jeesite登录过程中,shiro密码匹配验证

最新推荐文章于 2021-02-27 21:30:15 发布
最新推荐文章于 2021-02-27 21:30:15 发布
阅读量1.2k 收藏 1
点赞数 2
文章标签: 数据库 java
原文链接:https://my.oschina.net/u/3761887/blog/1612660
版权

      年底公司人员浮动,开发人员紧缺,很残酷,不仅要搞安卓,还要搞后台部分。这次的后台是一个供应商的角色,功能也是常规的供应链模式,所以,我就用了jeesite现成快速框架来开发。

      项目要求中,需要将登录中的密码部分进行两次md5加密,第一次md5后转为二进制后取十六位再进行一次md5加密,而jeesite框架中用的事SHA1加密,所以,我第一步要做的就是先将加密部分更换。

    更换加密方式,首先要了解jeesite的登录过程。先来了解下jeestie的登录过程吧。

    view层,是在sysLogin.jsp文件中,整个jsp页面就是一个表单。

贴段代码:

1,<form id="loginForm"  class="form login-form" action="${ctx}/login" method="post">  

2<input type="text" id="username" name="username" class="required" value="https://my.oschina.net/u/2601842/blog/${username}" placeholder="登录名">  

3<input type="password" id="password" name="password" class="required" placeholder="密码"/>  

代码1,action变量指定了该表达的提交方式,交由/a/login所对应的函数来处理。

代码2和3,接受用户输入的用户名和密码字段,然后交给后台处理。表单里的两个属性,一个属性名为username,一个名为password,表单会借由request属性传到函数当中,届时就能通过getUsername和getPassword两个函数从request中取出。这部分是在FormAuthenticationFilter中的createToken函数中实现。 Login模块中的jsp非常简单,难点主要在于shiro的应用上。对于shiro的理解,我想单独拿出来,作为一个知识点讨论然后写下博客,今天只说jeesite的登录逻辑。

      jsp将username和password提交后台,在spring-mvc中,负责接受前台数据的是controller部分,而form中所指定的action是/a/login。贴出他的controller部分:

230234_evqF_3761887.png

上面两个函数处理是form的函数,一般来说应该是由这两个函数来处理。但是这两个函数,并没有进行逻辑处理,只是简单的检查和跳转。这是因为shiro的登陆功能在controller之前加入了一个filter。这个filter被配置在文件spring-context-shiro.xml文件里。来看他的代码:

230350_R9H7_3761887.png

loginuUrl属性所指定的url表示的是所有未通过验证的url所访问的位置,即登录界面;successUrl表示的是成功登陆的url访问的位置,表示主页。filters则是配置具体验证方法的位置。在这里,${adminPath}/login = authc指定了/a/login,既登陆页面,所需要的验证权限名为authc,又配置了authc所用的filter为formAuthenticationFilter。
      所以他的逻辑是:如果任何地方未登陆,则访问/a/login页面,而/a/login页面的验证权限中又指定了formAuthenticationFilter做为过滤,如果过滤中验证成功,则访问/a这个主页。所以,login.jsp中的表单信息则首先交由formAuthenticationFilter首先处理。formAuthenticationFilter中的处理,需要关注的类主要在com.thinkgem.jeesite.modules.sys.security这个包里。通常FormAuthenticationFilter是主要逻辑管理类,systemAuthorizingRealm这个类则是数据处理类,相当于DAO。但是直接从代码里没发看出功能,这是因为jeesite中的这两个类都是继承于shiro的类。

总的来说,首先表单的request被formAuthenticationFilter接收到,然后传给createToken函数,该函数从request中取出name和password,然后生成自定义的一个token传给SystemAuthorizingRealm中的doGetAuthenticationInfo验证。

SystemAuthorizingRealm中有systemService的实例,该实例含有userDAO能取出数据库中的name和password。接着由这两个密码生成SimpleAuthenticationInfo,再由info中的逻辑来验证。如下图:

230722_Qt1J_3761887.png

230746_AlHZ_3761887.png

注意看红线部分,这里的逻辑是将jsp提交的密码做加密,然后通过info与从数据库中取出的密码做对比校验的,如果校验成功,返回true,失败返回false。

 所以,知道了他哪里做的对比,就该从这个地方入手,去更换他的验证加密方式。第一步,是要去更改shiro安全管理配置。如下图:

