Shiro 实现免密登陆

最新推荐文章于 2022-08-24 03:11:40 发布
最新推荐文章于 2022-08-24 03:11:40 发布
阅读量887 收藏 3
点赞数
分类专栏: java 文章标签: java 前端 数据库 sql 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web17508858916/article/details/126496116
版权

需求:对接第三方登陆,实现绕过原有Shiro认证登陆。

文章目录

一、实现思路
1. 现状分析

系统权框架默认使用Shiro 认证授权机制

2. 用户来源

从统一认证平台登录跳转过来的用户

3. 所属范围

登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录流程时,想跳过Shiro 对用户密码的校验,校验所属范围为Shiro 认证机制,其他功能照旧;

二、实现方案
2.1. 自定义登录认证规则
package com.gblfy.config.skipshiro;

import com.gblfy.config.skipshiro.enums.ShiroApproveLoginType;
import org.apache.shiro.authc.UsernamePasswordToken;

/**
 * 自定义token 实现免密和密码登录
 * <p>
 * 1.账号密码登陆(password)
 * 2.免密登陆(nopassword)
 * </p>
 *
 * @author gblfy
 * @date 2021-10-22
 */
public class EasyUsernameToken extends UsernamePasswordToken {
    private static final long serialVersionUID = -2564928913725078138L;

    private ShiroApproveLoginType type;

    public EasyUsernameToken() {
        super();
    }

    /**
     * 免密登录
     */
    public EasyUsernameToken(String username) {
        super(username, "", false, null);
        this.type = ShiroApproveLoginType.NOPASSWD;
    }

    /**
     * 账号密码登录
     */
    public EasyUsernameToken(String username, String password, boolean rememberMe) {
        super(username, password, rememberMe, null);
        this.type = ShiroApproveLoginType.PASSWORD;
    }

    public ShiroApproveLoginType getType() {
        return type;
    }

    public void setType(ShiroApproveLoginType type) {
        this.type = type;
    }

}
2.2. Shiro认证枚举
package com.gblfy.config.skipshiro.enums;

/**
 * Shiro认证枚举
 * @author gblfy
 * @date 2021-10-22
 */
public enum ShiroApproveLoginType {
    /** 密码登录 */
    PASSWORD("PASSWORD"),
    /** 密码登录 */
    NOPASSWD("NOPASSWORD");
    /** 状态值 */
    private String code;
    private ShiroApproveLoginType(String code) {
        this.code = code;
    }

    public String getCode() {
        return code;
    }
}
2.3. 密码和非密码登录
package com.gblfy.config.skipshiro;

import com.gblfy.config.skipshiro.enums.ShiroApproveLoginType;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

/**
 * 自定义登录认证方案
 * <p>
 * 1.免密登录,不加密
 * 2.密码登录,md5加密
 * </p>
 *
 * @author gblfy
 * @date 2021-10-22
 */
public class EasyCredentialsMatch extends HashedCredentialsMatcher {

    /**
     * 重写方法
     * 区分 密码和非密码登录
     * 此次无需记录登录次数 详情看SysPasswordService
     */
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        EasyUsernameToken easyUsernameToken = (EasyUsernameToken) token;

        //免密登录,不验证密码
        if (ShiroApproveLoginType.NOPASSWD.equals(easyUsernameToken.getType())) {
            return true;
        }

        //密码登录
        Object tokenHashedCredentials = hashProvidedCredentials(token, info);
        Object accountCredentials = getCredentials(info);
        return equals(tokenHashedCredentials, accountCredentials);
    }
}
2.4. 规则配置
    @Bean
    public EasyCredentialsMatch customCredentialsMatch() {
        EasyCredentialsMatch customCredentialsMatch = new EasyCredentialsMatch();
        customCredentialsMatch.setHashAlgorithmName("md5");
        customCredentialsMatch.setHashIterations(3);
        customCredentialsMatch.setStoredCredentialsHexEncoded(true);
        return customCredentialsMatch;
    }
2.5. 自定义Realm

