shiro手机验证码登录,多Realm处理

最新推荐文章于 2024-05-22 21:04:30 发布
最新推荐文章于 2024-05-22 21:04:30 发布
阅读量2.1k 收藏 17
点赞数 1
分类专栏: spring boot 文章标签: shiro 手机短信验证码登录 多Realm处理 多Realm抛AuthenticationException
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QAQ_666666/article/details/99583273
版权

最近项目用的shiro权限,然后 涉及到2种登录方式,第一种是基础的账号密码登陆,这是shiro提供的基础功能。第二种是手机短信验证码登陆。我具体讲讲第二种我的思路是用阿里云发送短信验证码的时候把code存到session中,key就是手机号,然后当用户用手机号登陆的时候我在shiro验证之前 验证用户提交的code 和 我存在session中的code是不是相同,下面详细写写我在这个项目中怎么做的。

首先是ShiroConfig

package com.mytest.configuation;

import com.mytest.filter.ShiroLoginFilter;
import com.mytest.shiro.MyCustomModularRealmAuthenticator;
import com.mytest.shiro.IdCardAndPasswordShiroRealm;
import com.mytest.shiro.PhoneAndVerificationCodeShiroRealm;
import com.mytest.shiro.UserShiroRealm;
import org.apache.shiro.authc.AbstractAuthenticator;
import org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.ArrayList;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 账号密码登陆验证方式
     * @return 自定义的账号密码验证Realm
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public UserShiroRealm userShiroRealm(){
        return new UserShiroRealm();
    }

    /**
     * 手机短信验证码登陆
     * @return 自定义的手机短信验证Realm
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public PhoneAndVerificationCodeShiroRealm phoneShiroRealm(){
        return new PhoneAndVerificationCodeShiroRealm();
    }
    //这里把 前面两个bean 传入到 manager中
    @Bean
    public SecurityManager securityManager(UserShiroRealm userShiroRealm, PhoneAndVerificationCodeShiroRealm phoneShiroRealm, AbstractAuthenticator abstractAuthenticator){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        List<Realm> realms = new ArrayList<>();
        realms.add(userShiroRealm);
        realms.add(phoneShiroRealm);
        defaultWebSecurityManager.setRealms(realms);
        defaultWebSecurityManager.setAuthenticator(abstractAuthenticator);
        return defaultWebSecurityManager;
    }

    /**
     * 认证器 把我们的自定义验证加入到认证器中
     */
    @Bean
    public AbstractAuthenticator abstractAuthenticator(UserShiroRealm userRealm, PhoneAndVerificationCodeShiroRealm phoneShiroRealm){
        // 自定义模块化认证器,用于解决多realm抛出异常问题
        //开始没用自定义异常问题,发现不管是账号密码错误还是什么错误
        //shiro只会抛出一个AuthenticationException异常
        ModularRealmAuthenticator authenticator = new MyCustomModularRealmAuthenticator();
        // 认证策略:AtLeastOneSuccessfulStrategy(默认),AllSuccessfulStrategy,FirstSuccessfulStrategy
        authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
        // 加入realms
        List<Realm> realms = new ArrayList<>();
        realms.add(userRealm);
        realms.add(phoneShiroRealm);
        authenticator.setRealms(realms);
        return authenticator;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //添加Shiro内置过滤器,常用的过滤器:
        //       anon:无需认证;authc:必须认证;user:如果使用rememberMe的功能可以直接访问;
        //       perms:必须得到资源权限;roles:必须得到角色权限
        Map<String,String> filterMap = new LinkedHashMap<>();
        filterMap.put("/logout.do","logout");
        filterMap.put("/menu.do", "authc");
        filterMap.put("/index.do","anon");
        filterMap.put("/org/**","anon");
        filterMap.put("/person/**","anon");
        filterMap.put("/resource/**","anon");
        filterMap.put("/**","anon");
        filterMap.put("/**","authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 加入shiro注解
     * @param
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }


    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

}

 

