欢迎使用CSDN-markdown编辑器

最新推荐文章于 2022-04-08 11:08:01 发布
最新推荐文章于 2022-04-08 11:08:01 发布
阅读量271 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013628442/article/details/77183187
版权

利用shiro实现密码错误锁定账户功能

使用场景

用户多次输入密码错误,系统应给出密码错误提示和当前错误次数,并且提示密码剩余输入次数,当密码错误次数达到指定最大次数时,该账户将被锁定

shiro身份认证流程

如果简单了解过shiro身份认证的一些基本概念,都应该明白shiro的身份认证的流程,大致是这样的:当我们调用subject.login(token)的时候,首先这次身份认证会委托给Security Manager,而Security Manager又会委托给Authenticator,接着Authenticator会把传过来的token再交给我们自己注入的Realm进行数据匹配从而完成整个认证。如果不太了解这个流程建议再仔细读一下官方提供的Authentication说明文档:
http://shiro.apache.org/authentication.html

上面提到了我们自己注入的realm会对用户名密码进行匹配,而在我们的adp框架中ShiroDbRealm类就是我们自己注入的realm,具体实现如下

public class ShiroDbRealm extends AuthorizingRealm{
    //...
}

可以看出该类继承自AuthorizingRealm,打开AuthorizingRealm源码可对其初始化对象一目了然

/*-------------------------------------------
    |         C O N S T R U C T O R S           |
    ============================================*/
    public AuthenticatingRealm() {
        this(null, new SimpleCredentialsMatcher());
    }

    public AuthenticatingRealm(CacheManager cacheManager) {
        this(cacheManager, new SimpleCredentialsMatcher());
    }

    public AuthenticatingRealm(CredentialsMatcher matcher) {
        this(null, matcher);
    }

    public AuthenticatingRealm(CacheManager cacheManager, CredentialsMatcher matcher) {
        authenticationTokenClass = UsernamePasswordToken.class;

        //retain backwards compatibility for Shiro 1.1 and earlier.  Setting to true by default will probably cause
        //unexpected results for existing applications:
        this.authenticationCachingEnabled = false;

        int instanceNumber = INSTANCE_COUNT.getAndIncrement();
        this.authenticationCacheName = getClass().getName() + DEFAULT_AUTHORIZATION_CACHE_SUFFIX;
        if (instanceNumber > 0) {
            this.authenticationCacheName = this.authenticationCacheName + "." + instanceNumber;
        }

        if (cacheManager != null) {
            setCacheManager(cacheManager);
        }
        if (matcher != null) {
            setCredentialsMatcher(matcher);
        }
    }



 ```
 >可以看到AuthenticatingRealm对象构造器里面有一个CredentialsMatcher的对象,没错这就是密码匹配器

  ```java
  /**
       * Credentials matcher used to determine if the provided credentials match the credentials stored in the data store.
       */
      private CredentialsMatcher credentialsMatcher;
   ```

 >通过类图可以看出HashedCredentialsMatcher类为CredentialsMatcher接口的最终实现类,要更改密码匹配规则只需重写该类即可

   ![类图](image/liucheng.png "类图")  



> ## 重写HashedCredentialsMatcher实现自定义密码匹配   

 > ## 密码次数验证规则 

 >当用户进行登录时,如果密码输入错误,会将改用户唯一标识(登录名)以key的形式存入缓存中,并且以value的形式存入登录错误次数,根据缓存中登录错误次数对账户进行提示或者锁定.

 > ### 1.配置密码缓存 

 > 这里采用Ehcache缓存,并且将缓存加入shiro默认的缓存管理器中

```xml
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:shiro/ehcache-shiro.xml" />
    </bean>
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
            <property name="realms">
                <list>
                    <ref bean="shiroDbRealm" />
                </list>
            </property>
            <property name="cacheManager" ref="shiroEhcacheManager" />
        </bean>