231052_ZJrk_3761887.png

<property name="realm" ref="systemAuthorizingRealm" /> ,Spring自动注入。这个我们也可以自己自定义一个realm,然后更改ref对应的自定义realm就可以,这里我还是用框架里的realm。

下面,就是做自定义校验的部分,直接贴图:

231257_hw1n_3761887.png

自定义一个Matcher,继承SimpleCredentialsMatcher类,return就是返回验证结果,true表示验证通过,false表示失败,所以,这里就将jsp提交的密码进行两次md5加密,然后同数据库中取出的密码,也就是info进行对比并返回结果。自定义的Matcher写好了,就要提换上去,下面是替换代码:

231702_Ci0R_3761887.png

在initCredenialsMatcher中,使用自己的Matcher就可以了。

 

转载于:https://my.oschina.net/u/3761887/blog/1612660

chuanlvshun2065
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jeesite默认密码加密过程
逝者如风
07-02 9268
public class Zxcs { //123456------&gt;0000000000000000043db1f2ceac91f2913c6c45c0e6bdf13f235e50 //产生一个md5加密后的密码 public static void main(String[] args) { String hashAlgorithmName = ...
shiro验证登录代码实例及问题解决
08-25
在这个示例,我们实现了多验证登录,即用户可以使用多种身份验证方式来登录应用程序,例如用户名和密码登录、手机号码登录等。我们使用了一个名为 realms 的集合来存储多个 Realm 实现类,每个 Realm 实现类负责一...
Jeesite 登录login涉及到shiro验证和授权的流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
JeeSite 对配置说明
Black Monkey
08-22 7167
Apache Shiro的配置主要分为四部分:  对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置 其,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。  Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、in
jeesiteshiro流程
it_lihongmin的博客
08-06 2143
由于项目内部cms的快速开发需要,选型使用jeesite进行实现,于是也好好的对shiro的流程进行了学习,其由于用户在登录之前就需要选择产品分类,登录后也需要能进行切换。考虑过使用自定义的filter将该值进行注入到httpsession,但是发现当用户登录成功却还了一个session(logger.info了sessionId发现不是同一个东西),于是使用过下面的方式直接将其与当前登录用户
jeesite shiro+redis实现cache和session共享
技术随笔
09-21 6210
jeesite这个开源框架本身集成的有shiro+redis来实现cache和session共享,但是需要修改一下文件配置即可 首先找到spring-context-shiro.xml文件 找到bean id为sessionDAO,将其修改为如下                                找到bean id为shiroCacheManager,将其修改为如下
jeesite(jeeplus)使用Shiro解决按实例分配资源权限问题
weixin_34009794的博客
04-04 632
2019独角兽企业重金招聘Python工程师标准>>> ...
Java shiro登录验证实例
04-29
Java shiro登录验证实例。 shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781 shiro
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
SpringBoot+Shiro学习之密码加密登录失败次数限制示例
08-31
该示例,使用 Shiro 框架来实现登录失败次数限制,并使用 SpringBoot 框架来实现密码加密密码加密是指在用户注册或登录时,对密码进行加密处理,以保护用户的密码安全。SpringBoot 提供了多种密码加密方式,...
jeesite框架学习—shiro权限。
Kally_Wang的专栏
03-17 6924
未完待
jeesite学习笔记——加密解密功能
黑白的博客
08-29 5727
一、需求: 数据库存储的数据为加密后的结果,而在后台页面显示的是解密的结果,由于是双向加密(对称加密),所以MD5不适合,采用AES加密,这种加密方法jeesite自带!! 1.数据库截图: 2.页面截图: 二、代码展示: 1.由于保存进数据库时,是对后台的操作,所以在Service层的save方法进行加密 @Transactional(readOnly = fa...
jeesite添加自定义密码匹配方式以及加入AD域验证
