SpringBoot Shiro实现登录失败次数限制(三)

最新推荐文章于 2024-06-28 10:50:57 发布
最新推荐文章于 2024-06-28 10:50:57 发布
阅读量1.2k 收藏 1
点赞数
文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pukun888/article/details/109489234
版权

1. 修改CustomRealm.java中 doGetAuthenticationInfo 方法

之前我们会在里面进行密码的判断,现在我们把密码判断交给密码比较器

  /**
     * 登录查询
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException{

        //获取用户名
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        String userName = usernamePasswordToken.getUsername();

        SysUser sysUser = new SysUser();
        sysUser.setSysUserName(userName);
        List<SysUser> sysUserList = sysUserService.queryAll(sysUser);

        if(sysUserList.size() <= 0){
            throw new UnknownAccountException("用户名不存在!");
        }
        
        int userId = sysUserList.get(0).getSysUserId();
        String userStatus = sysUserList.get(0).getSysUserStatus();
        String userPassword = sysUserList.get(0).getSysUserPassword();

        if("1".equals(userStatus)){
            throw new LockedAccountException("用户已锁定,请联系管理员!");
        }

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userId,userPassword,getName());
        return simpleAuthenticationInfo;
    }

2. 新增RetryLimitHashedCredentialsMatcher.java

package com.pk.ass.config;

import com.pk.ass.entity.SysUser;
import com.pk.ass.service.SysUserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;
import java.util.concurrent.atomic.AtomicInteger;

public class RetryLimitHashedCredentialsMatcher extends SimpleCredentialsMatcher {
    private static final Logger logger = LoggerFactory.getLogger(RetryLimitHashedCredentialsMatcher.class);
    private final int ALLCOUNT = 5;

    @Autowired
    private SysUserService sysUserService;
    private Cache<String, AtomicInteger> passwordRetryCache;

    public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) {
        this.passwordRetryCache = cacheManager.getCache("passwordRetryCache");
    }

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        String userName = token.getPrincipal().toString();

        SysUser sysUser = new SysUser();
        sysUser.setSysUserName(userName);
        List<SysUser> sysUserList = sysUserService.queryAll(sysUser);
        sysUser = sysUserList.get(0);

        String userId = sysUser.getSysUserId().toString();

        //获取缓存中的登录次数
        AtomicInteger retryCount = passwordRetryCache.get(userId);

        // 用户没有登录过,将用户添加到缓存中
        if (retryCount == null) {
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(userId, retryCount);
        }

        // 登录次数大于5,锁定账号
        if (retryCount.incrementAndGet() > ALLCOUNT) {

            sysUser.setSysUserStatus("1");
            sysUserService.update(sysUser);
            logger.info("用户:{},锁定!", sysUser.getSysUserName());

            //抛出用户锁定异常
            throw new LockedAccountException("登录次数大于5次,已锁定账户,请联系管理员!");

        }

        // 判断用户账号和密码是否正确
        boolean matches = super.doCredentialsMatch(token, info);
        if (matches) {
            passwordRetryCache.remove(userId);
        } else {

            int surplusCount = ALLCOUNT - passwordRetryCache.get(userId).intValue();

            //抛出密码错误异常
             throw new IncorrectCredentialsException("密码错误,总登录次数"+ALLCOUNT+"次,剩余次数: " + surplusCount);

        }

        return matches;
    }
}

3. 在ShiroConfig.java增加

   /**
     * 配置密码比较器
     * @return
     */
    @Bean("credentialsMatcher")
    public RetryLimitHashedCredentialsMatcher retryLimitHashedCredentialsMatcher(){
        RetryLimitHashedCredentialsMatcher retryLimitHashedCredentialsMatcher = new RetryLimitHashedCredentialsMatcher(ehCacheManager());

        //如果密码加密,可以打开下面配置
        //加密算法的名称
        //retryLimitHashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //配置加密的次数
        //retryLimitHashedCredentialsMatcher.setHashIterations(1024);
        //是否存储为16进制
        //retryLimitHashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);

        return retryLimitHashedCredentialsMatcher;
    }

4. 在ShiroConfig.java的myShiroRealm方法中增加

//配置自定义密码比较器
customRealm.setCredentialsMatcher(retryLimitHashedCredentialsMatcher());

