shiro-1、修改密码后原密码能登录,而新密码不可以登录

最新推荐文章于 2024-02-07 15:37:16 发布
最新推荐文章于 2024-02-07 15:37:16 发布
阅读量4.9k 收藏 11
点赞数 6
分类专栏: # shiro 文章标签: Java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38058332/article/details/83416208
版权

又看了一遍源码才找到问题,可能解决方法有点土,各位大神还望给点意见

shiro的logout登出,只是将放置PrincipalCollection这个集合置空,删除了session,但是没有清空缓存,所以当修改密码重新登录的时候,按照以下流程,调试模式,一步步走

controller中的

subject.login(token);

(下面均为shiro源码中的)

DelegatingSubject类

public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);//这个方法

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }

进入DefaultSecurityManager类

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);//这个方法
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
    }

AuthenticatingSecurityManager类

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

点进去authenticator 这个的构造

private Authenticator authenticator;

    /**
     * Default no-arg constructor that initializes its internal
     * <code>authenticator</code> instance to a
     * {@link org.apache.shiro.authc.pam.ModularRealmAuthenticator ModularRealmAuthenticator}.
     */
    public AuthenticatingSecurityManager() {
        super();
        this.authenticator = new ModularRealmAuthenticator();
    }

发现是在ModularRealmAuthenticator这个里面创建的

点开该类

 protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }

发现info是通过realm来获取的

重点来了

在这里的获取info时,会判断是否从缓存中取

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);//看这里
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

下面看一下从缓存中怎么取的

private AuthenticationInfo getCachedAuthenticationInfo(AuthenticationToken token) {
        AuthenticationInfo info = null;

        Cache<Object, AuthenticationInfo> cache = getAvailableAuthenticationCache();
        if (cache != null && token != null) {
            log.trace("Attempting to retrieve the AuthenticationInfo from cache.");
            Object key = getAuthenticationCacheKey(token);
            info = cache.get(key);
            if (info == null) {
                log.trace("No AuthorizationInfo found in cache for key [{}]", key);
            } else {
                log.trace("Found cached AuthorizationInfo for key [{}]", key);
            }
        }

        return info;
    }

从传递过来的token中获取key,这个key就是当前登录名

然后获取info,如果有这个实体,就不会再创建了

然后在这里会在缓存中查找info,这个时候里面存的是有数据的,也就是以前的密码和账号,所以就不会再新建,在执行验证的时候会验证以前的密码(注意;在认证的时候才会执行数据库查询,所以即使数据库密码已经修改也没有用)

