最近需要从第三方跳转,进行免密码登录,之前也没研究过shiro,不过看了之后感觉不是很难!
先说说自己当初的打算,首先配置sso登录
接收消息,得到token,内置一个账号和密码,进行登录,后来考虑到有密码有可能改变,或者需要获得不同权限的登录,因此决定进行无密码登录。
1.新建 CaptchaUsernamePasswordToken继承 UsernamePasswordToken,添加一个免密码标识,如:public boolean unpass=false;
2.新建RetryLimitHashedCredentialsMatcher继承HashedCredentialsMatcher,重写doCredentialsMatch,这个方法是关键,用于继承密码验证
3.新建 ShiroDbRealm 继承 AuthorizingRealm,密码验证在这个类的doGetAuthenticationInfo中,因此重写doGetAuthenticationInfo,里边写获得用户信息等信息,这里边不是重点,不详细说明,重点在initCredentialsMatcher中,这个方法也可以在shiro.xml中配置(未尝试),引入自己写的密码验证类,HASH_ALGORITHM是加密算法,HASH_INTERATIONS这个加密迭代次数
最后就可以在SsoLoginFilter中,创建token,设置免密标识为true,便可以进行登录,用户需要是系统中存在的,权限等信息都是原来账号具备的,可以根据传递过来的信息,获取不同账号的权限