shiro框架之扩展增加短信随机码认证

最新推荐文章于 2022-11-25 22:14:45 发布
最新推荐文章于 2022-11-25 22:14:45 发布
阅读量295 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38665235/article/details/103596856
版权

        闲暇功夫想起来2年前的一场面试,当时对shiro算是刚刚入门,大佬问道怎么在shiro基础上增加短信随机码认证?当时确实不知道在怎么做,今天给大家说下如何扩展shiro.

        默认大家对shiro的应用是熟悉的,我们直接看登录认证方法,前台收到用户名,密码后封装到UsernamePasswordToken中,然后调用Subject.login方法,将UsernamePasswordToken传入,经行验证

        原有的UsernamePasswordToken只有name  password remember host等字段,我们创建自定义的UsernamePasswordToken继承shiro的UsernamePasswordToken  增加一个密码类型 int passwdType 1为密码认证.0为随机码认证

public class UsernamePasswordToken extends org.apache.shiro.authc.UsernamePasswordToken {

    //密码类型  1为密码  0位随机码
    private int passwdTyppe;

    public int getPasswdTyppe() {
        return passwdTyppe;
    }

    public void setPasswdTyppe(int passwdTyppe) {
        this.passwdTyppe = passwdTyppe;
    }


    public UsernamePasswordToken(String username, String password,int passwdTyppe) {
        super(username,password);
        this.passwdTyppe=passwdTyppe;
    }


    public Object getPasswdCode() {
        return this.getPasswdTyppe();
    }
}

        此时再登录方法中直接将name password  passwdType 封装成我们自己的UsernamePasswordToken,在自定义realm的

doGetAuthenticationInfo发中稍作改造如下,采用aes加密
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        LOG.info("开始进行密码口令验证");
        //效验用户
        String userName= (String)authenticationToken.getPrincipal();
        UserToken user=shiroService.getUserTokenByUserName(userName);
        if(authenticationToken instanceof UsernamePasswordToken){
            int passwdTyppe = ((UsernamePasswordToken) authenticationToken).getPasswdTyppe();
            user.setPwdAuthType(passwdTyppe);
        }
        if(user==null){
            LOG.error("该{}用户不存在.禁止登陆",userName);
            throw new AuthenticationException("用户名或者密码错误");
        }
        if(user.getExpirationDate().getTime()<new Date().getTime()){
            throw new ExpiredCredentialsException("用户密码已经过期,请联系中国电信集团统一账号认证平台");
        }
        String plianPasswd =(String) authenticationToken.getCredentials();
        if(plianPasswd==null||plianPasswd.length()<1){
            LOG.error("该{}用户输入密码为空.禁止登陆",userName);
            throw new AuthenticationException("用户名或者密码错误");
        }
        //验证用户密码
        return new SimpleAuthenticationInfo(user, user.getPasswd(),getName());
    }

           由于我们还要将密码管理器进行改造.我们继承shiro的密码管理器SimpleCredentialsMatcher重写doCredentialsMatch

public class AesCredentialsMatcher extends SimpleCredentialsMatcher {

    private static final Logger log= LoggerFactory.getLogger(AesCredentialsMatcher.class);

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken passwordToken = (UsernamePasswordToken) token;
        String plainPasswd = String.valueOf(passwordToken.getPassword());
        int pwdAuthType = passwordToken.getPasswdTyppe();
        //如果是AES则进行加密验证
        if(pwdAuthType==1){
            return  AESUtil.getInstance().validatePassword(plainPasswd, String.valueOf(getCredentials(info)));
        }else {
            log.warn("========进行随机码认证,对应随机码为:{},传过来得随机码:{}",
                    CacheUtil.getInstanceCache(CacheGroupIdCode.GROUPID_APP_RANDOM)
                    .get((String)passwordToken.getPrincipal()),plainPasswd);
            //如果是随机码则直接从缓存中获取进行对比
            return CacheUtil.getInstanceCache(CacheGroupIdCode.GROUPID_APP_RANDOM)
                    .get((String)passwordToken.getPrincipal()).equals(plainPasswd);
        }
    }
}

