本文介绍了在SSM框架下,利用Shiro实现免密登录的方法。主要思路是自定义Token,添加免密标识符,并重写Shiro的`doCredentialsMatch`方法。通过创建LoginType枚举和自定义的UsernamePasswordToken子类,区分密码登录和免密登录。在ShiroDbRealm中修改Token类型,并在RetryLimitCredentialsMatcher中判断登录类型,实现免密登录功能。
在做微信授权登陆的时候,由于使用shiro框架进行认证登陆,没有认证授权无法建立会话。
数据库中的密码经过md5加密,通过openid查询出账号密码也无法进行授权登陆,所以需要实现Shiro免密授权登陆功能,以防后续踩坑。
1.整体思路
自定义token,加入免密标识符,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其中的doCredentialsMatch,将其中的token改写为自定义的token,最后将自己写的密码认证方法注入shiro
2.源码分析
在shiro的配置文件中有个配置credentialsMatcher,该方法为重写方法,自定义登陆模式,可设置密码错误锁定功能,我们需要的就是改写这个方法
1)在ShiroDbRealm中,认证使用的是UserPasswordToken
其默认使用username,password进行认证
网上有方法另写token继承UsernamePasswordToken重写getCredentials方法修改getPassword() 为 return null。此方法过于简单粗暴,顺带连密码认证也给删除了,不建议使用。
2)Shiro的密码认证在org.apache.shiro.authc.credential包下HashedCredentialsMatcher.class方法内
其中密码认证:doCredentialsMatch方法
最低0.47元/天 解锁文章
扫一扫
3920
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
