若依-用户长时间未修改密码强制修改

最新推荐文章于 2024-05-11 09:11:58 发布
置顶 最新推荐文章于 2024-05-11 09:11:58 发布
阅读量4.9k 收藏 38
点赞数 12
分类专栏: 项目框架学习 Web项目技术 Maven 文章标签: java 前端 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48415369/article/details/125971870
版权

需求原因

用户长期未修改密码可能存在密码安全问题,项目要求提供一个配置使用户一定时间间隔就修改密码

要求

后端登录时判断是否达到最大间隔时间,达到则修改用户的constraint字段(方便前端判断);
登录验证后,判断是否需要修改密码,需要修改则阻止跳转、弹出修改框;
限制:新密码不能与旧密码一致;
修改完成后正常跳转到主页面;
数据库更新密码、维护constraint字段。

后端实现

判断是否要求强制修改密码

src\main\java\com\ruoyi\framework\web\service\UserDetailsServiceImpl.java

修改前
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
{
    SysUser user = userService.selectUserByUserName(username);
    if (StringUtils.isNull(user))
    {
        log.info("登录用户:{} 不存在.", username);
        throw new ServiceException("登录用户:" + username + " 不存在");
    }
    else if (UserStatus.DELETED.getCode().equals(user.getDelFlag()))
    {
        log.info("登录用户:{} 已被删除.", username);
        throw new ServiceException("对不起,您的账号:" + username + " 已被删除");
    }
    else if (UserStatus.DISABLE.getCode().equals(user.getStatus()))
    {
        log.info("登录用户:{} 已被停用.", username);
        throw new ServiceException("对不起,您的账号:" + username + " 已停用");
    }

    return createLoginUser(user);
}
修改后
// 新增自动装配
@Autowired
private SysConfigMapper sysConfigMapper;

@Autowired
private SysUserMapper userMapper;

// 代码修改
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
{
    SysUser user = userService.selectUserByUserName(username);
    if (StringUtils.isNull(user))
    {
        log.info("登录用户:{} 不存在.", username);
        throw new ServiceException("登录用户:" + username + " 不存在");
    }
    else if (UserStatus.DELETED.getCode().equals(user.getDelFlag()))
    {
        log.info("登录用户:{} 已被删除.", username);
        throw new ServiceException("对不起,您的账号:" + username + " 已被删除");
    }
    else if (UserStatus.DISABLE.getCode().equals(user.getStatus()))
    {
        log.info("登录用户:{} 已被停用.", username);
        throw new ServiceException("对不起,您的账号:" + username + " 已停用");
    }
    // 用户信息没有密码最后修改日期,则直接强制修改密码
    if (user.getPassTime() == null) {
        user.setConstraint(true);
    } else {
        // 有最后修改日期则再进行判断
        // 获取最大密码修改时间间隔(毫秒值)
        // 若依已经写好的方法,直接拿来用就行
        SysConfig sysConfig = sysConfigMapper.checkConfigKeyUnique("sys.user.pass.interval");
        Long interval = Long.parseLong(sysConfig.getConfigValue()) * 24 * 60 * 60 * 1000;
        // 获取用户密码修改间隔
        Long userInterval = System.currentTimeMillis() - user.getPassTime().getTime();
        // 如果用户间隔超过间隔上限则要求强制修改密码
        if (userInterval >= interval) {
            user.setConstraint(true);
        }
    }
    // 保存到数据库
    // 若依已经写好的用户信息更新
    userMapper.updateUser(user);
    return createLoginUser(user);
}

通过constraint判断修改密码场景(强制还是自主)