            此时运行发现直接报  ClassCastException转型异常了,我们虽然继承了shiro的UsernamepasswordToken,并没有去实例化它,这才是引起问题的根源,问题发现了要如何解决它呢?我们在配置的使用并并未制定表单过滤器,此时默认使用的是FormAuthenticationFilter,而Token默认使用的也是UsernamePasswordToken,于是我们打开FormAuthenticationFiter源码,找到它的所有方法发现其父类AuthenticatingFilter中有有createToken方法如下:

打开次方法的源码如图:

protected AuthenticationToken createToken(String username, String password, boolean rememberMe, String host) {
        return new UsernamePasswordToken(username, password, rememberMe, host);
    }

终于找到了,就在这里实例化的UsernamePasswordToken.我们只有重写此方法了,创建自己的LoginAuthenticationFilter去继承FormAuthenticationFilter

public class LoginAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected AuthenticationToken createToken(String username, String password,ServletRequest request, ServletResponse response) {
        return new UsernamePasswordToken(username,password,Integer.valueOf(request.getParameter("passwdTyppe")));
    }
}

      将我么自定义的过滤器交给shiro过滤器的FactoryBean管理.在启动,我们前台传入密码类型为短信随机码,此时可以正常认证通过了.至此我们shiro扩展短信随机码认证成功了.

