shiro第三方免密登录实现 使用框架(nutz)加shiro
首先描述下我应对的业务场景,项目需求希望用户在第三方系统中可以直接点击链接跳转到我这边的系统中(直接进入系统首页,不再登录)。
首先说下我的实现思路:
1:重新定义一个token类继承UsernamePasswordToken类,然后加入type属性(众所周知shiro是通过subject.login(token)来进行登录验证的,原始的UsernamePasswordToken已经不能满足的的需求只能继承后强壮这个类)
2:继承AuthorizingRealm类重写doGetAuthenticationInfo方法(在调用 subject.login(token)方法时会调用doGetAuthenticationInfo方法进行用户验证)
3:继承HashedCredentialsMatcher类重写doCredentialsMatch方法(此方法为验证用户名密码的方法,在重写的方法中判断我新增的属性,通过属性判断是不是免密登录)
4:更改shiro.ini中的配置,shiro默认走的是HashedCredentialsMatcher中的方法验证方法,我们将它改为走我自己定义类的方法。
5:运行成功
实现代码:
1、重新定义一个token类
在类中加入type属性,用type属性区分是不是免密用户登录
public class TypeToken extends UsernamePasswordToken {
private static final long serialVersionUID = 4676958151524148623L;
private String type; //判断是不是免密登录的标识
public String getType() {
return type;
}
public void setType(String type) {
this.type = type;
}
public TypeToken(String username, String password, boolean rememberMe, String host, String type) {
super(username, password, rememberMe, host);
this.type = type;
}
}
2、继承AuthorizingRealm类重写doGetAuthenticationInfo方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
CaptchaToken authcToken = (CaptchaToken) token;
String loginname = authcToken.getUsername();
Sys_user user = getUserService().fetch(Cnd.where("loginname", "=", loginname));//此为nutz框架查询的方法
if (Lang.isEmpty(user)) {
throw Lang.makeThrow(UnknownAccountException.class, "Account [ %s ] not found", loginname);
}//判断用户是否存在
if (user.isDisabled()) {
throw Lang.makeThrow(LockedAccountException.class, "Account [ %s ] is locked.", loginname);
}//判断用户是否被禁用
getUserService().fetchLinks(user, null);
getUserService().fillMenu(user);
SecurityUtils.getSubject().getSession(true).setAttribute("platformErrCount", 0);
SecurityUtils.getSubject().getSession(true).setAttribute("uid", user.getId());
SecurityUtils.getSubject().getSession(true).setAttribute("username", user.getUsername());
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
info.setCredentialsSalt(ByteSource.Util.bytes(user.getSalt()));//这里如果是免密登录传的值只是为了防止info报空指针异常
return info;
}
3、继承HashedCredentialsMatcher类重写doCredentialsMatch方法
这步非常的重要,在这里面判断type是非是你指定的值是则直接return true不再进行密码验证
public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher {
public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
CaptchaToken token = (CaptchaToken) authcToken;
if(token.getType()!=null) {
return true;
}
return super.doCredentialsMatch(token, info);
}
}
4、 更改shiro.ini中的配置
Matcher = com.zssi.app.web.MyHashedCredentialsMatcher
如果不知道怎么配置的可以参考这篇博客写的非常详细添加链接描述
5、运行成功
在免密登录中
CaptchaToken token = new CaptchaToken(username, "", false, host, null,"");
Subject subject = SecurityUtils.getSubject();
subject.login(token);
在非免密登录中
CaptchaToken token = new CaptchaToken(username, "", false, host, null,null);
Subject subject = SecurityUtils.getSubject();
subject.login(token);`
笔者通过的是type是否为null来判断是不是免密登录(第一次写博客如果有不清楚的评论去沟通)