    //将自己的验证方式加入容器
    @Bean
    public CustomRealm myShiroRealm() {
        CustomRealm customRealm = new CustomRealm();
        customRealm.setCachingEnabled(true);

        //启用身份验证缓存,即缓存AuthenticationInfo信息,默认false
        customRealm.setAuthenticationCachingEnabled(true);

        //缓存AuthenticationInfo信息的缓存名称 在ehcache-shiro.xml中有对应缓存的配置
        customRealm.setAuthenticationCacheName("authenticationCache");

        //启用授权缓存,即缓存AuthorizationInfo信息,默认false
        customRealm.setAuthorizationCachingEnabled(true);

        //缓存AuthorizationInfo信息的缓存名称  在ehcache-shiro.xml中有对应缓存的配置
        customRealm.setAuthorizationCacheName("authorizationCache");

        //配置自定义密码比较器
        customRealm.setCredentialsMatcher(retryLimitHashedCredentialsMatcher());

        return customRealm;
    }

5. 在ehcache-shiro.xml中新增缓存区域

    <!-- 登录失败次数缓存
     注意 timeToLiveSeconds 设置为300秒 也就是5分钟
    -->
    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="0"
           timeToLiveSeconds="300"
           overflowToDisk="false"
           statistics="true">
    </cache>

6. 用户登录方法

    @RequestMapping("login")
    @ResponseBody
    public Object login(String userName,String password,boolean rememberMe){
        ResultEntity resultEntity = new ResultEntity();
        Subject subject = SecurityUtils.getSubject();
        password = password + userName;
        String md5Str = DigestUtils.md5DigestAsHex(DigestUtils.md5DigestAsHex(password.getBytes()).getBytes());
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userName,md5Str,rememberMe);
        try{
            subject.login(usernamePasswordToken);
        }catch (Exception e){
            resultEntity.setResult(false);
            resultEntity.setMessage(e.getMessage());
            return resultEntity;
        }

        resultEntity.setResult(true);
        resultEntity.setMessage("登录成功");
        return resultEntity;
    }

