shiro多realm配置免密码登陆

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量505 收藏
点赞数
分类专栏: java 文章标签: java json spring 服务器 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393686/article/details/126496302
版权

情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用免密码shiro验证,需要多加一个免密码验证的realm,并保证两个realm都可用。

Shiro.xml

1、安全管理器中添加authenticator认证策略配置

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="authenticator" ref="authenticator"/>
    <!--<property name="realm" ref="shiroDbRealm"></property>-->
    <!--将缓存管理器,交给安全管理器-->
    <property name="cacheManager" ref="shiroSpringCacheManager"/>
    <!-- 记住密码管理 -->
    <property name="rememberMeManager" ref="rememberMeManager"/>
    <property name="sessionManager" ref="sessionManager"/>
</bean>

2、在authenticator中配置多realm和具体的认证策略

<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
    <!-- 多realm配置 -->
    <property name="realms">
        <list>
            <ref bean="shiroSSORealm"/> <!-- 免密码realm配置 -->
            <ref bean="shiroDbRealm"/>  <!-- 正常默认的realm配置 -->
        </list>
    </property>
    <!-- 配置认证策略 -->
    <property name="authenticationStrategy">
        <!-- 所有Realm皆匹配成功才算成功 -->
        <!--<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean>-->
        <!-- 只要一个或者多个Realm认证通过就算成功 -->
         <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
        <!-- 第一个匹配成功即算匹配成功 -->
        <!-- <bean class="org.apache.shiro.authc.pam.FirstSuccessfulStrategy"></bean> -->
    </property>
</bean>

3、注入新加的realm bean 并自定义凭证匹配规则凭证匹配规则默认实现是CredentialsMatcher类的doCredentialsMatch方法,我们需要继承该类,并重写doCredentialsMatch方法来自定义匹配规则。

<!-- 項目自定义的ssoRealm -->
<bean id="shiroSSORealm" class="com.wf.commons.shiro.ShiroSSORealm">
    <constructor-arg name="cacheManager" ref="shiroSpringCacheManager"/>
    <constructor-arg index="1" name="matcher" ref="credentialsMatcherSSO"/>
    <!-- 启用身份验证缓存,即缓存AuthenticationInfo信息,默认false -->
    <property name="authenticationCachingEnabled" value="true"/>
    <!-- 缓存AuthenticationInfo信息的缓存名称 -->
    <property name="authenticationCacheName" value="authenticationCache"/>
    <!-- 缓存AuthorizationInfo信息的缓存名称 -->
    <property name="authorizationCacheName" value="authorizationCache"/>
</bean>
<!-- sso免密码登陆 -->
<bean id="credentialsMatcherSSO" class="com.wf.commons.shiro.CredentialsMatcherSSO">
</bean>

public class CredentialsMatcherSSO implements CredentialsMatcher {
    @Override
    public boolean doCredentialsMatch(AuthenticationToken authenticationToken, AuthenticationInfo authenticationInfo) {
//验证规则写这里,因为ShiroSSORealm中已经对用户名做了判断,这里不做验证直接返回true即可
        return true;
    }
}

4、实现ShiroDbRealm类

public class ShiroSSORealm extends AuthorizingRealm {
    private static final Logger LOGGER = LogManager.getLogger(ShiroSSORealm.class);

    @Autowired private IUserService userService;
    @Autowired private IRoleService roleService;

    public ShiroSSORealm(CacheManager cacheManager, CredentialsMatcher matcher) {
        super(cacheManager,matcher);
    }

    /**
     * Shiro登录认证(原理:用户提交 用户名和密码  
     * --- shiro 封装令牌 
     * ---- realm 通过用户名将密码查询返回
     * ---- shiro 自动去比较查询出密码和用户输入密码是否一致---- 进行登陆控制 )
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {
        LOGGER.info("Shiro开始登录认证");
//UserNameToken 是存储用户名的实体类,实现了 HostAuthenticationToken, RememberMeAuthenticationToken, Serializable接口,具体写法可参照shiro自带的UsernamePasswordToken来写

        UserNameToken token = null;

        // UserNameToken,则强转,获取username;否则不处理。
        if(authcToken instanceof UserNameToken){
            token = (UserNameToken) authcToken;
        }else{
            return null;
        }
            UserVo uservo = new UserVo();
            uservo.setLoginName(token.getUserName());
            List<User> list = userService.selectByLoginName(uservo);
            // 账号不存在
            if (list == null || list.isEmpty()) {
                return null;
            }
            User user = list.get(0);
            // 账号未启用
            if (user.getStatus() == 1) {
                return null;
            }
            // 读取用户的url和角色
            Map<String, Set<String>> resourceMap = roleService.selectResourceMapByUserId(user.getId());
            Set<String> urls = resourceMap.get("urls");
            Set<String> roles = resourceMap.get("roles");
            ShiroUser shiroUser = new ShiroUser(user.getId(), user.getLoginName(), user.getName(), urls);
            shiroUser.setRoles(roles);
            // 认证缓存信息,实际上密码的参数并没有卵用,因为我们在验证的具体方法直接返回ture了
            return new SimpleAuthenticationInfo(shiroUser, user.getPassword().toCharArray(),
                    ShiroByteSource.of(user.getSalt()), getName());

