Shiro登录认证逻辑----shiro免登录

最新推荐文章于 2024-05-04 03:00:00 发布
最新推荐文章于 2024-05-04 03:00:00 发布
阅读量1.9k 收藏 9
点赞数 1
文章标签: java spring spring boot shiro 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845227/article/details/117786525
版权

要解决的业务问题

    第三方平台跳转至集成了shiro的平台时,仅通过用户名就可以实现登录集成了shiro的平台,可以理解为免登录Shiro系统。

因此要实现这样的操作,必须了解shiro的登录认证流程是如何的。

ps:以下展示的代码均为测试例子,大家可根据自己项目找到对应的逻辑处理的地方。前7步为逻辑分析,若是想看最终修改地方,则直接查看第8步即可

shiro的认证流程

1、生成token

将登陆的用户名密码等信息封装成一个UsernamePasswordToken实体类得到token信息。(此处可以通过集成org.apache.shiro.authc.UsernamePasswordToken类封装一些额外信息,但是最重要的就是用户名和密码。)

 UsernamePasswordToken token = new  UsernamePasswordToken(name, password);

2、调用登录认证

通过得到的token信息执行subject.login(token)方法,这个方法可能是代码中自己写的代码进行调用,也有可能是通过Shiro实现的fitler自动调用。

subject.login(token);

3、生成info

调用login方法后,会执行AuthorizingRealm的doGetAuthenticationInfo方法,这个方法需要我们在项目中通过集成AuthorizingRealm类重写doGetAuthenticationInfo。(这里我们从数据库用户的信息,然后返回一个SimpleAuthenticationInfo对象,注意,这里很重要,这里很重要,这里很重要)

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // TODO Auto-generated method stub
        System.out.println("执行认证逻辑");
        //1、从数据库得到用户名和密码
        //2、判断用户名
        UsernamePasswordToken token2 = (UsernamePasswordToken) token;
        User user = new User(token2.getUsername());
        user = userService.selectUser(user);
        if (user==null) {
            return null; //shiro底层帮助抛出异常
        }
        
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }

4、用户名认证

第一步中,我们得到了封装了前端输入的用户信息的token,第三步中,我们得到了从数据库中查询得到了真实的用户信息。如果第三步没有从数据库中查询到用户,说明用户不存在,直接终止验证流程即可。如果查询得到了用户,则接下来就是进行密码的检验即可。

5、密码认证

密码的检验最后会由HashedCredentialsMatcher的doCredentialsMatch方法进行执行,如下

具体如何调用到这里,可以参考这篇博客:https://blog.csdn.net/caoyang0105/article/details/82769293

6、密码加密逻辑

由于数据库中保存的密码是经过shriro加密处理且不可逆的,因此前端传输过来的密码在与数据库对比前同样需要经过加密,具体的加密流程参考第六步的doCredentialsMatch方法为根方法,可逐个分析源码,我这里直接说结论,在不加盐的情况下,前端传过来的密码将会被shiro采用SHA-1加密方法,加密1024次得到新的密码,如下:

//需要导入的包 
import org.apache.shiro.crypto.hash.SimpleHash; 
new SimpleHash("SHA-1","",null,1024).toHex();

参数一:为加密的算法;参数为:为要加密的字符串(即前端传输过来的密码);参数三:盐;参数四:加密的次数。

7、默认密码

由第七步可知,如果前端传输的密码固定为""时,那么经过shrio转化后的密码为

b8f31e91d52285a5d39a9a53da819e35fb04edc6,

因此我们如果要实现用户的免密登录,则默认数据库的密码为b8f31e91d52285a5d39a9a53da819e35fb04edc6即可。

8、修改登录认证逻辑

因此我们在第三步生成数据库的SimpleAuthenticationInfo对象时,如果判断是免密码登录,则返回对象如下。

即在我们项目中通过集成AuthorizingRealm类重写doGetAuthenticationInfo的方法中,返回对象做如下改变,如果你前端的密码固定是""的话,此处的秘钥是确定的,如果不是,则参考第七步的代码生成秘钥

if (token.isMis()){
   //这是免密登录的认证逻辑
     return new SimpleAuthenticationInfo(new Principal(user, token.isMobileLogin()),
		"b8f31e91d52285a5d39a9a53da819e35fb04edc6",  getName());
}else {
//这是原先的登录
    return new SimpleAuthenticationInfo(new Principal(user, token.isMobileLogin()),
		user.getPassword().substring(16), ByteSource.Util.bytes(salt), getName());
}

以上是基于免密登录的需求修改的代码,自己调试得到的shiro认证逻辑,可能也不十分准确,尤其是最后的密码再次加密认证地方,源码中调用多个方法,精力有限,没有仔细深究。若是想要简单处理,就请参考第8步的代码,不要进行加盐处理。如果大家比较了解最后的密码加盐加密逻辑,还请多多指教。

 

 

 