<div class="se-preview-section-delimiter"></div>

在ehcache-shiro.xml中添加密码缓存对象,该缓存存活时间为10分钟,对应账户锁定时间

<!-- 登录记录缓存 锁定10分钟 -->
    <cache name="passwordRetryCache_admp"
           maxEntriesLocalHeap="20000"
           eternal="false"
           timeToIdleSeconds="600"
           timeToLiveSeconds="600"
           overflowToDisk="false"
           statistics="false">
    </cache>




<div class="se-preview-section-delimiter"></div>

2.编写类实现

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import java.util.concurrent.atomic.AtomicInteger;

/**
 * 自定义密码匹配规则
 * 
 */
@Component
public class RetryLimitCredentialsMatcher extends HashedCredentialsMatcher {
    private Cache<String, AtomicInteger> passwordRetryCache;
    //依赖注入缓存管理器
    @Autowired
    private EhCacheManager shiroEhcacheManager;
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        //获取密码错误次数缓存对象
        passwordRetryCache = shiroEhcacheManager.getCache("passwordRetryCache_admp");
        //获取密码错误次数缓存对象存活时间
        Long lockTime = shiroEhcacheManager.getCacheManager().getCache("passwordRetryCache_admp").getCacheConfiguration().getTimeToLiveSeconds();
        //获取登录名
        String username = (String) token.getPrincipal();
        //使用AtomicInteger,该对象为线程安全对象
        AtomicInteger retryCount = passwordRetryCache.get(username);
        if (null == retryCount) {
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(username, retryCount);
        }
        //自增之后的值和最大密码错误次数对比,最大错误次数5次
        if (retryCount.incrementAndGet() == 5) {
            throw new LockedAccountException("账户被锁定,请于" + lockTime / 60 + "分后重新登录");
        }
        if (retryCount.get() > 5) {
            throw new LockedAccountException("账户被锁定");
        }
        boolean matches = super.doCredentialsMatch(token, info);
        //密码比对成功清除该用户密码错误次数缓存
        if (matches) {
            //clear retry data
            passwordRetryCache.remove(username);
        } else {
            if (5 - retryCount.get() <= 3) {
                throw new ExcessiveAttemptsException("用户名或密码错误,剩余" + (5 - retryCount.get()) + "次");
            }
            throw new ExcessiveAttemptsException("用户名或密码错误");
        }
        //返回结果为true表示验证通过
        return matches;
    }
}




<div class="se-preview-section-delimiter"></div>

3.编写配置文件

将该类注入到shiro的自定义realm中,并且定义加密规则

<!--自定义密码匹配器-->
    <bean id="retryLimitCredentialsMatcher" class="com.hongguaninfo.hgdf.adp.shiro.RetryLimitCredentialsMatcher">
        <property name="hashAlgorithmName" value="SHA-1"></property>
        <property name="hashIterations" value="1024"></property>
    </bean>
    <!-- 項目自定义的Realm -->
    <bean id="shiroDbRealm" class="com.hongguaninfo.hgdf.adp.shiro.ShiroDbRealm">
        <property name="credentialsMatcher" ref="retryLimitCredentialsMatcher"></property>
    </bean>




<div class="se-preview-section-delimiter"></div>

最后将shiroDbRealm加入securityManager中

<!-- Shiro's main business-tier object for web-enabled applications -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="shiroDbRealm" />
            </list>
        </property>
        <property name="cacheManager" ref="shiroEhcacheManager" />
    </bean>

整个流程编写完毕

自行优化代码

当用户进行登录时会进入shiroDbRealm中通过查询数据库对用户名密码进行验证,这时候我们可以在查询数据库之前通过查询密码错误次数缓存对象对用户账户是否锁定进行判断,防止重复查询数据库

“`java
@Autowired
private EhCacheManager shiroEhcacheManager;

/**
 * 认证回调函数, 登录时调用.
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
    UsernamePasswordCaptchaToken token = (UsernamePasswordCaptchaToken) authcToken;
    Cache passwordRetryCache = shiroEhcacheManager.getCache("passwordRetryCache_admp");
    AtomicInteger retryCount = (AtomicInteger) passwordRetryCache.get(username);
    if (null != retryCount && retryCount.get() > 5) {
        throw new LockedAccountException("账户被锁定");
    }