    }

    /**
     * Shiro权限认证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        return null;
    }
    //这个重写必须加,不然报令牌验证错误,如果只有一个token估计不用
    @Override
    public boolean supports(AuthenticationToken var1){
        return var1 instanceof UserNameToken;
    }
}
m0_67393686
关注
专栏目录
shiro密码登录
Ant_Shen的专栏
02-27 1万+
在实际开发中,一般我们使用shiro进行用户密码登录,有时候面对一些常见的需求,不得不再已有的框架上进行修改,比如说,增加一种使用手机验证码登录登录方式。这时候,我们可以根据已有的框架,对其稍微修改一下便可满足需求。 public class ShiroDBRealm extends AuthorizingRealm{ private static final String classNam
Shiro(四):ShiroRealm验证和认证策略
12程序猿的博客
10-19 619
Shiro(三)介绍Shiro 密码的比对与MD5盐值加密,接下来对 多Realm验证和认证策略进行简单的介绍。 存在这样一种场景,我们可能会把安全数据放到不同的数据库,比方说 mysql里有,oracle里也有,mysql里面的加密算法是MD5,oracle里面的加密算法是SHA1。这个时候我们进行用户认证时,就需要同时访问这两个数据库,就需要多个Realm。如果有多个Realm的话,还需要涉及到认证策略的问题。 目录一、多Realm验证配置流程:1.添加第二个Realm SecondRealm.jav
Shiro 实现登陆
Gblfy_Blog
10-22 3917
需求:对接第三方登陆,实现绕过原有Shiro认证登陆。 文章目录一、实现思路1. 现状分析2. 用户来源3. 所属范围二、实现方案2.1. 自定义登录认证规则2.2. Shiro认证枚举2.3. 密码和非密码登录2.4. 规则配置2.5. 自定义Realm2.6. 案例使用 一、实现思路 1. 现状分析 系统权框架默认使用Shiro 认证授权机制 2. 用户来源 从统一认证平台登录跳转过来的用户 3. 所属范围 登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录.
Shiro登录
mry6的博客
11-03 2226
Shiro登录新的改变功能快捷键合理的创建如何改变文本的样式插入链接与图片如何插入一段生成一个适合你的列表 新的改变 功能快捷键 合理的创建 如何改变文本的样式 插入链接与图片 如何插入一段 生成一个适合你的列表 ...
Shiro密码登录
m0_67401153的博客
08-24 2769
1.shiro配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为登录 直接返回true。
shiro-realm案例
03-02
配置文件中,我们需要将自定义的Realm注入到Shiro的安全管理器中,这样Shiro在处理用户请求时会使用我们的自定义Realm进行认证和授权。例如,在`shiro.ini`中: ```ini [main] myRealm = ...
ShiroRealm配置:实现多种认证源的灵活组合
# 第一章:理解ShiroRealm配置 ## 1.1 Shiro框架概述 Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份验证、授权、加密和会话管理等功能。它是一个全面的安全框架,与现有的应用程序和框架集成非常...
shiro管理多登录入口配置,手机端登录与网页端登录
12-20
总的来说,实现"shiro管理多登录入口配置,手机端登录与网页端登录"需要对 ShiroRealm、过滤器和配置有深入理解,以及根据应用场景定制相应的登录验证流程。正确配置后,Shiro 可以有效地管理和保护不同入口的...
Shiro的多Realm配置与认证策略
理解Shiro的多Realm ### 1.1 介绍Shiro框架 Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计目标是简单易用,同时也具备定制化的能力,可以广泛应用于各种Java...
SpringBoot整合Shiro后实现登录
04-11
SpringBoot整合Shiro后实现登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是登录。 4,新增LoginType,登录类型枚举 5,修改ShiroConfig文件,即Shiro配置文件,主要关注:57,63,65-90行 原文链接:https://blog.csdn.net/zlxls/article/details/105455375
Shiro登录认证逻辑----shiro登录
Gzf的博客
06-10 1994
要解决的业务问题 第三方平台跳转至集成了shiro的平台时,仅通过用户名就可以实现登录集成了shiro的平台,可以理解为登录Shiro系统。 因此要实现这样的操作,必须了解shiro登录认证流程是如何的。 ps:以下展示的代码均为测试例子,大家可根据自己项目找到对应的逻辑处理的地方。前7步为逻辑分析,若是想看最终修改地方,则直接查看第8步即可 shiro的认证流程 1、生成token 将登陆的用户名密码等信息封装成一个UsernamePasswordToken实体类得到token信息..
4.SpringBoot+Shiro登录
qq_27860623的博客
06-21 2192
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。二、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
SpringBoot+Shiro实现登录
qq_38410795冰淇淋的博客
09-07 1925
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
Shiro 自定义登录方式,非密码方式
Jerry
06-11 2071
主要绕过密码匹配,代码如下 ··· @Component public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken token, Authentic...
集成Shiro与CAS3.5:简化登录流程与自定义Realm配置
本文档主要介绍了如何正确地将Apache Shiro框架与CAS (Central ...Shiro整合CAS3.5的关键在于定制`CasAuthenticationFilter`、配置 Realm 和正确处理认证流程。这样就可以实现安全的单点登录,简化用户的登录体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值