src\main\java\com\ruoyi\web\controller\system\SysProfileController.java

修改前
	// 修改前源码
	// Javabean记得新增constraint属性和get、set
	// userMapper.xml记得修改一下返回字段
	/**
     * 重置密码
     */
    @Log(title = "个人信息", businessType = BusinessType.UPDATE)
    @PutMapping("/updatePwd")
    public AjaxResult updatePwd(String oldPassword, String newPassword)
    {
        LoginUser loginUser = getLoginUser();
        String userName = loginUser.getUsername();
        String password = loginUser.getPassword();
        if (!SecurityUtils.matchesPassword(oldPassword, password))
        {
            return AjaxResult.error("修改密码失败,旧密码错误");
        }
        if (SecurityUtils.matchesPassword(newPassword, password))
        {
            return AjaxResult.error("新密码不能与旧密码相同");
        }
        if (userService.resetUserPwd(userName, SecurityUtils.encryptPassword(newPassword)) > 0)
        {
            // 更新缓存用户密码
            loginUser.getUser().setPassword(SecurityUtils.encryptPassword(newPassword));
            tokenService.setLoginUser(loginUser);
            return AjaxResult.success();
        }
        return AjaxResult.error("修改密码异常,请联系管理员");
    }
修改后
	// 修改后代码
	/**
     * 重置密码
     */
    @Log(title = "个人信息", businessType = BusinessType.UPDATE)
    @PutMapping("/updatePwd")
    public AjaxResult updatePwd(@RequestBody Map<String, Object> user) {
    	// 获取constraint
        boolean constraint = (boolean) user.get("constraint");
        // 防止传参异常或维护时出现问题
        constraint = constraint == true ? constraint : false;
        LoginUser loginUser = getLoginUser();
        String userName = loginUser.getUsername();
        String password = loginUser.getPassword();
        // 获取旧密码(为了不影响若依中原有的密码修改)
        String oldPassword = (String) user.get("oldPassword");
        // 获取新密码
        String newPassword = (String) user.get("newPassword");
        // 强制修改密码时不用判断旧密码
        if (!constraint && !SecurityUtils.matchesPassword(oldPassword, password)) {
            System.out.println("旧密码");
            return AjaxResult.error("修改密码失败,旧密码错误");
        }
        if (SecurityUtils.matchesPassword(newPassword, password)) {
            System.out.println("新密码");
            return AjaxResult.error("新密码不能与旧密码相同");
        }
        if (userService.resetUserPwd(userName, SecurityUtils.encryptPassword(newPassword)) > 0) {
            // 更新缓存用户密码
            loginUser.getUser().setPassword(SecurityUtils.encryptPassword(newPassword));
            tokenService.setLoginUser(loginUser);
            return AjaxResult.success();
        }
        return AjaxResult.error("修改密码异常,请联系管理员");
    }

逻辑改变不大:
新增判断——强制修改时不比判断旧密码(传空就行);
接收类型:
这是由于开发过程中出现了一些问题、bug,排查过程中将入参类型修改了一下;
新增接收参数:constraint(true:强制修改密码,false:不强制)

前端实现

ruoyi-ui\src\views\login.vue

// 新增弹出框标签
<el-dialog title="您的密码已长时间未修改,请修改密码" :visible.sync="loginInfo.constraint">
  <el-form>
    <el-form-item label="新密码">
      <el-input v-model="newPassword" autocomplete="off"></el-input>
    </el-form-item>
  </el-form>
  <div slot="footer" class="dialog-footer">
    <el-button type="primary" @click="updatePwd">确 定</el-button>
  </div>
</el-dialog>

// 导入方法
import { updateUserPwd } from "@/api/system/user";

//新增对象、变量
loginInfo:{
  constraint: false
},
newPassword:'',

// 修改登录方法
handleLogin() {
      this.$refs.loginForm.validate((valid) => {
        if (valid) {
          this.loading = true;
          if (this.loginForm.rememberMe) {
            Cookies.set("username", this.loginForm.username, { expires: 30 });
            Cookies.set("password", encrypt(this.loginForm.password), {
              expires: 30,
            });
            Cookies.set("rememberMe", this.loginForm.rememberMe, {
              expires: 30,
            });
          } else {
            Cookies.remove("username");
            Cookies.remove("password");
            Cookies.remove("rememberMe");
          }
          this.$store
            .dispatch("Login", this.loginForm)
            .then((res) => {
              getInfo().then(loginInfo => {
                this.loginInfo = loginInfo.user
                // 如果返回的constraint为false则正常跳转到主页面
                if(!this.loginInfo.constraint) {
                  this.$router.push({ path: this.redirect || "/" }).catch(() => {});
                } else {
                  // 否则设置constraint值为true,使页面不能跳转到主页面
                  localStorage.setItem('constraint', true)
                }
              }).catch(() => {})
              // const md5passwod = md5(this.loginForm.password);
              // console.log("md5passwod" + md5passwod);
              //用于后续解锁
              // localStorage.setItem("username", this.loginForm.username);
           