谷同学
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot整合Shiro后实现登录
04-11
SpringBoot整合Shiro后实现登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是登录。 4,新增LoginType,登录类型枚举 5,修改ShiroConfig文件,即Shiro配置文件,主要关注:57,63,65-90行 原文链接:https://blog.csdn.net/zlxls/article/details/105455375
springboot-shiro认证系统框架--成型框架
09-17
总之,SpringBoot-Shiro认证系统框架是一个功能齐全、易于定制的安全框架,适合用于生产环境的快速开发,同时也为学习和研究提供了良好的平台。通过理解并掌握SpringBoot的自动配置和Shiro的安全管理机制,开发者...
Shiro登录
热门推荐
xxfamly的博客
06-21 1万+
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了登录的方式解决。 在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
Shiro自定义登录认证
最新发布
程序员阿皓的博客
05-04 265
Shiro自定义登录认证
shiro多realm配置密码登陆
m0_67393686的博客
08-24 494
3、注入新加的realm bean 并自定义凭证匹配规则凭证匹配规则默认实现是CredentialsMatcher类的doCredentialsMatch方法,我们需要继承该类,并重写doCredentialsMatch方法来自定义匹配规则。情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用密码shiro验证,需要多加一个密码验证的realm,并保证两个realm都可用。2、在authenticator中配置多realm和具体的认证策略。1、安全管理器中添加。
Shiro 实现密登陆
Gblfy_Blog
10-22 3855
需求:对接第三方登陆,实现绕过原有Shiro认证登陆。 文章目录一、实现思路1. 现状分析2. 用户来源3. 所属范围二、实现方案2.1. 自定义登录认证规则2.2. Shiro认证枚举2.3. 密码和非密码登录2.4. 规则配置2.5. 自定义Realm2.6. 案例使用 一、实现思路 1. 现状分析 系统权框架默认使用Shiro 认证授权机制 2. 用户来源 从统一认证平台登录跳转过来的用户 3. 所属范围 登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录.
SpringBoot+Shiro实现登录
qq_38410795冰淇淋的博客
09-07 1848
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
shiro-main.zip
09-25
在"shiro-main.zip"的源码中,你可以看到以下几个主要部分: - **core** 模块:这是Shiro的核心模块,包含了Subject、Realms、Cryptography(加密)等相关核心组件。 - **cryptography** 模块:提供各种加密算法的...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
在"shiro-root-1.2.3-source-release zipa包"中,包含了Shiro框架的核心源代码,允许开发者深入理解其内部工作原理,进行定制化开发或者调试。而相关的jar包则提供了运行时所需的依赖,使得我们可以直接在项目中使用...
shiro-all-1.2.3.jar
05-24
标题中的"shiro-all-1.2.3.jar"是Apache Shiro的一个完整版本的jar包,包含了Shiro框架的所有组件和功能,适用于需要全面使用Shiro特性的项目。 在描述中提到了“缓存管理器”,这是Shiro框架中的一个重要组件。...
springboot-shiro-redis
02-04
标题“springboot-shiro-redis”表明我们正在讨论一个基于Spring Boot的应用程序,该应用程序集成了Apache Shiro安全框架,并利用Redis作为缓存层。这是一个常见的架构选择,因为Spring Boot简化了开发流程,Shiro...
最简单的Shiro密登陆(springboot
yuer629
04-19 2411
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdTokenUserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
shiro登录(网上大众化的方法)
ghx123456ghx的博客
07-15 521
一 添加枚举登录类型 public enum LoginType { PASSWORD("password"), // 密码登录 NOPASSWD("nopassword"); // 登录 private String code;// 状态值 private LoginType(String code) { this.code = code; } public String getCode() { return code
SpringBoot Shiro登录
化名三爷
04-11 4001
SpringBoot整合Shiro后实现登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是登录。 4,新增Logi...
Shiro密码登录
m0_67401153的博客
08-24 2725
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为登录 直接返回true。
shiro第三方登录实现 使用框架(nutz)加shiro
qq_42801916的博客
09-27 1472
shiro第三方登录实现 使用框架(nutz)加shiro 首先描述下我应对的业务场景,项目需求希望用户在第三方系统中可以直接点击链接跳转到我这边的系统中(直接进入系统首页,不再登录)。 首先说下我的实现思路: 1:重新定义一个token类继承UsernamePasswordToken类,然后加入type属性(众所周知shiro是通过subject.login(token)来进行登录验证的,原...
shiro密码登录问题
weixin_42258276的博客
04-03 2326
最近需要从第三方跳转,进行密码登录,之前也没研究过shiro,不过看了之后感觉不是很难! 先说说自己当初的打算,首先配置sso登录 接收消息,得到token,内置一个账号和密码,进行登录,后来考虑到有密码有可能改变,或者需要获得不同权限的登录,因此决定进行无密码登录。 1.新建 CaptchaUsernamePasswordToken继承UsernamePasswordToken,添...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值