Spring Boot +Shiro 验证码Filter和限制密码错误次数

最新推荐文章于 2022-11-11 11:11:20 发布
最新推荐文章于 2022-11-11 11:11:20 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: spring boot+shiro 文章标签: spring shiro 验证码 密码错误次数限制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJY_SUPER/article/details/77853438
版权

验证码校验

CustomFormAuthenticationFilter 将我们自己实现的Filter,放到ShiroFilterFactoryBean中。

 ShiroFilterFactoryBean shiroFilterFactoryBean  = new ShiroFilterFactoryBean();
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();//获取filters
        filters.put("authc", new CustomFormAuthenticationFilter());//将自定义 的FormAuthenticationFilter注入shiroFilter中

CustomFormAuthenticationFilter.java

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        // 在这里进行验证码的校验
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpSession session = httpServletRequest.getSession();

        // 取出验证码
        String validateCode = (String) session.getAttribute("validateCode");
        // 取出页面的验证码
        // 输入的验证和session中的验证进行对比
        String randomcode = httpServletRequest.getParameter("randomcode");
        if (randomcode != null && validateCode != null && !randomcode.equals(validateCode)) {
            // 如果校验失败,将验证码错误失败信息,通过shiroLoginFailure设置到request中
            httpServletRequest.setAttribute("shiroLoginFailure", "kaptchaValidateFailed");//自定义登录异常
            // 拒绝访问,不再校验账号和密码
            return true;
        }
        return super.onAccessDenied(request, response);
    }
}

密码错误次数限制登录

RetryLimitHashedCredentialsMatcher 继承HashedCredentialsMatcher
在我们实现的MyShiroRealm密码匹配器中使用我们自己写的RetryLimitHashedCredentialsMatcher
重点内容

 /**
     * 身份认证realm;
     * (这个需要自己写,账号密码校验;权限等)
     * @return
     */
    @Bean
    public MyShiroRealm myShiroRealm(){
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());;
        return myShiroRealm;
    }
    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     *  所以我们需要修改下doGetAuthenticationInfo中的代码;
     * )
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
//        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        HashedCredentialsMatcher hashedCredentialsMatcher = new RetryLimitHashedCredentialsMatcher(ehCacheManager());
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数,比如散列两次,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }
public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher {
    private Cache<String, AtomicInteger> passwordRetryCache;

    public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) {
        passwordRetryCache = cacheManager.getCache("passwordRetryCache");
    }

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token,
                                      AuthenticationInfo info) {
        String username = (String) token.getPrincipal();
        // retry count + 1
        AtomicInteger retryCount = passwordRetryCache.get(username);
        if (retryCount == null) {
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(username, retryCount);
        }
        if (retryCount.incrementAndGet() > 5) {
            // if retry count > 5 throw
            throw new ExcessiveAttemptsException();
        }

        boolean matches = super.doCredentialsMatch(token, info);
        if (matches) {
            // clear retry count
            passwordRetryCache.remove(username);
        }
        return matches;
    }