            })
            .catch(() => {
              this.loading = false;
              if (this.captchaOnOff) {
                this.getCode();
              }
            });
        }
      });
    },
// 新增修改方法
updatePwd(){
  updateUserPwd("", this.newPassword, true).then(response => {
  	// 修改完成将constraint改为false
    localStorage.setItem('constraint', false)
    this.$modal.msgSuccess("修改成功");
    this.$router.push({ path: this.redirect || "/" }).catch(() => {});
      })
  .catch((e) => {
    console.info(e)
  });
},

ruoyi-ui\src\api\system\user.js

// 新增constraint属性
// 用户密码重置
export function updateUserPwd(oldPassword, newPassword, constraint) {
  const data = {
    oldPassword,
    newPassword,
    constraint
  }
  return request({
    url: '/system/user/profile/updatePwd',
    method: 'put',
    data: data
  })
}

ruoyi-ui\src\permission.js
修改前

if (getToken()) {
  to.meta.title && store.dispatch('settings/setTitle', to.meta.title)
  /* has token*/
  if (to.path === '/login') {
    next({ path: '/' })
    NProgress.done()

// 修改后
if (getToken()) {
    to.meta.title && store.dispatch('settings/setTitle', to.meta.title)
    /* has token*/
    // localStorage.setItem('constraint',false)
    if (to.path === '/login') {
      // 新增判断——当前位置未登录页面时:如果constraint值为true
      if(localStorage.getItem("constraint") == 'true') {
      	// 去掉token
        setToken("")
      }
      // 不为true时不变
      next({ path: '/' })
      NProgress.done()

ruoyi-ui\src\views\system\user\profile\resetPwd.vue

submit() {
  this.$refs["form"].validate(valid => {
    if (valid) {
      // 修改updateUserPwd方法的入参
      // constraint值为true时不校验旧密码,传入false校验,不影响功能
      updateUserPwd(this.user.oldPassword, this.user.newPassword, false).then(response => {
        this.$modal.msgSuccess("修改成功");
      });
    }
  });
},

展示

在这里插入图片描述

遇到的问题

用户不必更改密码,直接刷新页面就会进入到主页面

这样一来我做的强制修改密码就不强制了,那怎么忍得了,这还是我一时兴起点了一下刷新试了试,结果果然直接跳过强制修改了

解决方案、想法

如果constraint字段为true(即需要强制修改密码),将token设空,这样刷新就不会跳转到主页面

但是这样处理的时候就出现了一个问题(困扰了大半个小时,改了不少地方——尤其是后端的接收类型我都改成Map了……)
在这里插入图片描述
没错!修改密码这里需要token的校验,我把token清空了就无法正常调用了

解决(1)

在这里插入图片描述

在这里插入图片描述

解决(2)

