shiro多realm异常解决

最新推荐文章于 2024-06-01 09:53:52 发布
最新推荐文章于 2024-06-01 09:53:52 发布
阅读量1.3k 收藏 4
点赞数 2
文章标签: java redis 阿里云 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58560859/article/details/129111527
版权

shiro多realm异常解决

1、情况描述

我是需要实现两个realm进行登录认证,分别是passwordRealm(用户名+密码登录)、codeRealm(手机号码+验证码登录)。验证码登录的验证码是使用阿里云短信服务, 缓存是使用redis,设置10分钟过期。

不会短信验证码的可以看我的另一篇文章:短信验证码教程

报错类型是org.apache.shiro.authc.AuthenticationException: Authentication token of type [class org.apache.shiro.authc.UsernamePasswordToken] could not be authenticated by any configured realms. Please ensure that at least one realm can authenticate these tokens.

这个是我参考网上文章和自己摸索得知的,如有错误,还请指出,谢谢!

2、自定义token(用户名+密码_使用shiro自带token)

1、TelCodeToken(参考shiro自带UserNamePasswordToken)

温馨提示: TelCodeToken我只需要一个参数,就是手机号,只需shiro帮我验证手机号。

package com.panyk.hotel_system.config.shiroSecurity.myToken;

import org.apache.shiro.authc.HostAuthenticationToken;
import org.apache.shiro.authc.RememberMeAuthenticationToken;

public class TelCodeToken implements HostAuthenticationToken, RememberMeAuthenticationToken {

    private String tel;

    private Boolean rememberMe = false;

    private String host;

    public TelCodeToken() {
        this.rememberMe = false;
    }

    public TelCodeToken(final String tel) {
        this(tel, false, null);
    }

    public TelCodeToken(final String tel, boolean rememberMe) {
        this(tel, rememberMe, null);
    }

    public TelCodeToken(final String tel, final boolean rememberMe, final String host) {
        this.tel = tel;
        this.rememberMe = rememberMe;
        this.host = host;
    }


    public String getTel() {
        return tel;
    }

    public void setTel(String tel) {
        this.tel = tel;
    }

    public Object getPrincipal() {
        return getTel();
    }

    public Object getCredentials() {
        return getTel();
    }

    @Override
    public String getHost() {
        return host;
    }

    @Override
    public boolean isRememberMe() {
        return rememberMe;
    }


}

3、自定义Realm

1、ParentRealm(清理缓存,可有可无)

public abstract class ParentRealm extends AuthorizingRealm {

    public void clearCachedAuthorizationInfo() {
        super.clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals());
    }

    public void clearCachedAuthenticationInfo() {
        super.clearCachedAuthenticationInfo(SecurityUtils.getSubject().getPrincipals());
    }

    /**
     * 清除某个用户认证和授权缓存
     */
    @Override
    public void clearCache(PrincipalCollection principals) {
        super.clearCache(principals);
    }

    /**
     * 自定义方法:清除所有 授权缓存
     */
    public void clearAllCachedAuthorizationInfo() {
        getAuthorizationCache().clear();
    }

    /**
     * 自定义方法:清除所有 认证缓存
     */
    public void clearAllCachedAuthenticationInfo() {
        getAuthenticationCache().clear();
    }

    /**
     * 自定义方法:清除所有的 认证缓存 和 授权缓存
     */
    public void clearAllCache() {
        clearAllCachedAuthenticationInfo();
        clearAllCachedAuthorizationInfo();
    }

}

2、PasswordRealm

温馨提示: 我是PasswordRealm extends ParentRealm, 你们不清理缓存可以直接extends AuthorizingRealm

public class PasswordRealm extends ParentRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String name = token.getUsername();
        User user = userService.getOne(new QueryWrapper<User>().eq("user_name", name).last("LIMIT 1"));
        if (null == user)
            throw new UnknownAccountException();
        String password = user.getPassword();
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, this.getName());
        info.setCredentialsSalt(ByteSource.Util.bytes(name));
        return info;
    }

    @Override
    public boolean supports(AuthenticationToken var1){
        return var1 instanceof UsernamePasswordToken;
    }

}

3、CodeRealm

温馨提示: 我是PasswordRealm extends ParentRealm, 你们不清理缓存可以直接extends AuthorizingRealm

public class CodeRealm extends ParentRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        TelCodeToken token = (TelCodeToken) authenticationToken;
        String tel = (String) token.getPrincipal();
        User user = userService.getOne(new QueryWrapper<User>().eq("tel", tel).last("LIMIT 1"));
        if (null == user)
            throw new UnknownAccountException();
        return new SimpleAuthenticationInfo(user, tel, this.getName());
    }