7. 验证页面

在这里插入图片描述
参考文章

王赛超 - springboot整合shiro-登录失败次数限制(八)
饭一碗 - 原子操作类AtomicInteger详解

减肥的大坤坤
关注
springboot整合shiro-登录失败次数限制
weixin_39654286的博客
01-04 7035
防止多次尝试,恶意暴力破解密码的情况出现,要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,Shiro中用户名密码的验证交给了CredentialsMatcher 所以在CredentialsMatcher里面检查,记录登录次数是最简单的做法。当登录失败次数达到限制,修改数据库中的状态字段,并返回前台错误信息。 RetryLimitHashedCredentialsMatcher配置:...
SpringBoot+shiro整合学习之登录认证和权限控制
qq_20954959的博客
02-13 8129
学习任务目标 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。 我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro的整合。需要的同学可以去我的码云下载。 导入shiro
shiro-登录失败次数限制.zip
09-06
shiro-登录尝试次数限制
项目实战--Spring Boot实现登录容错功能
最新发布
qq_40623672的博客
06-28 831
一、功能描述 项目设计要求输入次错误密码后,要求隔段时间才能继续进行登录操作,这里简单记录一下实现思路 二、设计方案 有几个问题需要考虑一下: 1.是只有输错密码才锁定,还是账户名和密码任何一个输错就锁定? 2.输错之后也不是完全冻结,为啥隔了几分钟又可以重新输了? 3.技术栈实现是否麻烦? 参考资料发现,SpringBoot+Redis+Lua脚本这套方案不错,也早有人使用,所以阔以来简单回答以上的问题 1.锁定的是IP(最好还能加上客户端的物理设备ID放于请求头中),不是输入的账户名或者密码,
SpringBoot整合Shiro-登录失败次数限制(八)
Doge的技术小屋
11-09 602
原文:https://blog.csdn.net/qq_34021712/article/details/80461177 这次讲讲如何限制用户登录尝试次数,防止坏人多次尝试,恶意暴力破解密码的情况出现,要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,Shiro中用户名密码的验证交给了CredentialsMatcher 所以在CredentialsMatcher里面检查,记录登录次数是最简单的做法。当登录失败次数达到限制,修改数据库中的状态字段,并返回前台错误信息。 因为之前的博客都是用的明文,
spring boot+shiro+ehcache 用户尝试登录错误次数
mywordandyourword的专栏
08-17 1770
本文主要实践用spring boot + shiro+ ehcache实现用户登录错误次数的判断,关于spring boot, shiro, ehcache的理论知识这里将不作为介绍,这些知识可以在它们的官网或其它博客上能够找到 。下面将进入正文: pom.xml 本文主要引用的jar如下: &lt;dependency&gt; &lt;groupId&gt;org.apache....
springboot进行登录次数限制
qq_39879340的博客
12-01 1325
springboot+vue设置登录次数和失效时间
springboot整合shiro登录失败次数限制功能的实现代码
08-27
主要介绍了springboot整合shiro-登录失败次数限制功能,实现此功能如果是防止坏人多次尝试,破解密码的情况,所以要限制用户登录尝试次数,需要的朋友可以参考下
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
实现登录失败次数限制时,我们需要使用 Shiro 框架提供的拦截器来判断用户的登录失败次数。当用户登录失败时,Shiro 框架将记录用户的登录失败次数,并在达到一定限制时禁止用户登录。 在实现密码加密时,我们...
ssm+shiro+redis 登录控制及重试次数超过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数超过5次后账号锁定一分钟不能登录
springboot + shiro 实现认证授权(快速上手详细教程)
Ian_1216的博客
10-15 983
本篇主要讲述springboot搭建以及shiro实现认证。 一、springboot项目的搭建 a:file -> new -> project
shiro 更新subject_SpringBoot+Shiro之简单的登陆(认证和授权--附带项目源码)
weixin_39877805的博客
11-25 290
原文地址:SpringBoot+Shiro之简单的登陆(认证和授权)​www.limuke.top项目下载地址:网站资源 | 理木客​www.limuke.topSpringBoot+mybatis模块1、实体类public class CLogin { private Integer id; private String username; private Stri...
springboot整合shiro实现登录认证是错误
aloneTK的博客
09-21 325
springboot整合shiro实现登录认证是错误 原代码 login.html <form class="form-signin" th:action="@{/tologin}"> <img class="mb-4" th:src="@{/img/bootstrap-solid.svg}" alt="" width="72" height="72"> <p th:text="${msg}" style="color: red"></p>
09.密码错误次数达到限制锁定账户(Spring、SpringMvc、Jpa、Shiro
Arvin0o的博客
03-11 2544
需求:当用户输入密码错误次数达到3次的时候,锁定账户 1.思路分析: 1.1.我们在何时可以得知用户输入密码错误? 1.2.如果记录用户密码错误次数? 1.3.如何实现账户锁定功能? 首先,我们获取用户密码错误,可以在登录的时候可以进行密码判定,即可得知密码错误与否;其次,关于记录密码错误次数,我先想到的,是直接加一个计数器在登录的Controller里面,但是很容易反应过来,就是当用户再次登录的...
14 Spring Boot Shiro限制登录尝试次数
weixin_30861459的博客
07-09 55
转载于:https://www.cnblogs.com/gzhbk/p/11160939.html
【架构设计】SpringBoot中使用Redis限制登录失败次数
秋装什么的博客
03-21 913
【架构设计】SpringBoot中使用Redis限制登录失败次数
ssm+shiro
mengyong1108的博客
08-16 373
shiro原理 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主体
shiro学习分享(二)——登陆次数限制,RemberMe功能以及验证码功能实现
madonghyu的博客
03-19 795
实现登陆次数限制,RemberMe功能以及验证码功能的整合 登陆次数限制 实现:通过重写HashedCredentialsMatcher这个类实现,并且使用Ehcache管理内存 实现类: public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher { private Ca...
SpringBoot+Shiro+ehcache实现登录失败次数锁定帐号
Java持续实践
02-26 4540
文章目录一 Shiro的执行流程二.Controller层接收登录请求.自定义的Realm四.密码验证器增加登录次数校验功能五.ShiroConfig的配置类六.EhCache 的配置七. 全局异常的配置 一 Shiro的执行流程 1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值