在这里插入图片描述
在这里插入图片描述

新增需求

密码强度校验级别

src\main\java\com\ruoyi\web\controller\system\SysProfileController.java

// 新增代码
// 获取密码强度
SysConfig sysConfig = configMapper.checkConfigKeyUnique("sys.user.pass.strength");
String strength = sysConfig.getConfigValue();
Pattern p;
boolean strengthEnough = false;
switch (strength) {
    // 强度3:必须含有特殊字符
    case "3":
        // 非数字、字母
        p = Pattern.compile("[A-Za-z0-9]");
        for (int i = 0; i < newPassword.length(); i++) {
            if (!p.matcher(newPassword.substring(i, i + 1)).find()) {
                strengthEnough = true;
                break;
            }
        }
        if (!strengthEnough) {
            return AjaxResult.error("新密码必须含特殊字符");
        }
    // 强度2:必须含有大写和小写
    case "2":
        strengthEnough = false;
        // 含大写字母
        p = Pattern.compile("^[A-Z]+$");
        for (int i = 0; i < newPassword.length(); i++) {
            if (p.matcher(newPassword.substring(i, i + 1)).find()) {
                // 含小写字母
                p = Pattern.compile("^[a-z]+$");
                for (int j = 0; j < newPassword.length(); j++) {
                    if (p.matcher(newPassword.substring(j, j + 1)).find()) {
                        strengthEnough = true;
                        break;
                    }
                }
                // 通过直接结束循环
                if (strengthEnough) {
                    break;
                }
            }
        }
        if (!strengthEnough) {
            return AjaxResult.error("新密码必须含大写和小写");
        }
    // 强度1:密码至少6位
    case "1":
        if (newPassword.length() < 6) {
            return AjaxResult.error("新密码至少6位");
        }
}
ranfreedom
关注
  • 12
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 20
    评论
专栏目录
若依无法对过长userId的用户进行重置密码
猿小白的博客
03-16 644
用户ID过长会导致用户重置密码出现500错误。 目录 一、BUG复现过程 二、BUG原因分析 二、BUG解决方案 (1)局部解决 (2)全局解决 一、BUG复现过程 (1)首先添加一条用户信息 (2)然后加他的ID改为:953223998848253952 (3)然后在用管理界面进行重置密码 会出现500错误。 二、BUG原因分析 经过断点调试分析,发现数据库中的ID和页面中的显示ID不一致导致的这个问题。 前端显示的用户ID:953223998848254000 .
密码系统登录提醒强制修改
weixin_61978391的博客
08-05 835
这种方式目前能实现,但是如果直接刷新页面,会造成vuex中存储的数据丢失,导致弹窗 不出来,但我这边需要是强制修改密码的,所以我查了一些,要不然就是把数据存到localStorage中,但是密码是不能这样存的,要不然就是使用第三方库指定需要持久化的state。但是这个只能有一个输入框的校验,而且尽管有校验 ,但是密码框是需要有小眼睛的显示和隐藏的,这上面没有,后来想着用this.$msgbox,做自定义的内容,但是这样同样没有小眼睛,而且校验不好做,所以就放弃了。vuex存数据方式看。
【Ruoyi管理后台】用户登录强制修改密码(续)
04-29 724
若依系统强制修改密码后续踩坑篇,看官们看一下就好,不要去学习这种修改,要修改的请使用开头介绍的文章
若依框架实现第一次登录提示更改密码
weixin_55069111的博客
03-05 5509
在登录之后的跳转页面添加 function oneLogin(){ $.ajax({ timeout: 3000, async:false, type:"POST", url: ctx +"system/oneLogin", dataType: "json", data:{ loginName:[[${user.loginName}]] }, success:function (data) { var num=data.num; if(num==0
【Ruoyi管理后台】用户登录强制修改密码
11-08 3432
介绍在Ruoyi管理后台如何加入强制用户修改密码,在用户登录时检测到需要重置密码时,强制其跳转至密码重置页面进行密码重置。主要通过解决登录凭证token的设置与清理,实现强制跳转,并防止用户绕过直接返回登录到后台。