weixin_33754065的博客
05-19 303
2019独角兽企业重金招聘Python工程师标准>>> ...
Jeesite 二次开发-多用户登录Shiro模块
weixin_34290096的博客
05-25 372
2019独角兽企业重金招聘Python工程师标准>>> ...
开源 java多个用户登录_Jeesite 二次开发-多用户登录Shiro模块
weixin_32325225的博客
02-27 604
此次二次开发将从头开始记录,开发顺序会从多用户模块入手,解决默认显示首页,前后台登录分离等问题。问题难点默认首页的显示Shiro权限模块的多用户登录验证等,较为复杂数据库表本次使用的数据库为MySql,拓展数据库管理工具为Navicat。在Jeesite搭建完成的基础上,首先从数据库表的建设开始,后台用户表已经有了,这里建立的是前台用户表,前后用户分离,参照后台用户表的字段信息,去掉了几个字段,且...
jeesite详解实战
qq_16753341的博客
09-29 5464
JeeSite目前包括以下三大模块,系统管理(SYS)模块、 内容管理(CMS)模块、在线办公(OA)模块、代码生成(GEN)模块。  系统管理模块,包括组织架构(用户管理、机构管理、区域管理)、 菜单管理、角色权限管理、字典管理等功能;  内容管理模块 ,包括内容管理(文章、链接),栏目管理、站点管理、 公共留言、文件管理、前端网站展示等功能;  在线办公模块 ,提供简单的请假流程实例。代
JeeSite登录和主题切换
weixin_30530339的博客
04-21 188
最高管理员账号,用户名:thinkgem 密码:admin 1. 密码加密登录用户密码进行SHA1散列加密,此加密方法是不可逆的。保证密文泄露后的安全问题。 在spring-shiro配置文件找到<property name="realm" ref="systemAuthorizingRealm" />,参考小峰项目的登录shiro会调用此验证密码 SystemSer...
jeesite 登录页面以及版权信息修改
weixin_44038677的博客
01-04 3386
1,打开运行成功的jeesite,打开jeesite.properties,找到以下 2修改后,打开webapp–web-inf–views–modules–sys–syslogin.jsp找到: 修改后运行即可。
jeesite实战(三十二)——不登录直接获得token
Garnett_zk的博客
12-08 1185
系列文章目录 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 SSO单点登录系列文章目录前言一、背景二、实现过程1.shiro配置2.编写测试接口3.注意事项4.访问结果总结 前言 本系列文章主要记录项目过程重点的项目技术 一、背景 基于上篇文章,我想能不能不登录直接获得token的值呢,下面是我的实现方法;基于此办法可以实现不登录获得接口相关数据 二、实现过程 1.shiro配置 在web模块的application.yml文件,找到如下内容,启用如下配置,使得如下图 #
jeesite vue
最新发布
07-27
Jeesite Vue是一个基于Jeesite和Vue.js的前后端分离开发框架。通过使用Jeesite Vue,开发者可以快速构建现代化的Web应用程序。Jeesite Vue提供了一系列学习资源和工具,可以帮助开发者更好地使用该框架。 在学习Jeesite Vue时,你可以参考以下学习网站和工具: - Jeesite官网:https://jeesite.com/docs/ 提供了详细的Jeesite文档,包括Jeesite Vue的使用指南和示例代码。 - Uniapp官网:https://uniapp.dcloud.io/ 是一个跨平台的开发框架,可以用于开发Jeesite Vue的前端部分。 - Uview官网:https://www.uviewui.com/components/intro.html 是一个基于Vue.js的UI组件库,可以帮助你快速构建漂亮的界面。 - Uniapp插件市场官网:https://ext.dcloud.net.cn/ 提供了丰富的Uniapp插件,可以扩展Jeesite Vue的功能。 - 白话Uniapp:https://ask.dcloud.net.cn/article/35657 是一个适合前端有基础的人学习Uniapp的教程。 - Flex布局:https://www.runoob.com/w3cnote/flex-grammar.html 是一个介绍Flex布局的教程,可以帮助你更好地布局Jeesite Vue的界面。 希望以上资源能够帮助你学习和使用Jeesite Vue。如果你有任何进一步的问题,请随时提问。 #### 引用[.reference_title] - *1* *2* [Jeesite-uniapp框架学习篇一(版本说明、工具网站、学习网站)](https://blog.csdn.net/zhouoxinxin/article/details/126221626)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [jeesite免登陆,及vue跨域访问jeeSite项目设置](https://blog.csdn.net/qq_36833168/article/details/89919399)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值