      shiro的默认过滤器有11个之多.我们今天利用的是其中的一个,后续给大家讲解其他过滤器的作用,有错误之处还望指正

Lv_Jin_Gang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用shiro完成短信验证码登录
weixin_33871366的博客
08-06 2472
过了4个月才写第二篇,相当之懒。项目里需要做一个短信验证码的登录,这里使用了shiro。 1.首先是subject:与服务器交互的主体就是subject(用户),获得subject的方式 Subject subject = SecurityUtils.getSubject(); 可以在项目的任何地方使用。 2.User...
【笔记】shiro中的验证码设置:
lans_sl的博客
05-19 787
1. login.jsp中的表单增加验证码image.jsp 2. 编写新的登录管理规则类DefaultFormAuthenticationFilter继承FormAuthenticationFilter类,覆写其中的onAccessDenied()方法 4. 修改spring-shiro.xml文件,修改内置的登录过滤器为自己编写的DefaultFormAuthenticationFilte
java 图形验证码(类似淘宝风格)
u010942834的博客
09-14 1778
不多说直接正题 首先:生成图形验证码的工具类 package com.platform.util.extend; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.Graphics2D; import java.awt.RenderingHint
shiro 账号密码和手机短信登入,重写realm
mo念的博客
09-18 1056
用户名密码使用的token自然是UsernamePasswordToken,我们可以参考UsernamePasswordToken,自定义PhoneToken,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是PhoneToken。 自定义Token: public class PhoneToken implements HostAuthenticationToken, RememberMeAuthenticationToken, Seri
SpringBoot2.0 整合 Shiro+JWT+Redis 实现图形、短信验证码登陆
m0_67394360的博客
04-08 1185
这里使用到了Redis来实现JWT的过期刷新,话不多说,具体的实现代码如下 1.自定义AuthenticationToken类 public final class JwtToken implements AuthenticationToken { private static final long serialVersionUID = 1L; private String jwttoken; public JwtToken(String jwttoken) { super(); thi..
学习shiro中的加密程序
04-05
5. **消息认证码(MAC)**:Shiro的`org.apache.shiro.crypto.mac.MacService`可以生成MAC值,用于验证数据完整性。MAC结合了密钥和数据,可以检测数据是否被篡改。 6. **随机数生成**:Shiro的`org.apache.shiro....
springboot+shiro.rar
10-07
Shiro框架则专注于应用程序的安全性。它提供了简单的API来实现用户认证验证用户身份)和授权(定义用户访问权限)。Shiro支持多种认证策略,如RememberMe(记住我)功能,允许用户在一段时间内免登录访问。授权...
shiro源码分析(六)CredentialsMatcher 的案例分析
08-08
4. **散列与盐值**:`HashedCredentialsMatcher`是Shiro中常用的一个实现,它使用散列算法(如MD5、SHA-1等)处理密码,并可添加随机的盐值以增加安全性。散列使得原始密码不可逆,而盐值可以防止彩虹表攻击。 5. *...
java在线考试系统源码 学生教师用.zip
06-24
5. **安全机制**:为了保护系统和用户数据的安全,源码可能实现了用户认证与授权,例如使用Spring Security或Apache Shiro框架。同时,密码可能经过加密存储,防止数据泄露。 6. **前端技术**:前端界面可能使用...
javaC语言试题生成与考试系统.zip
最新发布
03-26
- **登录验证**:使用Java的Spring Security或Apache Shiro进行用户认证,确保考试安全。 - **考试界面**:展示试题并接收用户答案,可以实时计算得分。 - **时间管理**:设置考试时间限制,到时自动提交试卷。 ...
SpringBoot+Shiro登录验证码制作
12-21
用户登录常常要做防机器验证,所以使用到了随机验证码,防止机器刷 1.直接java内部自带的就行啦,也不需要用外部生成的api 生成验证码的工具类的写法: import javax.imageio.ImageIO; import java.awt.*; import java.awt.image.BufferedImage; import java.io.*; import java.util.Random; /** * @author lrx * @description: TODO 验证码生成工具类 * @date 2020/4/24 14:51 */ public class C
shiro随机二
weixin_30788239的博客
11-20 75
shiro读取数据库 1pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.4</version>...
SSM框架shiro验证码登录
开源世界
04-19 719
所谓的验证码登录也就是 验证码正确之后利用shiro的免密登录啦 验证码的验证:发送短信的时候,把验证码信息放到缓存里(key为sessionid),表单提交过来的时候,从缓存里拿出来比较就好。 接下来就是shiro 的免密登录:http://github.crmeb.net/u/defu 1、思路 自定义token,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其中的doCredentialsMatch,将其中的to
登录随机验证
weixin_34313182的博客
06-20 265
python代码 import random # Image:用来生成图片 ImageDraw:用来在图片上"写字" ImageFont:字体样式 from PIL import Image, ImageDraw, ImageFont # BytesIO能保存数据,并且在取数据时会以二进形式返回, StingIO在取数据时会以字符串形式返回 from io import ...
springboot 使用shiro集成阿里云短信验证
tang_seven的博客
11-25 1361
基于springboot,使用shiro多个realm的方法,集成阿里云的sms短息验证码服务,使用手机短信验证验证
spring boot 2.x + shiro + redis实现前后端分离的项目
热门推荐
zhourenfei17的专栏
10-30 1万+
简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 demo地址在最下方给出。 本文主要实现shiro的以下几个功能: 1.当用户没有登陆时只能访问登录接口,访问其他接口会返回无效的授权码   2.当用户...
Shiro免密登录
xxfamly的博客
06-21 1万+
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
若依框架-Shiro验证码校验过滤器源码分析
qq_31856061的博客
08-09 2299
在将公司一个管理平台项目迁移到若依框架时,发现了其登录接口只接收 username 和 password 两个参数,并无验证码。查看源码发现 shiro 单独用了个过滤器处理验证码。
若依登录自定义扩展Springboot+security支持密码、验证码多种登录方式
liangshitian的博客
12-04 7210
若依开源框架登录使用的配置大部分都是security自定义的,目前希望在此框架基础上支持自定义的登录,如手机号+密码登录认证手机号+短信验证认证。 1、自定义登录实现思路 主要是实现继承DaoAuthenticationProvider类,重写additionalAuthenticationChecks方法,将通过密码标识来判断是不是需要验证密码和免密验证。 2、继承DaoAuthenticationProvider package com.tuitui.framework.security.
Shiro框架认证与授权详解
在软件开发中,权限管理和认证是至关重要的环节,Apache Shiro框架提供了一种简洁而强大的解决方案。本文将深入探讨Shiro框架中的核心组件以及认证过程,帮助理解如何实现用户权限的分配与授权。 首先,Shiro框架的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值