权限认证 保持默认,修改登录认证

public class UserRealm extends AuthorizingRealm {

    /**
     * 权限认证  
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
      //权限认证  代码省略
    }

   /**
     * 登录认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        EasyUsernameToken upToken = (EasyUsernameToken) token;
        String username = upToken.getUsername();

        SysUser user = null;
        // 密码登录
        if (upToken.getType().getCode().equals(LoginType.PASSWORD.getCode())) {
            String password;
            if (upToken.getPassword() != null) {
                password = new String(upToken.getPassword());
                try {
                    user = loginService.login(username, password);
                } 
                catch (Exception e) {
                    log.info("对用户[" + username + "]进行登录验证..验证未通过{}", e.getMessage());
                    throw new AuthenticationException(e.getMessage(), e);
                }
            }
        } else if (upToken.getType().getCode().equals(LoginType.NOPASSWD.getCode())) {
            // 第三方登录 TODO
         
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, upToken.getPassword(), getName());
        return info;
    }
}
2.6. 案例使用
    public AjaxResult login(String username, String password, Boolean rememberMe) {
        EasyUsernameToken token = new EasyUsernameToken(username, password, rememberMe);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            return success();
        } catch (AuthenticationException e) {
            String msg = "用户或密码错误";
            if (StringUtils.isNotEmpty(e.getMessage())) {
                msg = e.getMessage();
            }
            return error(msg);
        }
    }
web17508858916
关注
专栏目录
shiro免密码登录
Ant_Shen的专栏
02-27 1万+
在实际开发中,一般我们使用shiro进行用户密码登录,有时候面对一些常见的需求,不得不再已有的框架上进行修改,比如说,增加一种使用手机验证码登录的登录方式。这时候,我们可以根据已有的框架,对其稍微修改一下便可满足需求。 public class ShiroDBRealm extends AuthorizingRealm{ private static final String classNam
SpringBoot+Shiro实现免密登录(多个realm)
wmy_0707的博客
06-09 1952
业务需求:因目前系统已经集成shiro根据用户名和密码加盐加密后校验用户登录信息功能的前提下需要集成第三方单点登陆功能。根据业务需求校验通过单点登陆后进入该项目的时候通过用户名实现免密登陆。 思路:原始已完成了用户名密码登陆功能,并自定义了AuthorizingRealm实现doGetAuthenticationInfo、doGetAuthorizationInfo登陆验证和授权功能。新的...
基于ruoyi中shiro框架如何实现免密登录
mango5208的博客
12-09 4357
基于ruoiy中shiro框架如何实现免密登录 所做项目与第三方合作,系统间存在一些接口调用,需要做授权登录。我们的项目整体使用springboot框架结合部分ruoyi的后台管理框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 若依框架官网:https://gitee.com/y_project/RuoYi 经过一番摸索,也总算弄出来了,在此记录一下 1,新增一个登录类型枚举类LoginType pa
Shiro登录认证逻辑----shiro免登录
Gzf的博客
06-10 2017
要解决的业务问题 第三方平台跳转至集成了shiro的平台时,仅通过用户名就可以实现登录集成了shiro的平台,可以理解为免登录Shiro系统。 因此要实现这样的操作,必须了解shiro的登录认证流程是如何的。 ps:以下展示的代码均为测试例子,大家可根据自己项目找到对应的逻辑处理的地方。前7步为逻辑分析,若是想看最终修改地方,则直接查看第8步即可 shiro的认证流程 1、生成token登陆的用户名密码等信息封装成一个UsernamePasswordToken实体类得到token信息..