    @Override
    public boolean supports(AuthenticationToken var1){
        return var1 instanceof TelCodeToken;
    }

}

4、重写realm选择器

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.pam.AuthenticationStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.realm.Realm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import java.util.Collection;

@Component
public class CustomModularRealmAuthenticator extends ModularRealmAuthenticator  {

    private static final Logger log = LoggerFactory.getLogger(ModularRealmAuthenticator.class);

    /**
     * 重写doMultiRealmAuthentication,抛出异常,便于自定义ExceptionHandler捕获
     */
    @SneakyThrows
    @Override
    protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token){

        AuthenticationStrategy strategy = this.getAuthenticationStrategy();
        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }
        AuthenticationException exception = null;
        for (Realm realm : realms) {
            aggregate = strategy.beforeAttempt(realm, token, aggregate);
            if (realm.supports(token)) {
                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);
                AuthenticationInfo info = null;
                try{
                    info = realm.getAuthenticationInfo(token);
                }catch (AuthenticationException  e){
                    exception = e;
                    if (log.isDebugEnabled()) {
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, e);
                    }
                }
                aggregate = strategy.afterAttempt(realm, token, info, aggregate, exception);
            }else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }
        if(exception != null){
            throw exception;
        }
        aggregate = strategy.afterAllAttempts(token, aggregate);
        return aggregate;
    }

}

5、编写shiro配置类

import com.panyk.hotel_system.config.shiroSecurity.myRealm.CodeRealm;
import com.panyk.hotel_system.config.shiroSecurity.myRealm.PasswordRealm;
import org.apache.shiro.authc.AbstractAuthenticator;
import org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.*;

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(defaultWebSecurityManager);
        HashMap<String, String> map = new LinkedHashMap<>();
//      anon:无需认证、authc认证、user记住我、role对应角色、perms资源
        map.put("/test.html", "authc");
        factoryBean.setFilterChainDefinitionMap(map);
        factoryBean.setLoginUrl("/loginOrRegi");
        return factoryBean;
    }

    @Bean(name = "getDefaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(PasswordRealm passwordRealm, CodeRealm codeRealm, AbstractAuthenticator abstractAuthenticator){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        List<Realm> realms = new ArrayList<>();
        realms.add(passwordRealm);
        realms.add(codeRealm);
        securityManager.setRealms(realms);
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator sessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        sessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(sessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        securityManager.setAuthenticator(abstractAuthenticator);//解决多realm的异常问题重点在此
        return securityManager;
    }

    @Bean(name = "abstractAuthenticator")
    public AbstractAuthenticator abstractAuthenticator(PasswordRealm passwordRealm, CodeRealm codeRealm){

        ModularRealmAuthenticator authenticator = new CustomModularRealmAuthenticator();
        authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
        List<Realm> realms = new ArrayList<>();
        realms.add(passwordRealm);
        realms.add(codeRealm);
        authenticator.setRealms(realms);
        return authenticator;
    }

    @Bean(name = "passwordRealm")
    public PasswordRealm passwordRealm(){
        return new PasswordRealm();
    }

    @Bean(name = "codeRealm")
    public CodeRealm codeRealm(){
        return new CodeRealm();
    }

}

温馨提示:配置类核心是getDefaultWebSecurityManager, 如果是单realm只需要编写ShiroFilterFactoryBeanDefaultWebSecurityManager单个realm; 多realm的话需要多配置abstractAuthenticator 记得要注入到DefaultWebSecurityManager,用于多realm选择策略。

认证策略类型:
1.AtLeastOneSuccessfulStrategy 有一个realm成功认证就可以。
2.FirstSuccessfulStrategy 第一个realm成功认证就可以,只看第一个,所以realm的顺序也有关系。
3.AllSuccessfulStrategy 全部realm认证通过才可以。

6、controller(登录部分)

温馨提示: R是我自己编写的工具类,用于响应前端。StringUtils也是自己编写的工具类,用于验证字符串是否为null或者空串、只包含空格。

    @Autowired
    private UserService userService;