    AdMamUser user = accountService.findUserByLoginName(username);
    if (null == user) {
        throw new UnknownAccountException("用户名错误.");
    }

    byte[] salt = new String(user.getLoginName()).getBytes();
    return new SimpleAuthenticationInfo(new ShiroUser(user.getId(), user.getLoginName(), user.getUserName()),
            user.getLoginPwd(), ByteSource.Util.bytes(salt), getName());

}

“`

ok啦

>最后将shiroDbRealm加入securityManager中

```xml
<!-- Shiro's main business-tier object for web-enabled applications -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="shiroDbRealm" />
            </list>
        </property>
        <property name="cacheManager" ref="shiroEhcacheManager" />
    </bean>




<div class="se-preview-section-delimiter"></div>

整个流程编写完毕

自行优化代码

当用户进行登录时会进入shiroDbRealm中通过查询数据库对用户名密码进行验证,这时候我们可以在查询数据库之前通过查询密码错误次数缓存对象对用户账户是否锁定进行判断,防止重复查询数据库

“`

ok啦

> 整个流程编写完毕

> ### 自行优化代码

>当用户进行登录时会进入shiroDbRealm中通过查询数据库对用户名密码进行验证,这时候我们可以在查询数据库之前通过查询密码错误次数缓存对象对用户账户是否锁定进行判断,防止重复查询数据库.

``` java
   @Autowired
    private EhCacheManager shiroEhcacheManager;


    /**
     * 认证回调函数, 登录时调用.
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        UsernamePasswordCaptchaToken token = (UsernamePasswordCaptchaToken) authcToken;
        Cache passwordRetryCache = shiroEhcacheManager.getCache("passwordRetryCache_admp");
        AtomicInteger retryCount = (AtomicInteger) passwordRetryCache.get(username);
        if (null != retryCount && retryCount.get() > 5) {
            throw new LockedAccountException("账户被锁定");
        }

        AdMamUser user = accountService.findUserByLoginName(username);
        if (null == user) {
            throw new UnknownAccountException("用户名错误.");
        }

        byte[] salt = new String(user.getLoginName()).getBytes();
        return new SimpleAuthenticationInfo(new ShiroUser(user.getId(), user.getLoginName(), user.getUserName()),
                user.getLoginPwd(), ByteSource.Util.bytes(salt), getName());

