【Shiro】Shiro登录验证失败问题

最新推荐文章于 2024-01-04 18:01:30 发布
最新推荐文章于 2024-01-04 18:01:30 发布
阅读量979 收藏 1
点赞数
分类专栏: java 文章标签: java mysql 开发语言 spring servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/segegefe/article/details/126553295
版权

shiro登录验证一直失败:

原因:

在用户注册时,采用如下加密方法:

/**
 * md5加密工具
 * @param var
 * 要加密的字符串
 * @param iterations
 * 加密次数
 * @return
 */
public static String encrypt(String var,int iterations){
    return new SimpleHash("md5",var,SALT.getBytes(),iterations).toHex();
}

在ShiroConfig中:

@Bean
public ShiroRealm shiroRealm() {
    ShiroRealm shiroRealm = new ShiroRealm();
    return shiroRealm;
}

/**
 * 加密
 *
 * @return
 */
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法
    hashedCredentialsMatcher.setHashIterations(2);//散列的次数
    return hashedCredentialsMatcher;
}

因为注册时存入数据库的是经过两次MD5加密的,但是在ShiroRealm中却未指定加密方法,导致UserPasswordToken是以明文存在的,所以需要在shiroRealm()中加上:

//设置加密方式
shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

同时必须保持入库时的加密方法和Shiro登录验证时的加密方法一致,包括加密次数、盐值也要一致。

修改hashedCredentialsMatcher()如下:

@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法
    hashedCredentialsMatcher.setHashIterations(2);//散列的次数
    hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);//转化为16进制(与入库时保持一致)
    return hashedCredentialsMatcher;
}

(注意:我这里采用固定盐值,实际上应该不同用户不同盐值,一般为用户id+固定字符串,盐值略)

总结:

在使用Shiro进行认证时,加密规则要和数据入库时保持一致,包括加密规则,加密次数,盐值,都要一致。

segegefe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证成功依然回到登陆页面的问题(亲测已解决)
m0_56414641的博客
07-19 3912
关于这个问题,网上查了很多方法,都说自己配置的successUrl会被覆盖.经我反复实验证实,并非是这样的,而是要分情况. 我先上结论吧(反复实验证实): 结论: 自己配置的successUrl一直生效,只是,如果successUrl配置的是一个页面地址,会因为没有访问权限而被重定向到前一个页面(一般是登陆页面),被误以为是被覆盖了;如果successUrl配置的是一个方法地址,我们可以通过这个方法重定向到站内任何资源(比如登陆成功之后的首页).(找到方法后,我作为初级程序猿,觉得其实还挺简单的,没找
shiro验证登录代码实例及问题解决
08-25
Shiro验证登录代码实例及问题解决 Shiro 是一个 Java security framework,它提供了许多有用的功能来帮助开发者保护应用程序的安全。Shiro验证登录是指在一个应用程序使用多种身份验证方式来验证用户身份。...
记录一次shiro验证密码时,输入正确密码仍然提示不正确的问题
大明明
12-11 3168
项目环境是springboot+shiro,具体配置不细说了。 前提:shiro加密使用md5,没有加盐。 问题场景:在测试时前端输入了密码A,数据库存放的是A加密后的B,所以我把A进行了一下加密A+作为参数传到了图一的位置,但是经过shiro比对仍然不正确,然后开始debug源码找问题,发现shiro会将密码A+又进行一次加密后再与B进行比对,所以图一处的传参不需要手动加密 图一注意点:...
shiro登陆失败提示_shiro登录错误信息并返回到登录页面显示
weixin_39922749的博客
12-22 1157
尝试使用shiro管理权限,写了一个简单的登录方法,@RequestMapping(value = "/signin")public String signin(HttpServletRequest request) throws Exception{String exceptionClassName = (String) request.getAttribute("shiroLoginFailu...
shiro ajax 验证码,关于Shiro登录验证码错误的问题
weixin_29210727的博客
08-06 533
1、doGetAuthenticationInfo和doGetAuthorizationInfo方法仍旧未被调用过?2、第一次访问http://127.0.0.1:8888/alumni/login/login,默认GET方式,跳转到WEB-INF\jsp\login\login.jsp的登录页面,输入用户名、密码和验证码后,通过ajax使用POST方式提交${ctx}/login/login,总...
shiro实现授权登陆验证
12-18
- 如果登录失败Shiro会抛出异常,我们可以捕获并处理这个异常,如返回错误信息。 - 登录成功后,用户会被自动记住(Remember Me)或登录状态保持(Session)。 4. **权限验证**: - Shiro提供了注解`@...
cas结合 springmvc shiro 单点登录
04-30
7. **异常处理**:在实际应用,需要对各种可能出现的异常情况进行处理,如网络错误、票据验证失败等,确保系统的稳定运行。 总之,这个项目为我们提供了一个使用CAS、SpringMVC和Shiro实现SSO的实例,对于理解和...
shiro管理多登录入口配置,手机端登录与网页端登录
12-20
在"shiro管理多登录入口配置,手机端登录与网页端登录"这个场景下,我们需要考虑如何为不同的登录入口(手机端和网页端)设置独立的验证流程。 首先,Shiro 的核心组件 Realm 负责与应用数据源交互,验证用户身份。...
shiro登录拦截校验demo
07-19
- Shiro会调用Realm获取并验证用户凭证,成功则登录成功,失败则抛出异常。 5. **权限拦截**: - Shiro Filter可以设定访问控制规则,如基于角色的访问控制(RBAC)。 - `isUserAuthenticated()`、`hasRole()`和...
shiro单独验证密码是否正确
愤怒的苹果ext的博客
02-21 1215
需求背景 在做用户修改密码时,有的要填写原密码验证一次,但是发现用了shiro的密码加密有点复杂,不好做单独的密码验证。在网上找了许久只找到了做登录验证。还好在shiro源码里找到有验证密码的,在此记录一下。 查看代码 shiro登录的代码一般是这样写的(这就是入口) UsernamePasswordToken token = new UsernamePasswordToken(user...
shiro身份认证失败:org.apache.shiro.authc.IncorrectCredentialsException
m0_67391521的博客
08-24 1536
所以不是身份认证的原因,归根到底是密码错的原因,经过多次验证,我很确定经过MD5加盐加密的密码没有错啊,那是能使格式错了,,,,,最近整个shiro项目的时候,发现一个小bug,在登录的时候,当用户名对,密码错的时候,本应提示用户名或密码错误的,但提示信息却是身份认证失败的异常信息,项目后台窗口报错。又经过多次尝试,发现token和info不一样,一个是32位的string形式的,一个是char的形式,然后我将密码先设置为char再转为string之后,终于成功了。
shiro 不管登录成功还是失败都出现这个bug
m0_67391907的博客
04-22 693
28 回复 package com.coracle.fast.service.impl.shiro; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.LockedAccountExcept
shiro简单的密码加盐与登录验证
wogoshu1的博客
07-27 2537
一、pom.xml配置 首先导入依赖,从guns项目的pom.xml拽出并把版本号替换成1.3.2 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</versi...
关于shiro登录失效后,onLoginFailure方法内抛异常并使用全局异常处理器捕获却失效
最新发布
qq_44705845的博客
01-04 555
AuthenticatingFilter最终继承的是 servlet 的 Filter 类, Filter 处理是在控制器之前的, 所以由 @ControllerAdvice注解的全局异常处理器无法捕获这里的异常(@ControllerAdvice是由spring 提供的增强控制器)。直接在onLoginFailure内设置响应状态值和结果就可以啦!
理解这9大内置过滤器,才算是精通Shiro
MarkerHub的博客
05-12 323
小Hub领读:权限框架一般都是一堆过滤器、拦截器的组合运用,在shiro,有多少个内置的过滤器你知道吗?在哪些场景用那些过滤器,这篇文章希望你能对shiro有个新的认识!别忘了,点个 ...
Spring boot+Shiro身份认证失败返回JSON,不跳转页面
江湖人称小程的博客
09-12 7120
文章目录前言步骤1、重写FormAuthenticationFilter2、注册自定义过滤器 前言 shiro在进行身份认证时,如果失败了,默认会跳转到Web工程根目录下的"/login.jsp"页面,如果在配置类配置了这句话: shiroFilterFactoryBean.setLoginUrl("/myLogin"); 认证失败后会跳转到setLoginUrl这个方法指定的路径。 这里说...
shiro框架的密码校验(二)
阿沐沐的博客
05-14 2886
前面的内容在这里 shiro框架简单介绍以及使用(一) 上一篇简单介绍了一下shiro框架和账号验证,这篇简单写一下shiro密码校验的介绍和几种使用方式 一、加密/加盐介绍 什么是加密?什么是加盐? 1.加密:加密是以某种特殊的算法改变原有的信息数据,这样的话即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。比如说电报,你监听到了发的电报,但是你不知道用的是那个密码本,一样无法知道电报内容是什么。 2.加盐:加盐是指将每口令同一个叫做”盐“值相关联,我们这里用于密码加盐,盐值一般都是随机
shiro验证用户名密码的内部流程
qq_27361945的博客
09-06 1024
1、com.atguigu.shiro.controller.MyController#userLogin(java.lang.String, java.lang.String, boolean, javax.servlet.http.HttpSession),携带参数token。6、org.apache.shiro.authc.pam.ModularRealmAuthenticator#doAuthenticate,传给下一级的参数有2个,分别是Realm对象和authenticationToken
shiro怎么实现登录验证
05-02
Shiro是一个用于身份验证、授权和会话管理的Java安全框架。它提供了一种简单而强大的方式来保护应用程序,同时保持易于理解和使用。 在Shiro,实现登录验证通常有以下几个步骤: 1. 配置Shiro安全管理器,包括Realm、Session管理器等组件。 2. 实现自定义Realm,Realm是Shiro进行身份验证和授权的核心组件。可以使用其的几个接口来实现认证和授权逻辑。 3. 在Realm实现认证逻辑,包括从数据库或其他数据源获取用户信息,并将其与用户输入的用户名和密码进行比较。 4. 在应用程序处理登录请求,并将用户输入的用户名和密码传递给Shiro,让其进行身份验证。 5. 根据身份验证结果,决定是否允许用户访问应用程序的资源。 以下是一个简单的示例代码,演示了如何使用Shiro进行基本的身份验证: ```java // 创建安全管理器 SecurityManager securityManager = new DefaultSecurityManager(); // 配置Realm Realm realm = new MyRealm(); // 自定义Realm ((DefaultSecurityManager) securityManager).setRealm(realm); // 将安全管理器绑定到当前线程 SecurityUtils.setSecurityManager(securityManager); // 处理登录请求 Subject currentUser = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("username", "password"); try { currentUser.login(token); // 身份验证成功 } catch (AuthenticationException e) { // 身份验证失败 } ``` 在这个示例,首先创建了一个安全管理器并配置了自定义的Realm。然后,处理登录请求时,使用Shiro提供的`Subject`对象来进行身份验证。`UsernamePasswordToken`表示用户输入的用户名和密码,将其传递给`Subject`的`login`方法,即可进行身份验证。 如果身份验证成功,可以在应用程序允许用户访问需要认证的资源。如果身份验证失败,则需要返回错误信息或者重新跳转到登录页面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值