}
LJY_SUPER
关注
专栏目录
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
SpringBoot 整合Shiro 之 自定义Filter
weixin_33709219的博客
05-23 1560
结合上一篇 【Spring Boot 整合 Shiro】,第一次使用之后,但发现,Shiro过滤器对被 劫持 的API路径,若没“login.jsp”,则会直接返回 404 ,很不和谐。因此,捣鼓一下,自定义FIlter,通过自定义对其进行授权认证。 项目源码直通车 1. 自定义 Filter @Slf4j public class CustomFormAuthenticationFilter...
Spring Boot Shiro权限管理--自定义 FormAuthenticationFilter验证码整合
weixin_30736301的博客
09-21 255
思路shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuthenticationFilter ...
SpringBoot学习:整合shiro验证码功能和登录次数限制功能)
期待破茧成蝶
04-08 5050
(一)验证码 首先login.jsp里增加了获取验证码图片的标签: 登录页面---- /login" method="post"> 用户名 : 密码: 验证码: gif/getGifCode"> 记住我 ${message } 获取图片是
spring security使用自定义的的AuthenticationFilter时,要限制session个数,禁止多端同时登录
小伍的程序之路
04-14 1403
在WebSecurityConfigurerAdapter#configure(HttpSecurity)方法中配置session管理没有效果,因为我们使用了自己的AuthenticationFilter,只能手动给LoginFilter配置SessionAuthenticationStrategy。 @Configuration public class CustomFilterSecurityConfig extends WebSecurityConfigurerAdapter { //ses
SpringSecurity密码错误指定次数锁定用户---基于数据库实现
沧海一粟
07-04 2912
用户锁定数据库实现
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
spring boot + shiro + jpa .rar
08-20
Spring BootShiro和JPA是Java开发领域中常见的三个技术框架,它们分别在不同的层面上为应用程序提供支持。Spring Boot简化了Spring应用的初始设置和配置,Shiro则是一个强大的安全框架,而JPA(Java Persistence ...
Spring boot + shiro + jpa小案例
09-02
在IT行业中,Spring BootShiro和JPA是三个非常重要的技术组件,它们分别用于构建高效、便捷的Java后端应用程序。在这个“Spring boot + shiro + jpa小案例”中,我们将深入探讨这三个框架如何协同工作以实现一个...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
springboot 发送验证码 redis控制在规定时间内的短信发送规定次数思路
m0_65320833的博客
12-20 1960
if (!bolTimeOut1H) { return new Result().getError(SmsRes 《一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义》 【docs.qq.com/doc/DSmxTbFJ1cmN1R2dB】 完整内容开源分享 ultCode.VERMOBILE_TIME1H); } //24小时内只能发送20次 Boolean bolTimeOut24H = sendCount(key24h, 20, 24); if (!bolTimeOu
springboot框架集合redis 使用jedis实现手机验证功能及超过次数限制登录功能
weixin_48255516的博客
09-02 982
需求分析 用户在客户端输入手机号,点击发送后随机生成4位数字码。有效期为20秒。 输入验证码,点击验证,返回成功或者失败。且每个手机号在1分钟内只能验证3次。并给相应信息提示(并限制2分钟验证) 用户在2分钟内,仅允许输入错误密码5次。 如果超过次数限制其登录1小时。(要求每登录失败时,都要给相应提式) 思路分析 一、生成验证码方法 随机数方法(生成4位) 二、(生成验证码) 先判断用户后台是否存在验证码(key是否存在) 如果不存在 初始化key 赋值 (生成验证码方法),并设置key过期时间
springboot项目应用ehcahe-shiro限制短信登录失败次数
Alonge的博客
03-22 289
springboot项目应用ehcahe-shiro限制登录失败次数需求背景实现思路技术选择实现代码1、在 main/resources 下新建 config 文件夹,在 config 中新建 ehcache-shiro.xml 文件,内容如下:2、在校验验证码的方法 smsServiceImpl.java 中,写入内容如下:3、在登录方法中,调用上述校验结果判断即可: 需求背景 用户使用手机号和短信验证码登录,项目要求限制用户登录失败的次数,即失败超过6次,就锁定用户账号。 实现思路 以登陆者手机号码 +
Spring Boot Security使用 JDBC 和 MySQL 进行 RBAC,自定义登录验证,登录界面增加kaptcha验证码
allway2的博客
11-04 680
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从本教程中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下: 2. 配置数据源属性 接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。 要
springBoot+redis实现短信验证码次数限制
wszhm123的博客
09-15 3232
我们在开发的时候,会遇到发送短信验证码的情况。如果没有限制,很容易被一些别有用心的人来刷。这样导致短信就会被浪费。所以需要设置发送短信的限制。比如,我们五分钟内只能发送五次短信。 1:需要引入的jar包 <!-- redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifact...
解决shiro1.10.0登录过滤器执行2次的问题
最新发布
demontxy的博客
11-11 1601
解决shiro升级到1.10.0自定义过滤器执行2遍的问题
shiro 自定义FormAuthenticationFilter,记住我
热门推荐
爱笑的博客
07-09 3万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuth
shiro权限框架详解06-shiro与web项目整合(下)
在路上
02-10 3905
在web项目实现认证、授权功能 并在授权后使用缓存功能。通过自定义filter实现验证码校验。并使用shiro实现记住我功能
Spring Boot + Shiro + JWT:前后端分离权限管理实战
在本文中,我们将深入探讨如何在Spring Boot项目中整合Apache Shiro和JSON Web Tokens (JWT) 来实现前后端分离的权限管理。Shiro是一个强大的企业级身份和访问管理框架,而JWT则用于安全地在客户端和服务端之间传递...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值