Shiro免密登录

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量1k 收藏 4
点赞数
分类专栏: Java 文章标签: shiro
原文链接:https://blog.csdn.net/xxfamly/article/details/92839999
版权

做的项目与第三方OA对接,需要将待办推送至OA形成xx系统待办,点击办理跳转回我们系统进行任务办理。我们项目使用SSM框架,认证使用shiro框架,外部无法获悉密码明文,导致验证不通过,直接跳转到了登录页面,所以采用免密登录的方式解决此问题。

1、创建登录类型枚举类

/**
 * @Type LoginType.java
 * @Desc
 * @author
 * @date 2020/05/29
 * @version
 */
public enum LoginType {
	PASSWORD("password"), NOPASSWORD("nopassword");
	private String code;


	private LoginType(String password) {
		this.code = code;
	}

	public String getCode(){
		return code;
	}
}

2、自定义CustomeToken,继承UsernamePasswordToken,通过构造方法区分密码登录和免密登录

/**
 * @Type CustomeToken.java
 * @Desc
 * @author 王宇飞
 * @date 2020/05/29
 * @version
 */
public class CustomeToken extends UsernamePasswordToken {

	private LoginType type;

	public CustomeToken(String userName, String password, LoginType type, boolean rememberMe, String host) {
		super(userName, password, rememberMe, host);
		this.type = type;
	}

	/**
	 * 免密登录构造方法
	 * @param userName
	 */
	public CustomeToken(String userName) {
		super(userName, "", false, null);
		this.type = LoginType.NOPASSWORD;
	}

	/**
	 * 用户名密码登录构造方法
	 * @param userName
	 * @param password
	 */
	public CustomeToken(String userName, String password) {
		super(userName, password, false, null);
		this.type = LoginType.PASSWORD;
	}

	public LoginType getType() {
		return type;
	}

	public void setType(LoginType type) {
		this.type = type;

	}
}

3、修改自定义ShiroDbRelam,这个类继承了AuthorizingRelam类。将UsernamePasswordToken token = (UsernamePasswordToken)authcToken;改为CustomeToken token = (CustomeToken) authcToken;

/**
     * Shiro登录认证(原理:用户提交 用户名和密码  --- shiro 封装令牌 ---- realm 通过用户名将密码查询返回 ---- shiro 自动去比较查询出密码和用户输入密码是否一致---- 进行登陆控制 )
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {
        LOGGER.info("Shiro开始登录认证");
		CustomeToken token = (CustomeToken) authcToken;
        Account accountVO = new Account();
        accountVO.setLoginName(token.getUsername());
        List<Account> list = accountService.selectByLoginName(accountVO);
        // 账号不存在
        if (CollectionUtils.isEmpty(list)) {
            return null;
        }
        Account account = list.get(0);
        // 账号未启用
        if (account.getStatus() == 1) {
            return null;
        }
        // 读取用户的url和角色
        Map<String, Set<String>> resourceMap = roleService.selectResourceMapByUserId(account.getId());
        Set<String> urls = resourceMap.get("urls");
        Set<String> roles = resourceMap.get("roles");
        ShiroUser shiroUser = new ShiroUser(account.getId(), account.getLoginName(), account.getName(), urls);
        shiroUser.setRoles(roles);
        // 认证缓存信息
        return new SimpleAuthenticationInfo(shiroUser, account.getPassword().toCharArray(), 
                ShiroByteSource.of(account.getSalt()), getName());
    }

4、自定义RetryLimitCredentialsMatcher类继承HashedCredentialsMatcher类,覆写其中的doCredentialsMatch方法,将token强转为自定义token,若loginType是免密登录,则直接返回true,否则执行父类比对。

@Override
	public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
		//增加免密登录功能,使用自定义token
		CustomeToken userToken = (CustomeToken) authcToken;
		//如果登录类型为免密登录,不需要校验密码
		if(LoginType.NOPASSWORD.equals(userToken.getType())){
			return true;
		}

		String username = (String) authcToken.getPrincipal();
		//retry count + 1
		AtomicInteger retryCount = passwordRetryCache.get(username);
		if(retryCount == null) {
			retryCount = new AtomicInteger(0);
			passwordRetryCache.put(username, retryCount);
		}
		if(retryCount.incrementAndGet() > 5) {
			//if retry count > 5 throw
			logger.warn("username: " + username + " tried to login more than 5 times in period");  
			throw new ExcessiveAttemptsException("用户名: " + username + " 密码连续输入错误超过5次,锁定半小时!"); 
		}

		boolean matches = super.doCredentialsMatch(authcToken, info);
		if(matches) {
			//clear retry data
			passwordRetryCache.remove(username);
		}
		return matches;
	}

5、LoginController调用
1)密码登录

Subject subject = SecurityUtils.getSubject();
CustomToken  token = new CustomToken(username,password);
subject.login(token);