    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    @ResponseBody
    @RequestMapping("/usr/login")
    public R login(String name, String tel, String pwd, String code, String type){
        if (!StringUtils.isEmpty(type)){
            if ("pwd".equals(type)){
                if (StringUtils.isEmpty(name) || StringUtils.isEmpty(pwd)) {
                    return R.fail(207, "输入值为空");
                } else{
                    UsernamePasswordToken token = new UsernamePasswordToken(name, pwd);
                    Subject subject = SecurityUtils.getSubject();
                    try {
                        subject.login(token);
                        return R.ok(200, "登录成功");
                    }catch (UnknownAccountException e){
                        return R.fail(214, "用户名错误或不存在");
                    }catch (IncorrectCredentialsException e){
                        return R.fail(212, "密码错误");
                    }
                }
            }else{
                if (StringUtils.isEmpty(tel) || StringUtils.isEmpty(code)) {
                    return R.fail(207, "输入值为空");
                } else{
                        TelCodeToken token = new TelCodeToken(tel);
                        Subject subject = SecurityUtils.getSubject();
                        try {
                            subject.login(token);
                            String existCode = redisTemplate.opsForValue().get(tel);
                            if (StringUtils.isEmpty(existCode) || !existCode.equals(code))
                                return R.fail(209, "验证码错误或已失效");
                            return R.ok(200, "登录成功");
                        }catch (UnknownAccountException e){
                            return R.fail(211, "手机号码错误或不存在");
                        }
                }
            }
        }else{
            return R.fail(207, "输入值为空");
        }

    }

7、小问题

1、一般shiro自带的异常类型是足够用的,当然也可以自定义异常、异常处理器。

2、单realm的话,可以在realm中return null, 在controller中捕获shiro自带异常即可, 很智能很方便。

3、多realm的话,需要在realm中抛出异常,也要在controller中捕获异常,不然报错,could not be authenticated by any configured realms. Please ensure that at least one realm can authenticate these tokens, 这是在说你的token没有任何realm处理,而realm选择策略是至少一个realm认证通过。(我踩的坑)

4、我的controller有许多数据校验,虽然前端可以校验,但为了严谨还是在后端也进行校验。

5、验证码我在controller判断,当然也可以放在realm里,但是我除了登录,还有注册、修改密码等业务用到验证码判断,为了方便将redisTemplate写在controller。

