shiro 不管登录成功还是失败都出现这个bug

最新推荐文章于 2024-06-01 09:53:52 发布
最新推荐文章于 2024-06-01 09:53:52 发布
阅读量679 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67391907/article/details/124342971
版权

28 回复

package com.coracle.fast.service.impl.shiro;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.LockedAccountException;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.authz.AuthorizationException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import org.springframework.transaction.annotation.Transactional;

import com.coracle.fast.entity.shiro.Permission;

import com.coracle.fast.entity.shiro.Role;

import com.coracle.fast.entity.shiro.User;

import com.coracle.fast.service.UserService;

@Service(“shiroRealm”)

@Transactional(readOnly = true)

public class ShiroRealm extends AuthorizingRealm {

@Autowired

private UserService userService;

/**

* 权限认证

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

if (principalCollection == null) {

throw new AuthorizationException(“PrincipalCollection method argument cannot be null.”);

}

// 获取登录时输入的用户名

String loginName = (String) principalCollection.fromRealm(getName()).iterator().next();

// 到数据库查是否有此对象

User user = userService.findByUserName(loginName);

if (null == user) {

return null;

}

if (user.isLocked()) {

throw new LockedAccountException(“Account [” + user.getUserName() + “] is locked.”);

}

// 权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)

SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo();

if (user.getRoles() != null) {

for (Role role : user.getRoles()) {

auth.addRole(role.getName());

if (role.getPermissions() != null) {

for (Permission p : role.getPermissions()) {

auth.addStringPermission(p.getName());

}

}

}

}

if (user.getPermissions() != null) {

for (Permission p : user.getPermissions()) {

auth.addStringPermission(p.getName());

}

}

return auth;

}

/**

* 登录认证;

*/

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

throws AuthenticationException {

// UsernamePasswordToken对象用来存放提交的登录信息

UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

// 查出是否有此用户

User user = userService.findByUserName(token.getUsername());

if (user != null) {

// 若存在,将此用户存放到登录认证info中

// 用户名 密码 slat realm name

return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(),

ByteSource.Util.bytes(user.getSalt()), getName());

}

return null;

}

}

@wendal 不反null 返回什么 ?

并且登录成功 也不是返回null

throw new UnknownAccountException();

debug 了一个 发现执行顺序是这样的

/**

* 认证回调函数,登录时调用.

* 登录认证;

*/

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

throws AuthenticationException {

// UsernamePasswordToken对象用来存放提交的登录信息

UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

// 查出是否有此用户

User user = userService.findByUserName(token.getUsername());

if (user != null) {

// 若存在,将此用户存放到登录认证info中

// 用户名 密码 slat realm name

return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(),

ByteSource.Util.bytes(user.getSalt()), getName());

}else{

throw new UnknownAccountException();

}

}

1、执行 User user = userService.findByUserName(token.getUsername());

发现 user 是 null

2、 throw new UnknownAccountException();

然后没跳出方法,反而 有执行了 一边 User user = userService.findByUserName(token.getUsername());

这个时候 发现 user 不是null

但是有由于密码错误

抛出 IncorrectCredentialsException

这样就导致了 不管登录成功还是失败 都出现了 上面的 bug

没跳出方法 抛异常还能没跳出方法

是的 ,

第一次 User user = userService.findByUserName(token.getUsername()); user 是null (数据库有数据)

就执行了

throw new UnknownAccountException();

这时候 程序又执行了 一遍 User user = userService.findByUserName(token.getUsername()); user 这时候不是null 了

登录成功后 doGetAuthorizationInfo 方法也没执行

第一次为null, 这必须先查清楚

User user = userService.findByUserName(token.getUsername()); // user 是null (数据库有数据)

打印 token.getUsername()的值出来

log.debug(“name=[”+token.getUsername()+“]”);

发现是 点击 submit后

没有到controller,现在执行了

User user = userService.findByUserName(token.getUsername()); // user 是null (数据库有数据)

这时候 getUsername 是 null

抛出异常,

执行了 controller

执行 User user = userService.findByUserName(token.getUsername());

这个时候 getUsername 是 页面的 admin

密码错误,跳出。

这是同一个req 那就检查第一个token是哪里冒出的

通一个 req

仅仅点击了 一次 提交

怎么检查 这个token呢,?