解决办法:在shiro的缓存中将其清掉

目前解决办法,欢迎各位大神补充

另:从源码来看shiro

这个写个shiro的执行过程,比较详细

江流。
关注
专栏目录
JAVA修改密码然后登录,Java用户修改密码
weixin_32656107的博客
03-11 1017
每一个应用系统都离不开用户模块。用户模块除了提供登录之外,还允许用户查看自己的信息和进行修改。本实例将创建一个用户类,然后再创建一个测试类调用用户类,实现修改密码的功能。本实例的用户类非常简单,仅包含用户名和密码两个属性。public class Member {// 用户类private String username; // 用户名private String password; ...
shiro密码登录
n009ww的博客
07-18 1321
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
shiro修改用户密码
分享日常bug
05-12 455
个人理解做法 如果感觉有什么不对可以评论区提出来哈。
shiro 权限加密下的密码修改和缓存问题?
amd2015的博客
12-02 870
shiro 权限加密下的密码修改你会发现出现修改后只能用原先代码密码登录上 原因:缓存问题 好吧,这很容易想到 然而: 一开始我将ssm 中配置的缓存 清除 ,然而并没有什么用 <!--授权信息缓存--> <cache name="authorizationCache" maxEntriesLocal...
shiro-stormpath-example:ShiroStormpath 与登录密码重置的集成示例
06-08
Shiro Stormpath 示例 演示在使用 Shiro 作为安全框架的 Web 应用程序中使用 Stormpath 后端的应用程序。 配置 您必须拥有 Stormpath 帐户并创建了一个应用程序。 按照以下模板,在您的 Maven 用户设置中创建一个默认触发的 Maven 配置文件: <settings> ... <profiles> ... <profile> <id>user-default-profile</id> <activation> <property> <name>!not_user_default_profile</name> </property>
Springboot+Shiro 修改密码
菜鸟逆袭之路
03-13 3222
首先从前端说起,在修改密码的时候首先需要填写密码 我这里使用的是Jquery-Validate,主要看一下这里,把填写的密码传到后台进行check $("#changePasswordForm").validate({ rules : { oldWord : { remote : { ...
strust2+shiro实现认证授权管理(解决登录之后不能再次登录问题)
weixin_40717742的博客
12-23 525
两种解决方式:(实验可行,) 一、shiro的xml中配置了相关页面的访问权限 xml配置: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /&gt...
shiro认证缓存信息导致:修改用户信息后立刻重新登录仍然能登录问题
老照片
02-07 815
shiro认证缓存信息导致:修改用户信息后立刻重新登录仍然能登录问题
shiro-all jar
04-16
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。"shiro-all jar"是Shiro...使用Shiro,开发者可以快速地构建出具有安全性的应用程序,而无需深入理解底层的安全机制。
shiro-单用户登录.zip
09-06
- Shiro提供会话管理功能,可以监听会话创建、修改、销毁等事件,方便实现会话超时、跨域会话共享等功能。 - 使用sessionManager和sessionDAO来定制化会话存储和生命周期。 6. **过滤器链配置** - Shiro提供一...
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
使用Shiro实现登录成功后跳转到之前的页面
09-01
在Web应用程序中,一个常见的需求是确保用户登录后能够返回到他们尝试访问的原始页面,尤其是在他们因未登录或会话超时而被重定向到登录页面后。本文将探讨如何使用 Shiro 实现这一功能。 首先,有两种常见的实现...
shiro 修改验证
Tarzan的博客
02-06 4385
shiro 修改密码认证方式
Shiro+Springboot实现数据库用户密码为空值也能验证登录
qq_45059975的博客
09-28 1497
场景 一般用户是有密码的,有时候为了简便所以就给一些用户没设置密码了,导致数据库中他们那一批为null值,但此时我们又需要用Shiro验证登录, 思路 就是判断用户输入密码或者没输入密码用啥验证方式,如果没输入密码过来,我们就伪造一个假密码登录成功,实际上数据库并不存在那个假密码。 前期准备工作 首先你得先引入shiro的依赖, <dependency> <groupId>org.apache.shiro</groupId> <artifact
Shiro自定义realm实现密码验证及登录密码加密注册、修改密码的验证
weixin_30905981的博客
05-26 1697
Shiro自定义realm实现密码验证及登录密码加密注册、修改密码的验证 一:先从登录开始,直接看代码 @RequestMapping(value="dologin",method = {RequestMethod.GET, RequestMethod.POST},produces="text/html;charset=UTF-8") @ResponseB...
Shiro——安全框架、简述、示例(登录、新增、修改密码
Today_He的博客
11-15 469
轻量级灵活的安全框架,用于授权、加密、企业会话
easyui+ssm+shiro做的登录注册修改密码审核用户(四)
凌枫ozo的博客
06-15 508
easyui+ssm+shiro做的登录注册修改密码审核用户(四) 修改密码页面的具体实现步骤 修改密码:根据输入原账号和原密码来判断是否存在改用户,若存在,再输入新密码和确认密码,这两个要一致,下面还要有个返回登录页面的a标签 根据这张效果图,我们可以需要一个form表单用来传递参数,参数一共有两个,还有两个按钮 修改密码的form表单代码如下,前端通过ajax把name值传给后台 <div class="form-bottom" style="height:400px;">
在c#的GridView中使用邮件链接的方法.zip
最新发布
09-20
我们知道,在GridView中可以使用HyperLinkField生成一个超链接,但是这个超链接只能是普通的http的超链接, 如果想做一个邮件的链接(mailto:user@abc.com)似乎就不起作用了。通过模板列的方式实现
java使用shiro框架实现登录接口代码
03-29
Shiro框架是一个强大的安全框架,可以实现身份认证、授权和加密等功能。以下是一个使用Shiro框架实现登录接口的示例代码: ``` import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc....
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值