1. 账号密码登陆

这种就相当于默认的shiro处理。

使用的是默认的 UsernamePasswordToken

只用自定义AuthorizingRealm

UserShiroRealm具体代码:

package com.mytest.shiro;

import com.mytest.entity.Person;
import com.mytest.repository.PersonRepository;
import com.mytest.service.PersonService;
import com.mytest.service.ResourceService;
import com.mytest.util.Constant;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Set;


public class UserShiroRealm extends AuthorizingRealm {

    @Autowired
    private ResourceService resourceService;

    @Autowired
    private PersonService personService;

    @Autowired
    private PersonRepository personRepository;

    /**
     * 执行授权
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权");
        Person person = (Person) principalCollection.getPrimaryPrincipal();
        Set<String> permissionSet = resourceService.getResourceSetByPersonId(person.getPersonId());
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addStringPermissions(permissionSet);
        return simpleAuthorizationInfo;
    }

    /**
     * 执行认证
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证");
        String userName = authenticationToken.getPrincipal().toString();
        SimpleAuthenticationInfo info=null;
        Person user = personService.getLoginPerson(userName);
        if (user == null) {
            throw new UnknownAccountException();
        }
        //密码加密的盐值
        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getUsername());
        info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName());
        }
        return info;
    }

    /**
     * 自定义加密模式 MD5
     *
     * @param credentialsMatcher
     */
    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        HashedCredentialsMatcher MD5CredentialsMatcher = new HashedCredentialsMatcher();
        MD5CredentialsMatcher.setHashAlgorithmName("MD5");
        MD5CredentialsMatcher.setHashIterations(10);
        super.setCredentialsMatcher(MD5CredentialsMatcher);
    }

    /**
     * 用来判断是否使用当前的 realm
     * @param var1 传入的token
     * @return true就使用,false就不使用
     */
    @Override
    public boolean supports(AuthenticationToken var1){
        return var1 instanceof UsernamePasswordToken;
    }
}

账号密码登陆的 算是搞定了。因为是shiro提供的基础功能所以这一种登陆方式很简单。

2.手机短信验证码登陆

首先自定义PhoneAndVerificationCodeToken,因为是手机验证码登陆,没有密码 所以不能用shiro自带的 UsernamePasswordToken

package com.mytest.shiro;

import org.apache.shiro.authc.HostAuthenticationToken;
import org.apache.shiro.authc.RememberMeAuthenticationToken;

public class PhoneAndVerificationCodeToken implements HostAuthenticationToken, RememberMeAuthenticationToken {
   private String phone;
   private boolean rememberMe;
   private String host;

   public PhoneAndVerificationCodeToken(String phone){
       this(phone,false,null);
   }


    public PhoneAndVerificationCodeToken(String phone,boolean rememberMe){
        this(phone,rememberMe,null);
    }
    public PhoneAndVerificationCodeToken(String phone,boolean rememberMe,String host){
        this.phone=phone;
        this.rememberMe=rememberMe;
        this.host=host;
    }
    @Override
    public String getHost() {
        return host;
    }

    @Override
    public boolean isRememberMe() {
        return rememberMe;
    }

    @Override
    public Object getPrincipal() {
        return phone;
    }

    @Override
    public Object getCredentials() {
        return phone;
    }
}

然后自定义处理PhoneAndVerificationCodeToken的Realm

package com.mytest.shiro;

import com.mytest.entity.Person;
import com.mytest.repository.PersonRepository;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;


public class PhoneAndVerificationCodeShiroRealm extends AuthorizingRealm {

    @Autowired
    private PersonRepository personRepository;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        PhoneAndVerificationCodeToken phoneToken=(PhoneAndVerificationCodeToken) token;
        String phone = (String) phoneToken.getPrincipal();
        Person user = personRepository.findByPhone(phone);
        //因为没有密码,并且验证码在之前就验证了 所以我这里没有验证密码
        if(user == null){
            throw new UnknownAccountException();
        }
        return new SimpleAuthenticationInfo(user,phone,getName());
    }

