springMVC结合Shiro实现登录失败次数过多锁定账户功能

最新推荐文章于 2022-10-28 11:08:42 发布
最新推荐文章于 2022-10-28 11:08:42 发布
阅读量2.5k 收藏
点赞数 2
分类专栏: java shiro 文章标签: shiro 账户锁定 登录次数限制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43796976/article/details/100580881
版权
java 同时被 2 个专栏收录
14 篇文章 1 订阅
订阅专栏
shiro
5 篇文章 0 订阅
订阅专栏

  • 本文主要记录了自己遇到了一些坑,以及需要注意的细节
    主要部分源码点我
    提取码:jwvx

  • 前言
    添加依赖等等其他人的教程里都有,就不浪费时间解释了;

  • application-shiro.xml 配置文件

<?xml version="1.0" encoding="UTF-8"?> 

<description>Shiro安全配置</description>

<!--安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--设置自定义Realm-->
    <property name="realm" ref="shiroDbRealm"/>
    <property name="sessionManager" ref="sessionManager"/>
    <!--将缓存管理器,交给安全管理器-->
    <property name="cacheManager" ref="shiroEhcacheManager"/>
</bean>

<!--session管理器-->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="globalSessionTimeout" value="1800000"/>
    <property name="deleteInvalidSessions" value="true"/>
    <property name="sessionDAO" ref="sessionDAO"/>
    <property name="sessionIdCookieEnabled" value="true"/>
    <property name="sessionIdCookie" ref="sessionIdCookie"/>
    <property name="sessionValidationSchedulerEnabled" value="true"/>
    <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
    <property name="cacheManager" ref="shiroEhcacheManager"/>
</bean>

<!-- Shiro Filter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- 安全管理器 -->
    <property name="securityManager" ref="securityManager"/>
    <!-- 默认的登陆访问url -->
    <property name="loginUrl" value="/login"/>
    <!-- 登陆成功后跳转的url -->
    <property name="successUrl" value="/index"/>
    <!-- 没有权限跳转的url -->
    <property name="unauthorizedUrl" value="/unauth"/>
    <property name="filterChainDefinitions">
        <value>
            /commons/** = anon <!-- 不需要认证 -->
            /static/** = anon
            /fast/aliPay/** = anon
            /login = anon
            /dictionary/listValidItems = anon
            /FileDown/download = anon
            /FileDown/downloadPdf = anon
            /tokenLogin = anon
            /bulletinsShow/** = anon
            /aliPay/** = anon
            /api/**/** = anon
            /ebid/ticketLogin/** = anon
            /swagger-ui.html = anon
            /webjars/** = anon
            /fast/project/projectList = anon
            /fast/project/result = anon
            /configuration/listItems = anon
            /configuration/findItemByCode = anon
            /acquireLoginId = anon
            /open/** = anon
            /** = authc <!-- 需要认证 -->
        </value>
    </property>
</bean>

<!--登录失败次数限制start-->
<!-- 用户授权信息Cache, 采用EhCache -->
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
</bean>
<!--凭证匹配器   ehcache记录登录失败次数-->
<!--数据库中存储到的md5的散列值,在realm中需要设置数据库中的散列值它使用散列算法 及散列次数,让shiro进行散列对比时和原始数据库中的散列值使用的算法 一致。-->
<!--storedCredentialsHexEncoded表示是否存储散列后的密码为16 进制,默认是base64 -->
<bean id="credentialsMatcher" class="com.sgo.core.shiro.RetryLimitCredentialsMatcher">
    <constructor-arg ref="shiroEhcacheManager"/>
    <property name="hashAlgorithmName" value="md5"/>
    <!--这里可能会有人出现问题,原因是加解密规则不一致,看个人环境配置了-->
    <property name="hashIterations" value="1"/>
    <!--<property name="storedCredentialsHexEncoded" value="true"/>-->
</bean>
<bean id="shiroDbRealm" class="com.sgo.core.shiro.ShiroDbRealm">
    <property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>
<!--登录失败次数限制end-->

<!-- 在方法中 注入  securityManager ,进行代理控制 -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager"/>
</bean>

<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!-- AOP式方法级权限检查  -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor"/>

<!-- 启用shrio授权注解拦截方式 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>
  • ehcache-shiro.xml 配置文件
<?xml version="1.0" encoding="UTF-8"?>
<ehcache updateCheck="false" name="shiroOracleCache">