SpringBoot整合Shiro实现免密登录
04-11
SpringBoot整合Shiro实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增LoginType,登录类型枚举 5,修改ShiroConfig文件,即Shiro配置文件,主要关注:57,63,65-90行 原文链接:https://blog.csdn.net/zlxls/article/details/105455375
Shiro免密登录
mry6的博客
11-03 2244
Shiro免密登录新的改变功能快捷键合理的创建如何改变文本的样式插入链接与图片如何插入一段生成一个适合你的列表 新的改变 功能快捷键 合理的创建 如何改变文本的样式 插入链接与图片 如何插入一段 生成一个适合你的列表 ...
Shiro免密码登录
m0_67401153的博客
08-24 2785
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
免密码登录
01-26
不需要用户名和密码就可以登录,你信么?就是这种软件,很好用的,你也试试!?枚举
shiro实现免密登录 根据不同url跳转至不同登录页
mozun3的博客
07-11 2637
1.需求说明: 本次对接微信端,也可以是第三方系统接入,除了我们本身的系统登录之外,需要对微信端连接进行登录。用户绑定微信id,未绑定的需要登录并绑定,绑定过的则直接登录。登录依托shiro管理。主要问题是绑定过的如何进项shiro登录,从数据库查询出的用户密码是加盐过的。 2.思路一: 首先考虑到的是shiro登录成功后是如何记录用户已登录的,将查询的结果放到shiro的ses...
【Springboot+Vue】做一个权限管理后台(八):shiro实现手机号免密登陆
qq_42241722的博客
02-17 1193
效果展示 前端设计 主要在登录界面增加了手机号登录: <template> <div class="login-container"> <el-tabs v-model="activeName" type="card"> <el-tab-pane label="账号/密码登陆" name="name"> ...
4.SpringBoot+Shiro免密登录
qq_27860623的博客
06-21 2251
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。二、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统免密登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
Shiro无密码登录
平行
09-22 823
在某些应用场景下我们或许需要直接登录,而不需要用户输入密码,例如用户用手机直接登录的场景。 在Shiro中我们通过在线程变量中绑定一个已通过验证的Subject对象即可实现。   PrincipalCollection principals = new SimplePrincipalCollection( user.getId(), "MobileRealm"); Builde...
shiro多realm配置免密登陆
m0_67393686的博客
08-24 512
3、注入新加的realm bean 并自定义凭证匹配规则凭证匹配规则默认实现是CredentialsMatcher类的doCredentialsMatch方法,我们需要继承该类,并重写doCredentialsMatch方法来自定义匹配规则。情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用免密shiro验证,需要多加一个免密码验证的realm,并保证两个realm都可用。2、在authenticator中配置多realm和具体的认证策略。1、安全管理器中添加。
SpringBoot Shiro免密登录
最新发布
07-28
在 Spring Boot 中使用 Shiro 实现免密登录的步骤如下: 1. 导入 Shiro 和 Spring Boot 的相关依赖。在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建一个自定义的 ShiroRealm 类,并继承 org.apache.shiro.realm.AuthenticatingRealm 类。在该类中重写 doGetAuthenticationInfo 方法,用于验证用户身份信息。这里可以通过用户名和密码进行验证,也可以通过其他方式实现免密登录。 3. 在 application.properties 或 application.yml 文件中配置 Shiro 的相关属性。例如,配置 Shiro 使用的 Realm 类和登录 URL: ```yaml shiro: authc: loginUrl: /login realms: myRealm: authenticationTokenClass: org.apache.shiro.authc.UsernamePasswordToken ``` 4. 在 Spring Boot 的入口类上添加 @EnableShiro 注解,启用 Shiro 功能。 5. 创建一个登录接口,处理用户登录请求。在该接口中,可以使用 Shiro 的 Subject 类来进行登录验证。例如: ```java @PostMapping("/login") public String login(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "登录成功"; } catch (AuthenticationException e) { return "用户名或密码错误"; } } ``` 这样,当用户访问登录接口并提供正确的用户名和密码时,就可以实现免密登录,并返回登录成功的提示信息。当用户提供错误的用户名或密码时,将返回错误提示信息。 注意:以上只是简单示例,实际应用中可能需要更复杂的逻辑和安全措施。建议参考 Shiro 的官方文档和示例代码来进行具体的实现和配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值