    /**
     * 用来判断是否使用当前的 realm
     * @param var1 传入的token
     * @return true就使用,false就不使用
     */
    @Override
    public boolean supports(AuthenticationToken var1) {
        return var1 instanceof PhoneAndVerificationCodeToken;
    }
}

最后最重要的是 要自定义模块化认证器,这也是我卡了很久的问题,之前一直没加这个,然后发现一直跟我抛AuthenticationException异常。

package com.mytest.shiro;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.pam.AuthenticationStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.realm.Realm;

import java.util.Collection;
import java.util.Iterator;


public class MyCustomModularRealmAuthenticator extends ModularRealmAuthenticator{

    @Override
    protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
        AuthenticationStrategy authenticationStrategy = this.getAuthenticationStrategy();
        AuthenticationInfo authenticationInfo = authenticationStrategy.beforeAllAttempts(realms,token);

        Iterator var5 = realms.iterator();
        while(var5.hasNext()) {
            Realm realm = (Realm)var5.next();
            authenticationInfo = authenticationStrategy.beforeAttempt(realm, token, authenticationInfo);
            if (realm.supports(token)) {

                AuthenticationInfo info = null;
                Throwable t = null;

                info = realm.getAuthenticationInfo(token);

                authenticationInfo = authenticationStrategy.afterAttempt(realm, token, info, authenticationInfo, t);
            }
        }
        authenticationInfo = authenticationStrategy.afterAllAttempts(token, authenticationInfo);
        return authenticationInfo;
    }
}