梦落清浅
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro中多Realm下抛出异常不准确
zxwgdft2的博客
03-23 1786
Shiro中多Realm下抛出异常不准确问题描述原因与解决优化 问题描述 如果你的项目中存在多个Realm,当你在Realm中判断账号异常抛出了一个UnknownAccountException异常时,到达FormAuthenticationFilter.onLoginFailure方法中的异常信息为: Authentication token of type [class org.apache....
Apache Shiro 使用手册(四) Realm 实现
09-15
反之,如果验证失败,`Realm`会抛出`AuthenticationException`异常。 在实际应用中,你需要创建一个自定义的`Realm`类,继承自`AuthorizingRealm`抽象类,并重写`doGetAuthenticationInfo()`方法。示例代码展示了...
【springboot】处理shirorealm的自定义异常捕获问题
dan339811953的专栏
03-11 2905
前言 1、基于springboot前后端分离项目,基于shiro做权限校验 2、多个realm:1)userRealm:校验登陆验证码; 2) OauthRealm:校验登陆后请求token 3、springboot版本 2.1.1 shiro版本 1.3.2 4、急着处理问题的可以直接看最下面解决的 O(∩_∩)O~ 问题描述 Realm自定义自定义的异常无法正常捕获,均捕获为“A...
org.apache.shiro.authc.AuthenticationException
最新发布
qq_33240556的博客
06-01 219
Apache Shiro框架中的一个基础异常类,Shiro是一个广泛应用于Java应用程序中进行认证和授权的强大且易于使用的安全框架。:这是一个灵活的Java安全框架,负责处理认证、授权、加密和会话管理。处理这些异常使应用程序开发者能够根据不同的情况给出有意义的反馈给用户,说明他们的登录尝试为何失败,同时不泄露关于认证过程或用户账户状态的敏感信息。开发者可能会记录错误、显示用户友好的消息,或者根据抛出的异常类型触发额外的安全措施。:提供的用于认证的账户(如用户名)在系统中不存在时抛出。
Shiro异常捕捉
fenfenguai的专栏
01-13 1676
在使用shiro的项目中,验证身份时抛出异常无法捕捉让人很苦恼 解决办法如下 集成 AtLeastOneSuccessfulStrategy import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc
shirorealm抛出异常问题
qq_46416934的博客
04-07 939
shirorealm抛出异常问题 关于这个问题百度会搜到很多内容,但是大多数都不全,只是提到了一部分内容,所以综合本人以及网上搜到的内容,提出如下解决方案: 我是使用了两个Realm,一个用于用户登录验证和访问权限获取;一个用于jwt token的认证,所以出现了 Authentication token of type [class org.apache.shiro.authc.Username PasswordToken] could not be authenticated by any confi
Shiro Realm中自定义的异常如何捕获并返回给前端
Aoyama_QingShan的博客
05-13 985
SpringBoot+shiro+jwt权限认证,捕获Realm中的异常并放回给前端
oauth2 shiro 多表认证
06-16
8. **异常处理**:当认证或授权失败时,Shiro和OAuth2都提供了相应的异常处理机制,可以定制化地处理这些异常,提供友好的错误提示。 通过以上步骤,我们可以构建一个能够处理多表认证的、安全的系统。同时,这种...
Apache_Shiro_使用手册(四)Realm_实现
03-06
5. **处理认证失败**:如果认证失败,`Realm` 将抛出一个 `AuthenticationException` 异常,这个异常将被 Shiro 捕获并处理。 为了实现上述流程,开发者需要自定义一个 `Realm` 类,通常继承 `AuthorizingRealm` ...
ssm集成redisshiro
01-08
1. **会话管理**: 通过Shiro的SessionManager,配置为使用Redis作为session的存储,实现分布式会话,解决集群环境下的session共享问题。 2. **权限缓存**: 将Shiro的权限信息缓存在Redis中,提高权限验证效率,同时...
SpringBoot整合Shiro+JWT
05-15
5. **自定义Shiro Realm**:根据具体需求,可能需要扩展Shiro的`AuthorizingRealm`类,重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,以便从数据库或其他数据源获取用户信息。 6. **拦截器或...
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
07-12 1254
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Shiro之多Realm的认证及认证策略-yellowcong
chengkuiwu3328的博客
02-02 215
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecur...
shiro身份认证失败:org.apache.shiro.authc.IncorrectCredentialsException
m0_67391521的博客
08-24 1510
所以不是身份认证的原因,归根到底是密码错的原因,经过多次验证,我很确定经过MD5加盐加密的密码没有错啊,那是能使格式错了,,,,,最近整个shiro项目的时候,发现一个小bug,在登录的时候,当用户名对,密码错的时候,本应提示用户名或密码错误的,但提示信息却是身份认证失败的异常信息,项目后台窗口报错。又经过多次尝试,发现token和info不一样,一个是32位的string形式的,一个是char的形式,然后我将密码先设置为char再转为string之后,终于成功了。
Shiro自定义Realm
test253506088的博客
06-24 213
自定义Realm需要继承AuthorizingRealm类,并重写doGetAuthenticationInfo(登录认证)和doGetAuthorizationInfo(权限认证)方法。创建下面三张表。 用户表: 权限表: 用户表与权限表的关系表 代码如下所示,关于查询的数据库的代码、表结构的SQL,都去看案例文件。 /** * 自定义Realm,需要注入到Spring IoC中 */ @Component public class MyRealm extend
解决Spring Cloud Config Client客户端变量注入问题
qq_42083657的博客
10-19 345
问题: Spring Cloud Config Server已经配置完成,并且可以访问到远端服务器。在配置完Spring Cloud Config Client启动时报错,显示找不到注入的自定义变量;然后疯狂的找解决办法,抓狂了半天依旧没法解决,最后发现远端服务器中yml文件格式错了,key-value形式中key: 后有空格。 思路: Spring Cloud Config Client默认配置端口为8888,当设置Client端端口为其他时,新建bootstrap.yml配置文件分开配置。如果还不
shiro安全框架、MD5加密、自定义realm
m0_58212960的博客
08-08 352
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序...
关于org.apache.shiro.authc.UsernamePasswordToken cannot be cast to的解决方案
热门推荐
雨潇的专栏
12-29 1万+
问题背景 在实现多Realm时,扩展了ModularRealmAuthenticator 和 UsernamePasswordToken,于是在MyAuthenticationToken token = (MyAuthenticationToken) authenticationToken时出现了转型异常。 扩展ModularRealmAuthenticator 的代码如下: public
shiro认证时出现报错Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken -
embelfe_segge的博客
04-22 1891
shiro认证时出现报错: org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credentials. 当时出现这个问题是在生产的uat环境上出现的,说实话,挺幸运的,幸好是在uat环境上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值