User user = null;
            String pwd = null;
            String loginType = token.getLoginType();
            if(loginType.equals(LoginType.PHONE_CAPTCHA.getType())){
                String pthoneNum = token.getUphoneNum();
                String key = pthoneNum + "-token";
                String utoken = RedisAPI.get(key);

                if(!utoken.equals(token.getUtoken())){
                    throw new UtokenException("utoken不正确");
                }else{
                    RedisAPI.del(key);
                    user = securityService.loginWithoutPwd(token.getUsername());
                    pwd = "123";
                }
            }else{
                user = securityService.login(token.getUsername(),new String(token.getPassword()));
                pwd = new String(token.getPassword());
            }

            if(user!=null){         
                return new SimpleAuthenticationInfo(user, pwd,getName()) ;
            }else{
                return null ;
            }
        } catch (Exception e) {
            e.printStackTrace() ;
        }

        return null ;
    }

我们一般使用spring和shiro结合使用,而登录方式使用表单提交的方式,所以使用FormAuthenticationFilter类进行过滤。表单提交过来的数据通过FormAuthenticationFilter产生UsernamePasswordToken,如果我们需要对token增加参数那么肯定要增加属性,而增加属性的方法就是继承UsernamePasswordToken,所以在这里我们需要重写FormAuthenticationFilter的createToken方法。

protected AuthenticationToken createToken(String username, String password,
            ServletRequest request, ServletResponse response) {
         boolean rememberMe = isRememberMe(request);
         String host = getHost(request);
         String loginType = LoginType.USER_PASSWORD.getType();

         if(request.getParameter("loginType")!=null && !"".equals(request.getParameter("loginType").trim())){
             loginType = request.getParameter("loginType");
         }

         return new UsernamePasswordLoginTypeToken(username, password,rememberMe,host,loginType,
                 request.getParameter("utoken"),request.getParameter("uphoneNum"));
    }
Ant_Shen
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Shiro 自定义登录方式,密码方式
Jerry
06-11 1957
主要绕过密码匹配,代码如下 ··· @Component public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken token, Authentic...
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
本篇文章主要介绍了SpringBoot+Shiro学习之密码加密和登录失败次数限制示例,可以限制登陆次数,有兴趣的同学可以了解一下。
Spring boot Shiro简单的配置与密码登录
热门推荐
ljh1993531的博客
09-10 1万+
在spring boot中使用Shiro做简单的登陆验证与密码登陆的写法 Spring boot中的配置 配置自定义ShiroRealm @Configuration public class ShiroConfig { /** * 自定义的Realm */ @Bean(name = &quot;myShiroRealm&quot;) public ShiroR...
Shiro登录
xxfamly的博客
06-21 9790
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了登录的方式解决。 在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
ssm+shiro 实现无密码直接登录
Honins的博客
09-29 5308
利用shiro可以十分方便,有效的实现接口权限控制功能。 但是在开发中,会遇到了这样一种场景: 在微信公众号开发里,用户在公众号里输入用户名和密码绑定项目,绑定完成后,下次进入项目跳过登录 直接进入项目的首页。在这个过程中,用户第二次登录时是使用微信提供的openId直接登录,这是登录的。 由于shiro登录是默认需要账号密码才能生成token,进而进行登录验证功能的,所以需要改写。 ...
Shiro 实现密登陆
Gblfy_Blog
10-22 3562
需求:对接第三方登陆,实现绕过原有Shiro认证登陆。 文章目录一、实现思路1. 现状分析2. 用户来源3. 所属范围二、实现方案2.1. 自定义登录认证规则2.2. Shiro认证枚举2.3. 密码密码登录2.4. 规则配置2.5. 自定义Realm2.6. 案例使用 一、实现思路 1. 现状分析 系统权框架默认使用Shiro 认证授权机制 2. 用户来源 从统一认证平台登录跳转过来的用户 3. 所属范围 登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录.
Shiro密码登录
m0_67401153的博客
08-24 2526
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为登录 直接返回true。
4.SpringBoot+Shiro登录
qq_27860623的博客
06-21 1874
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。二、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统登录账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
SpringBoot+Shiro实现登录
qq_38410795冰淇淋的博客
09-07 1713
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
SpringBoot整合Shiro后实现登录
04-11
2,新增CustomToken,重写UsernamePasswordToken登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是登录。 4,新增...
shiro之记住登录信息
08-29
Shiro提供了记住我(RememberMe)的功能,当关闭浏览器时下次再次打开还能记住你的信息,下面小编给大家分享shiro之记住登录信息的相关知识,感兴趣的朋友一起看看吧
springboot与shiro密码加密,mybatis,redis的整合项目
04-02
后台在通过shiro进行授权和认证,分为普通用户和管理员两种角色,普通用户只能访问商品,管理员可以访问商品和用户界面的基础上加入了密码加密。登录时利用了redis缓存。里面包含数据库文件希望能帮助到大家学习。
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
最简单的Shiro密登陆(springboot)
yuer629
04-19 2358
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
shiro 实现多种方式登录_SpringBoot Shiro多realm实现登录
weixin_39760857的博客
12-18 398
packagecom.liuyanzhao.sens.config;importorg.apache.shiro.authc.credential.HashedCredentialsMatcher;importorg.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy;importorg.apache.shiro.authc.pam.Mo...
shiro实现密码登录
最新发布
10-28
在使用Shiro实现密码登录时,可以自定义一个Token,继承自UsernamePasswordToken,并添加一个标识符表明是否登录。在这个Token中,可以添加一个LoginType属性,用于标识登录类型,包括PASSWORD(密码登录)和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值