OK,基本完成了。剩下的就是在 你的登录 controller中 不同的 登录方式 用不同的 token 然后 

SecurityUtils.getSubject().logon(token)。就好了

emmmmm,shiro还有可能会遇到前后端分离的问题,光有CorsFilter还不够, 不过这篇博客不是讲这个 我就不写拉。

QAQ_666666
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用shiro完成短信验证码登录
weixin_33871366的博客
08-06 2472
过了4个月才写第二篇,相当之懒。项目里需要做一个短信验证码登录,这里使用了shiro。 1.首先是subject:与服务器交互的主体就是subject(用户),获得subject的方式 Subject subject = SecurityUtils.getSubject(); 可以在项目的任何地方使用。 2.User...
shiro 账号密码和手机短信登入,重写realm
mo念的博客
09-18 1056
用户名密码使用的token自然是UsernamePasswordToken,我们可以参考UsernamePasswordToken,自定义PhoneToken,在不同的控制器传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是PhoneToken。 自定义Token: public class PhoneToken implements HostAuthenticationToken, RememberMeAuthenticationToken, Seri
shiro实现手机验证码登录(涉及到:自定义token、多realm配置、自定义ModularRealmAuthenticator)
热门推荐
MODjie的博客
01-31 1万+
shiro框架提供了一个UsernamePasswordToken令牌,用来验证用户名和密码类的登录。那如果想要通过替他方式登录认证,例如通过手机验证码接口,就需要通过自定义token、自定义realm等来实现。 1、首先,自定义一个token继承UsernamePasswordToken,为什么要继承这个类而不是AuthenticationToken?,是因为这样做保证了用户名密码认证方式任然
基于springBoot的手机验证码登录操作及其扩展
最新发布
weixin_52425710的博客
05-22 524
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。Shiro 的主要特点如下:易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Shiro】用户名密码或手机号短信登录(多realm认证)
张育嘉的博客
09-13 1万+
登录认证,经常需要实现用户名密码和手机验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
realm实现shiro手机验证码登录
MODjie的博客
02-01 3194
上一篇文章写的是shiro实现手机验证码登录:http://blog.csdn.net/modjie/article/details/79221774    用了多realm的方式,需要自定义token等多个类,实现过程复杂,并且还存在一个问题:密码错误异常UnknownAccountException和用户不存在异常IncorrectCredentialsException捕获出错了,初步猜测是
SSM框架下shiro验证码登录
开源世界
04-19 719
所谓的验证码登录也就是 验证码正确之后利用shiro的免密登录验证码的验证:发送短信的时候,把验证码信息放到缓存里(key为sessionid),表单提交过来的时候,从缓存里拿出来比较就好。 接下来就是shiro 的免密登录:http://github.crmeb.net/u/defu 1、思路 自定义token,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其的doCredentialsMatch,将其的to
JavaSSM+Shiro系统登录验证码的实现方法
08-31
主要介绍了 SSM+Shiro系统登录验证码的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
shiro管理多登录入口配置,手机登录与网页端登录
12-20
总的来说,实现"shiro管理多登录入口配置,手机登录与网页端登录"需要对 ShiroRealm、过滤器和配置有深入理解,以及根据应用场景定制相应的登录验证流程。正确配置后,Shiro 可以有效地管理和保护不同入口的...
springmvc+shiro+maven 实现登录认证与权限授权管理
08-29
SpringMVC+Shiro+maven 实现登录认证与权限授权管理 SpringMVC 是一个基于 Java 语言的 web 应用程序框架,Shiro 是一个 Apache 下的一开源项目,旨在简化身份验证和授权。下面我们将通过实例代码,分享 SpringMVC+...
shiro 登录 注册
12-08
2. **Realms**: RealmShiro 与应用程序特定的安全数据源(如数据库、LDAP 或其他存储)的桥梁。它负责验证凭证并获取权限信息。 3. **CredentialsMatcher**:用于比较用户提供的凭证(如密码)与 Realm 存储...
SpringBoot+Shiro登录验证码制作
12-21
用户登录常常要做防机器验证,所以使用到了随机验证码,防止机器刷 1.直接java内部自带的就行啦,也不需要用外部生成的api 生成验证码的工具类的写法: import javax.imageio.ImageIO; import java.awt.*; import java.awt.image.BufferedImage; import java.io.*; import java.util.Random; /** * @author lrx * @description: TODO 验证码生成工具类 * @date 2020/4/24 14:51 */ public class C
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
Shiro登陆验证实例,采用SSM
12-06
采用了Spring+SpringMVC+Mybatis+Shiro+Msql来写了一个登陆验证的实例,具体效果和过程看http://blog.csdn.net/evankaka/article/details/50196003
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
ssm+shiro+maven+bootstrap实现登录登出功能
10-30
3. 实现Shiro配置:在Spring配置文件引入Shiro的相关配置,如Realm(认证和授权信息源)、Filter Chain定义等,创建自定义的Realm实现用户认证和权限校验。 4. 编写登录接口和逻辑:在Controller层定义登录接口,...
Apache shiro 1.13.0源码
01-17
通过研究 Shiro 1.13.0 的源码,你可以了解到这些组件的实现细节,例如 Realm 如何连接数据库进行身份验证,Filter 如何拦截请求进行权限检查,以及会话管理如何处理分布式环境下的会话一致性问题。这对于深入理解 ...
shiro学习笔记 过滤器 shiro 表单 验证码 登录
永无止境
01-09 2800
自己自定义实现了一个验证码表单过滤器,基于FormAuthenticationFilter 代码如下: package cn.ddsxy.ddlx.shiro; import cn.ddsxy.ddlx.util.CaptchaUtil; import org.apache.shiro.authc.AuthenticationException; import org.apache.shir
shiro多账号登录(用户名,手机号,邮箱)
陈陈陈亚萌_的博客
03-14 1385
shiro多账号登录(用户名,手机号,邮箱) 最近的一个需求,可以使用用户名和手机号和邮箱进行登录。百度得到的那些都过于复杂。 分析:其实本质代码的核心就是在于验证,验证你输入的东西到底能不能通过,你传进去的账号和密码需要进行验证后才能登录,其实一种最简单的方法就是在验证的时候,对username替换成为邮箱和手机号,下面的代码基本不用更改,就是controller里面的登录处理代码,...
shirorealm登录界面
05-18
Shiro支持多个Realm,你可以在shiro.ini或者shiro-config.xml配置多个Realm。每个Realm可以用于不同类型的认证,比如一个Realm可以用于数据库认证,另一个Realm可以用于LDAP认证等等。 至于多个登录界面的实现,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值