发现 第一个 进来的时候 password 是 页面的值 但是 username是null

然后又进来了一个 这时候 username和password 都是页面的值

去debug这个token类的构造方法,看它是哪里创建的,创建了多少次

@wendal 在没有进入 controller之前 在 FormAuthenticationFilter 里的 excutelogin 产生的 token

不是总共构建了2个token对象吗?我要知道这两个对象是哪里的java代码new出来的

不过,基本上确定是shiro.ini 重复拦截了,需要把第一个token干掉

@wendal

第一个 token

public abstract class AuthenticatingFilter extends AuthenticationFilter {

public static final String PERMISSIVE = “permissive”;

//TODO - complete JavaDoc

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {

AuthenticationToken token = createToken(request, response);

if (token == null) {

String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +

“must be created in order to execute a login attempt.”;

throw new IllegalStateException(msg);

}

try {

Subject subject = getSubject(request, response);

subject.login(token);

return onLoginSuccess(token, subject, request, response);

} catch (AuthenticationException e) {

return onLoginFailure(token, e, request, response);

}

}

这里 AuthenticationToken token = createToken(request, response);

产出来的

这个 过滤 AuthenticationFilter

不知哪里出来的

@javanan shiro.ini里面配置的咯,贴

那另外一个token呢?

这个类的

public class ModularRealmAuthenticator extends AbstractAuthenticator

这里

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {

if (!realm.supports(token)) {

String msg = “Realm [” + realm + “] does not support authentication token [” +

token + "]. Please ensure that the appropriate Realm implementation is " +

“configured correctly or that the realm accepts AuthenticationTokens of this type.”;

throw new UnsupportedTokenException(msg);

}

AuthenticationInfo info = realm.getAuthenticationInfo(token);

if (info == null) {

String msg = “Realm [” + realm + "] was unable to find account data for the " +

“submitted AuthenticationToken [” + token + “].”;

throw new UnknownAccountException(msg);

}

return info;

}

@wendal

在自己的

controller

里 传过去的

SecurityUtils.getSubject().login(new UsernamePasswordToken(user.getUserName(), user.getPassword()));