若依如何修改超级管理员登录密码
字节叔叔
05-30 7777
数据库找到sys_user表,复制System.out.println(result)打印出来的值,将admin的password改掉。进行密码加密是Spring Security推荐的安全做法,可以保证密码在存储和验证过程中的安全性。方法来修改超级管理员的密码。1.随便在哪个地方写个main 方法。通过以上步骤,你可以使用。
【ruoyi-vue】关于密码重置
qq_35226176的博客
04-28 442
在qq群里经常看到问ruoyi的账号密码是多少?有源代码忘记了登录密码怎么办?
如何强制定期更改Linux操作系统密码
03-04
口令时效是一种系统机制,用于强制口令在特定的时间长度后失效。对用户来说,这可能带来了一些麻烦,但是它确保了口令会定期进行更改,是一项很好的安全措施。...本文为大家介绍如何强制定期更改Linux操作系统密码
Z-Blog v1.6 渡虎谷修改
03-31
每隔一段时间(一个月或更长)在后台设置中更改一次ZC_BLOG_CLSID的值。在网站设置里还有关闭评论和引用的设置。或是采用第三方的插件以达到此目的程序改动列表如下:1、修正了一个不符合W3C标准的地方;2、强制过滤...
信息系统密码管理制度.pdf
06-17
4 规定要求 1)信息中心根据安全需要,可强迫用户在登录时更改密码,当出现 提示信息,密码已过期请修改密码时,用户自己完成密码修改。 2)禁止用户更改密码。根据安全需要,也可使用户在自己的终端上 无法完成...
若依后台管理系统 v2.4
10-10
一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适自己的。于是利用空闲休息时间开始自己写一套后台系统。如此有了若依管理系统。她可以用于所有的Web应用程
UWA 2.X UTF-8 (v2.1.5_to_v2.2.0) 升级程序.zip
07-06
[更改]默认 Cookie 加密码改为16位, 优化加密码重新生成 [增强]新增电子邮件方式审核新用户 [更改]固化内置扩展(广告,链接,留言,单页) [更改]拆分系统选项设置 [优化]修改默认字段 ID 防止与时间字段重复造成...
电脑开机密码忘记了怎么办?.docx
09-27
尤其是在长时间不使用某台电脑后,很容易忘记开机密码。那么,如何解决这个问题呢?本文将分享6种方法,帮助您轻松解决忘记电脑开机密码的问题。 方法一:使用F8键和NET USER命令 在开机时,按下F8键,进入带命令...
若依框架密码验证环节修改(三方登录时改为跳过密码验证,但正常登录保留密码验证)
欢迎来到快乐星球
08-15 5031
当用到三方登录时,例如微信登录等,没法验证密码,又找不到若依密码的解密方式,套用此方法,跳过密码验证,并且为可选。
java系统如何默认让用户第一次登录时修改密码,而第二次后登录则不要求
qq_41888995的博客
03-07 1553
java系统实现用户第一次登录时修改密码,而第二次后登录则不要求
【Vue管理后台】用户登录强制修改密码
最新发布
Canpliy的专栏
05-11 645
【Vue管理后台】用户登录强制修改密码
java 密码有效期_Java程序中说密码已过期是什么情况?
weixin_30739835的博客
02-17 628
满意答案cgetyymm2020.02.28采纳率:45%等级:6已帮助:205人package test;import java.util.Scanner;public class TestLogin {private static final String USERNAME = "Tom";//此处定义用户名private static final String PASSWORD = ...
若依如何修改数据监控登录账户密码
热门推荐
猿小白的博客
12-19 1万+
控制台管理用户名和密码默认为: 默认账号:ruoyi 默认密码:123456 找到ruoyi-admin\src\main\resources下面的application-druid.yml配置文件 找到如下节点配置,设置控制台账号密码 # 控制台管理用户名和密码 login-username: 你的监控台账号 login-password: 你的监控台密码 ...
那客户端处实现用户首次登录时候需要修改密码,要怎么做
06-09
实现用户首次登录时需要修改密码可以通过配置PAM(Pluggable Authentication Modules)实现。PAM是一种模块化的身份验证机制,可以让系统管理员灵活地配置各种身份验证和授权方案。 在CentOS 6/7上,可以通过以下步骤实现用户首次登录时需要修改密码: 1. 安装必要的软件包 在终端中执行以下命令安装必要的软件包: ``` yum install cracklib-dicts pam_cracklib ``` 2. 配置PAM 编辑/etc/pam.d/system-auth文件,添加以下一行: ``` password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 ``` 上述配置采用pam_cracklib模块来强制密码复杂度,其中: - try_first_pass表示优先使用用户输入的密码; - retry表示输入错误时允许重试的次数; - minlen表示密码最小长度; - lcredit、ucredit、dcredit和ocredit分别表示密码中必须包含小写字母、大写字母、数字和特殊字符的数量。 3. 配置密码策略 编辑/etc/login.defs文件,设置以下参数: ``` PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_WARN_AGE 14 ``` 上述配置分别表示: - PASS_MAX_DAYS表示密码有效期,单位为天; - PASS_MIN_DAYS表示两次密码修改之间的最小时间间隔,单位为天; - PASS_WARN_AGE表示密码过期前提醒用户的时间,单位为天。 4. 测试 在客户端上创建一个新用户,然后使用该用户登录系统,第一次登录时会提示修改密码。 通过以上步骤,就可以实现在客户端处实现用户首次登录时需要修改密码的功能。需要注意的是,如果使用LDAP进行身份验证,则需要在LDAP服务器上配置密码策略,并确保与客户端的配置一致。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值