在做微信授权登陆的时候,由于使用shiro框架进行认证登陆,没有认证授权无法建立会话。
数据库中的密码经过md5加密,通过openid查询出账号密码也无法进行授权登陆,所以需要实现Shiro免密授权登陆功能,以防后续踩坑。
1.整体思路
自定义token,加入免密标识符,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其中的doCredentialsMatch,将其中的token改写为自定义的token,最后将自己写的密码认证方法注入shiro
2.源码分析
在shiro的配置文件中有个配置credentialsMatcher,该方法为重写方法,自定义登陆模式,可设置密码错误锁定功能,我们需要的就是改写这个方法
1)在ShiroDbRealm中,认证使用的是UserPasswordToken
其默认使用username,password进行认证
网上有方法另写token继承UsernamePasswordToken重写getCredentials方法修改getPassword() 为 return null。此方法过于简单粗暴,顺带连密码认证也给删除了,不建议使用。
2)Shiro的密码认证在org.apache.shiro.authc.credential包下HashedCredentialsMatcher.class方法内
其中密码认证:doCredentialsMatch方法