2)免密登录

Subject subject = SecurityUtils.getSubject();
//增加免密登录功能,使用自定义token
CustomToken token = new CustomToken(username);
subject.login(token);

6、调整shiro配置文件

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
   <property name="cacheManagerConfigFile" value="classpath:ehcache/ehcache-shiro.xml"/>
</bean>
 
<bean id="credentialsMatcher"
    class="com.xxfamly.service.security.credentials.CustomCredentialsMatch">
    <constructor-arg ref="cacheManager" />
    <property name="hashAlgorithmName" value="md5" />
    <property name="hashIterations" value="3" />
    <property name="storedCredentialsHexEncoded" value="true" />
</bean>
    
<!-- Realm实现 -->
<bean id="userRealm" class="com.xxfamly.service.security.UserRealm">
     <property name="credentialsMatcher" ref="credentialsMatcher"/>
     <property name="cachingEnabled" value="false"/>
</bean>

到此为止,可以成功实现免密登录了。

monkey_2024
关注
专栏目录
shiro免密码登录
n009ww的博客
07-18 1321
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
SpringBoot+Shiro实现免密登录(多个realm)
wmy_0707的博客
06-09 1940
业务需求:因目前系统已经集成shiro根据用户名和密码加盐加密后校验用户登录信息功能的前提下需要集成第三方单点登陆功能。根据业务需求校验通过单点登陆后进入该项目的时候通过用户名实现免密登陆。 思路:原始已完成了用户名密码登陆功能,并自定义了AuthorizingRealm实现doGetAuthenticationInfo、doGetAuthorizationInfo登陆验证和授权功能。新的...
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增LoginType,登录类型枚举 5,修改ShiroConfig文件,即Shiro配置文件,主要关注:57,63,65-90行 原文链接:https://blog.csdn.net/zlxls/article/details/105455375
Shiro 实现免密登陆
Gblfy_Blog
10-22 3924
需求:对接第三方登陆,实现绕过原有Shiro认证登陆。 文章目录一、实现思路1. 现状分析2. 用户来源3. 所属范围二、实现方案2.1. 自定义登录认证规则2.2. Shiro认证枚举2.3. 密码和非密码登录2.4. 规则配置2.5. 自定义Realm2.6. 案例使用 一、实现思路 1. 现状分析 系统权框架默认使用Shiro 认证授权机制 2. 用户来源 从统一认证平台登录跳转过来的用户 3. 所属范围 登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录.
Shiro免密码登录
m0_67401153的博客
08-24 2774
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
SpringBoot Shiro免密登录
最新发布
07-28
在 Spring Boot 中使用 Shiro 实现免密登录的步骤如下: 1. 导入 Shiro 和 Spring Boot 的相关依赖。在 pom.xml 文件中添加以下依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-starter...
shiro实现免密登录 根据不同url跳转至不同登录页
mozun3的博客
07-11 2627
1.需求说明: 本次对接微信端,也可以是第三方系统接入,除了我们本身的系统登录之外,需要对微信端连接进行登录。用户绑定微信id,未绑定的需要登录并绑定,绑定过的则直接登录。登录依托shiro管理。主要问题是绑定过的如何进项shiro登录,从数据库查询出的用户密码是加盐过的。 2.思路一: 首先考虑到的是shiro登录成功后是如何记录用户已登录的,将查询的结果放到shiro的ses...
SSM框架下Shiro免密登录
Xu Jiaxin
08-23 1831
在做微信授权登陆的时候,由于使用shiro框架进行认证登陆,没有认证授权无法建立会话。 数据库中的密码经过md5加密,通过openid查询出账号密码也无法进行授权登陆,所以需要实现Shiro免密授权登陆功能,以防后续踩坑。 1.整体思路 自定义token,加入免密标识符,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsM...
免密码登录
01-26
不需要用户名和密码就可以登录,你信么?就是这种软件,很好用的,你也试试!?枚举
4.SpringBoot+Shiro免密登录
qq_27860623的博客
06-21 2213
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。二、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统免密登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
最简单的Shiro免密登陆(springboot)
yuer629
04-19 2496
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
shiro多realm配置免密码登陆
Mr_Wanter
12-06 2124
情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用免密码shiro验证,需要多加一个免密码验证的realm,并保证两个realm都可用。 Shiro.xml 1、安全管理器中添加authenticator认证策略配置 &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.Default...
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 1926
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
二、Shiro使用心得(完整样例)
weixin_30263277的博客
02-21 334
一、用户认证 1 Subject currentUser = SecurityUtils.getSubject(); 2 UsernamePasswordToken token = new UsernamePasswordToken(username, password.toCharArray()); 3 currentUser.login(token); 二、自定义Realm ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值