登录操作是控制器里面主动login,但shiro filter又做了匹配

所以,现在要解决的就是把第一个token干掉,也就是shiro.ini里面的匹配去掉

@wendal

哦 原来是这样,, 那么直接用 shiro的 登录就好了。。

m0_67391907
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssm+shiro实现简单的登陆认证功能
11-07
失败则抛出异常,你可以捕获这个异常并返回相应的错误信息。 5. **权限控制**:在页面上,你可以使用Shiro的标签库进行权限控制,比如`<shiro:hasPermission name="admin">`,只有拥有"admin"权限的用户才能看到这...
java shiro实现退出登陆清空缓存
08-31
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份验证、授权、会话管理和加密服务。在 Java Web 应用中,Shiro 可以帮助开发者轻松地处理用户登录、登出以及权限控制等问题。在本文中,我们将讨论如何利用 ...
springboot+jwt自定义token异常. Please ensure that the appropriate Realm implementation is configured cor
爱钻研的小张
11-16 2708
getSubject(request, response).login(jwtToken); 时候抛出异常UnsupportedTokenException 校验token异常 问题所在: 导致这个问题的原因是 不知道使用哪个Ream导致的,这个问题是由于我自定义了Reaml后,没有覆写supports 这个方法导致的。 customRealm.setAuthenticationTokenClass(JWTToken.class); ...
Realm [realm.ShiroDbRealm@15408475] does not support authentication token
牛栏山矿泉水
08-10 1052
1、错误描述 [ERROR:]2015-08-03 10:03:26,508 [Realm [realm.ShiroDbRealm@15408475] does not support authentication token [org.apache.shiro.cas.CasToken@3eb82839]. Please ensure that the appropriate Realm i...
org.apache.shiro.authc.AuthenticationException
最新发布
qq_33240556的博客
06-01 215
是Apache Shiro框架中的一个基础异常类,Shiro是一个广泛应用于Java应用程序中进行认证和授权的强大且易于使用的安全框架。:这是一个灵活的Java安全框架,负责处理认证、授权、加密和会话管理。处理这些异常使应用程序开发者能够根据不同的情况给出有意义的反馈给用户,说明他们的登录尝试为何失败,同时不泄露关于认证过程或用户账户状态的敏感信息。开发者可能会记录错误、显示用户友好的消息,或者根据抛出的异常类型触发额外的安全措施。:提供的用于认证的账户(如用户名)在系统中不存在时抛出。
shiro登陆失败提示_Shiro安全框架(SSMS整合)
weixin_39613824的博客
01-03 579
1.登录认证shiro配置①在web.xml配置中注册DelegatingFilterProxy <!-- 注册DelegatingFilterProxy:通过代理模式将servlet容器中的filter同spring中bean关联起来 --> <filter> <filter-name>shiro</filter-name> <...
关于shiro登录失效后,onLoginFailure方法内抛异常并使用全局异常处理器捕获却失效
qq_44705845的博客
01-04 529
AuthenticatingFilter最终继承的是 servlet 的 Filter 类, Filter 处理是在控制器之前的, 所以由 @ControllerAdvice注解的全局异常处理器无法捕获这里的异常(@ControllerAdvice是由spring 提供的增强控制器)。直接在onLoginFailure内设置响应状态值和结果就可以啦!
shiro登陆失败提示_shiro登录错误信息并返回到登录页面显示
weixin_39922749的博客
12-22 1127
尝试使用shiro管理权限,写了一个简单的登录方法,@RequestMapping(value = "/signin")public String signin(HttpServletRequest request) throws Exception{String exceptionClassName = (String) request.getAttribute("shiroLoginFailu...
单点登陆(sso+shiro+cas)
04-11
登录成功后,CAS服务器会回调到应用指定的验证URL,Shiro会处理这个回调,完成用户认证过程。登出时,应用会触发CAS服务器的登出接口,实现全局登出。 6. **配置Word文档**:提供的Word文档可能是SSO配置和项目启动...
使用Shiro实现登录成功后跳转到之前的页面
09-01
这需要在用户尝试访问受保护资源时捕获请求,并在登录成功后恢复这个URL。以下是一段可能的代码示例: ```java // 获取保存在session中的请求 SavedRequest savedRequest = WebUtils.getSavedRequest(request); if ...
shiro登陆身份认证和权限管理 密码加密
01-23
在“shiro登陆身份认证和权限管理 密码加密”这个主题中,我们将深入理解 Shiro 如何处理用户登录、验证用户身份以及密码的安全存储。 1. **身份认证**:在 Shiro 中,身份认证是验证用户是否是他们声称的那个人的...
Shiro学习笔记(三)权限验证的两种方式
zch-兴趣使然-blog
03-27 848
一般来说,项目中能用两种方式进行权限验证:手动调用shrio提供的login方法并捕捉异常或者由shrio自己验证并返回验证的异常信息。网上对于shrio的验证流程已经有很多这里不再具体说明。 手动调用shrio提供的login方法 @RequestMapping("/login") public String login(HttpServletRequest request...
shiro出现 does not support authentication token
u012587407的博客
03-25 2565
在使用Shiro时,我们需要 自定义的CustomRealm继承AuthorizingRealm、 并且重写父类中的doGetAuthorizationInfo(权限相关)、 doGetAuthenticationInfo(身份认证)这两个方法。 每一个Ream都有一个supports方法,用于检测是否支持此Token ,如果没有重写supports就会报错 does not support...
Shiro:org.apache.shiro.authc.AuthenticationException的解决方案
weixin_38357164的博客
05-05 1万+
情况一:明文密码和MD5加密不匹配! <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> <property name="hashAlgorithmName" value="MD5"/> ........... &...
Shiro:org.apache.shiro.authc.AuthenticationException
热门推荐
Sunny
10-06 2万+
org.apache.shiro.authc.AuthenticationException: Authentication failed for token submission [org.apache.shiro.authc.UsernamePasswordToken - starzou, rememberMe=false]. Possible unexpected error? (Ty
idea抛出异常:org.apache.shiro.authc.AuthenticationException
最高权限比特流
03-11 4604
问题描述 继续在ubuntu下折腾,终于将web项目的所有的东西配置好了,然后运行项目,满怀期待的心情登录系统的时候,突然出现了这个bug,吓得我差点从椅子上跳起来,这两天遇到的bug实在是太多了。。。。 DEBUG [http-nio-8080-exec-5] - Returning JDBC Connection to DataSource DEBUG [http-nio-8080-e...
基于springboot注解的shiro 授权及角色认证
一个菜鸡的博客
05-29 1987
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
做一个shiro的登陆验证的完整程序
06-09
好的,下面是一个简单的Shiro登陆验证的完整程序示例: 1. 添加Shiro依赖 在pom.xml文件中添加Shiro的依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-core <version>1.7.1 ``` 2. 创建Shiro的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值