    <diskStore path="java.io.tmpdir"/>

    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="false"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
    />
    <!-- 登录记录缓存 锁定1分钟 -->
    <!--statistics开启统计信息-->
    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="20000"
           eternal="false"
           timeToIdleSeconds="60"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
</ehcache>
  • 主要代码就这些,详见源码
码码迷鸭
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringMVC配置错误页后, Shiro报错No SecurityManager accessible to the calling code...
Excaliburace的博客
09-27 6800
Root Cause:org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton.
springmvc+shiro 实现安全登录的demo
09-17
实现shiro安全登录,包括密码加密匹配和登录失败次数限制功能
ssm+shiro+redis 登录控制及重试次数超过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数超过5次后账号锁定一分钟不能登录
SpringBoot+Shiro+ehcache实现登录失败次数锁定帐号
Gblfy_Blog
12-07 994
文章目录二、Controller层接收登录请求三、自定义的Realm四、密码验证器增加登录次数校验功能五、ShiroConfig的配置类六、EhCache 的配置七、全局异常的配置 ####### 一、 Shiro的执行流程 1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shiro权限控制核心对象,在编程时,只需要操作Subject方法,底层调用SecurityManager方法,无需直接编程操
Shiro应用:笔记
pan_junbiao的博客
05-17 365
1、获取当前登录人信息 2、登录验证的异常列表 3、登出操作 4、全局异常中捕获Shiro无权限异常 5、授权的注解 6、判断是否登录 1、获取当前登录人信息 //获取当前登录人 User currentUser = (User) SecurityUtils.getSubject().getPrincipal(); 2、登录验证的异常列表 /** * 登录操作 */ @RequestMapping("/login") public String login(String..
Shiro笔记(四)Shiro的realm认证
weixin_30549175的博客
09-02 164
认证流程: 1.获取当前Subject.调用SecurityUtils.getSubject(); 2.测试当前用户是否已经被认证,即是否已经登录,调用Subject的isAurhenticated(); 3.若没有认证,则把用户名和密码封装成UsernamePasswordToken对象. 对于B/S应用程序来说,一般用户名和密码是在前台表单中获得的: 1.创建一个表单页面. 2.把请求提交到...
SpringBoot学习小结之权限控制Shiro
十十办文武的博客
06-12 1093
Shiro是 Apache下一个功能强大、灵活的轻量级java开源安全框架,可用来实现用户身份验证、权限授权、session管理和密码加密等功能。下图是Shiro的重点主要概念支持功能身份验证和授权功能具有可插拔性和灵活性,方便开发人员自定义自己的角色权限规则shiro和Spring Security对比 1.2 实体类 2.3 Dao 2.4 Controller 2.5 配置 web配置 Shiro配置 全局异常处理 2.6 Realm 2.7 自定义注解LoginUse
基于SpringMVC的用户三次登录失败案例
12-05
基于SpringMVC的用户三次登录失败案例,用户连续三次登录失败后,只有等24小时之后才可以登录。本案例为了演示,设置时间为2分钟,可以自行修改...
Shiro密码重试次数限制
码农博士的博客
05-10 3476
如在 1 个小时内密码最多重试 5 次,如果尝试次数超过 5 次就锁定 1 小时,1 小时后可再次重试,如果还是重试失败,可以锁定如 1 天,以此类推,防止密码被暴力破解。我们通过继承 HashedCredentialsMatcher,且使用 Ehcache 记录重试次数和超时时间。public boolean doCredentialsMatch(AuthenticationToken toke
Shiro】6、Shiro实现限制密码错误次数从而限制用户登录
热门推荐
Asurplus
05-22 20万+
我们的系统非常容易遭受攻击,被人暴力破解等,我们需要对同一账户密码错误次数进行统计,达到上限后,需要在一段时间内限制该用户登录,从而有效地保护账户密码的安全 1、重试限制散列凭据匹配器 package com.asurplus.common.shiro; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.
shiro用户登录密码错误超过次数,冻结账号30分钟
oos5fg的博客
10-28 751
shiro用户登录密码错误超过次数,冻结账号30分钟,可以根据个人需求更改
cas结合 springmvc shiro 单点登录
04-30
cas 结合 springmvc shiro 做项目单点登录包括cas服务端,cas客户端。shiro-cas集成项目
springmvc集成shiro登录权限示例代码
08-31
本篇文章主要介绍了springmvc集成shiro登录权限示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
Shiro安全框架, 实现系统的单点登陆和登出功能, 包含数据库文件
springmvc+shiro+maven 实现登录认证与权限授权管理
08-29
Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权,下面通过实例代码给大家分享springmvc+shiro+maven 实现登录认证与权限授权管理,感兴趣的朋友一起看看吧
@RequestMapping没有指定method属性时默认的请求方式
wing的博客
10-10 1万+
@RequestMapping中method的默认值是什么? @RequestMapping没有指定method属性? 如果不配置method, 则以任何请求形式 如: RequestMethod.GET, RequestMethod.POST, RequestMethod.PUT, RequestMethod.PATCH, RequestMethod.DELETE都可以访问得到。 ...
关于两个字符串输出一样,用equals比较却是false的原因
wing的博客
09-19 3183
1. 考虑资源文件的编码和程序文件的编码是否一样,不一样可能会出现不可见字符,把资源文件也设置成utf-8编码后就好啦; 参考: String v1 = "1-2"; String v2 = "1-2"; v1 = new String(v1.getBytes("ISO-8859-1"),"UTF-8"); v2 = new String(v2.getBytes("ISO-8859-1"),"UT...
关于ehcache缓存中eternal及timeToLiveSeconds和timeToIdleSeconds的说明
wing的博客
12-02 1791
今天发现开发项目启动时有警告提示:cache ‘xx’ is set to eternal but also has TTL/TTI set,发现是ehcache缓存设置冲突 所以决定在此mark一下,加深记忆,具体如下: timeToLiveSeconds : 缓存自创建之时起至失效时的间隔时间单位为秒,默认为0,代表无限长,即缓存永不过期; timeToIdleSeconds : 缓存创建以后...
springmvc的restful实现登录功能
最新发布
11-03
为了实现SpringMVC的RESTful登录功能,可以按照以下步骤进行操作: 1.创建一个控制器类,使用@RestController注解标记该类,以便将其识别为RESTful控制器。 2.在控制器类中创建一个处理登录请求的方法,使用@PostMapping注解标记该方法,并指定请求路径。 3.在处理登录请求的方法中,使用@RequestBody注解标记一个用户对象参数,该对象包含从前端传递过来的用户名和密码。 4.在方法中,使用Spring Security框架提供的AuthenticationManager.authenticate()方法对用户进行身份验证。 5.如果身份验证成功,则使用JWT(JSON Web Token)生成一个令牌,并将其返回给前端。 6.前端在后续的请求中将该令牌作为Authorization头的值发送给服务器,以便进行身份验证。 7.在其他需要进行身份验证的方法中,使用@RequestHeader注解标记Authorization头,并使用JWT解析器对令牌进行解析和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值