    }

ok啦

Shandy1972
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro用户登录密码错误超过次数,冻结账号30分钟
oos5fg的博客
10-28 811
shiro用户登录密码错误超过次数,冻结账号30分钟,可以根据个人需求更改
shiro登陆失败提示_shiro登录认证常见的异常解析
weixin_39916520的博客
12-22 1344
场景:使用shiro安全框架做用户登录认证是,在认证的过程中可能会抛出一系列的异常,这时候我们该如何准确的捕获所遇到的异常呢?首先我们得先认识什么是ShiroException、AuthenticationException:先看看异常之间的继承关系图: 用户登录/*** 用户登录** @param email 邮箱* @param password 密码* @return*/@Respon...
【Shiro】6、Shiro实现限制密码错误次数从而限制用户登录
热门推荐
Asurplus
05-22 20万+
我们的系统非常容易遭受攻击,被人暴力破解等,我们需要对同一账户密码错误次数进行统计,达到上限后,需要在一段时间内限制该用户登录,从而有效地保护账户密码的安全 1、重试限制散列凭据匹配器 package com.asurplus.common.shiro; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
web18334137065的博客
04-08 1232
由于最近做项目需要,在用户登陆后有一个功能是需要用户的信息,进行写入数据库的操作。但是目前还用不到Shiro的高级权限,只为了简单获取用户信息,自己整合了一个只记录用户,获取用户信息的功能。 导入Shiro依赖 org.apache.shiro shiro-spring 1.4.0 User类 这个类只需要自己定义一个username(可以其他的phone、email都行)和password(密码)就可以,其他的可以自己扩充。 UserRealm(核心) 这个类的功能: 1、用户的授权操作,但是这里先不授予
shiro 使用md5密码加密 锁定账户
Hu_Yanke的博客
03-09 3561
此篇博客根据之前写的shiro快速配置延续的,建议不了解的可以先看看之前的博客。 springMVC中快速配置shiro 1.为了使用密码加密,我们新建一个对用户信息操作的工具类 package com.bf.planner.util; import org.apache.shiro.crypto.SecureRandomNumberGenerator; import org.apac
欢迎使用CSDN-markdown编辑器.md
09-24
2019最新csdn自带的介绍范文模板 如果写过一次博客,这个文档就找不到了(没有恢复到本模板的url) 就在这里备份一下 方便查阅
欢迎使用CSDN-markdown编辑器.html
03-31
: csdn博客编写快捷操作,新增各种快捷功能,全新界面,简易操作,多屏幕编辑,焦点写作、预览模式、简介写作模式、左右区域同步滚轮设置等功能。
shiro学习笔记:remeberMe,多次登录锁死账号
weixin_30652271的博客
08-14 146
关于shiro的rememberme的实现,再之前我们是使用cookie实现的,这里也是一样,原理都是相同的; 不过因为用到了shiro框架,因此需要再shiro中配置cookie以及缓存等,以及管理器对象: <!--安全管理器--> <bean id="securityManager" class="org.apache.shiro.web.mgt....
记录一次shiro验证密码时,输入正确密码仍然提示不正确的问题
大明明
12-11 3161
项目环境是springboot+shiro,具体配置不细说了。 前提:shiro加密使用md5,没有加盐。 问题场景:在测试时前端输入了密码A,数据库中存放的是A加密后的B,所以我把A进行了一下加密A+作为参数传到了图一的位置,但是经过shiro比对仍然不正确,然后开始debug源码找问题,发现shiro会将密码A+又进行一次加密后再与B进行比对,所以图一处的传参不需要手动加密 图一注意点:...
ssm+shiro+redis 登录控制及重试次数超过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数超过5次后账号锁定一分钟不能登录
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
本篇文章主要介绍了SpringBoot+Shiro学习之密码加密和登录失败次数限制示例,可以限制登陆次数,有兴趣的同学可以了解一下。
Shiro之登录限制篇
qq_43654581的博客
10-15 1121
登录账号时,输错密码次数达到3次以后,锁定账号3分钟并显示锁定时间,在此期间内登录操作无效
Shiro AuthenticationException 身份认证异常
Jaylin's Blog
11-21 1万+
AuthenticationException 异常是Shiro在登录认证过程中,认证失败需要抛出的异常。AuthenticationException包含以下子类: CredentitalsException 凭证异常IncorrentCredentialsException 不正确的凭证 ExpiredCredentialsException 凭证过期 AccountException 账号异常
java实现用户登录异常统计、锁定及解锁功能
aw277866304的博客
01-21 3470
java实现用户登录异常统计、锁定及解锁功能
SpringBoot+Shiro+ehcache实现登录失败超次数锁定帐号
Gblfy_Blog
12-07 1011
文章目录二、Controller层接收登录请求三、自定义的Realm四、密码验证器增加登录次数校验功能五、ShiroConfig的配置类六、EhCache 的配置七、全局异常的配置 ####### 一、 Shiro的执行流程 1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shiro权限控制核心对象,在编程时,只需要操作Subject方法,底层调用SecurityManager方法,无需直接编程操
Spring 自带内存缓存配置,校验密码输入次数锁定账户10分钟(一)
夕慕慕的博客
09-02 1298
1、beans 配置 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="
CSDN-markdown编辑器
最新发布
04-25
CSDN Markdown编辑器是一款由CSDN自主开发的在线Markdown编辑工具,它具有以下特点和功能: 1. 简洁易用:CSDN Markdown编辑...7. 多平台支持:CSDN Markdown编辑器可以在多个平台上使用,包括网页版、移动端应用等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值