Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)

最新推荐文章于 2022-08-24 02:55:07 发布
置顶 最新推荐文章于 2022-08-24 02:55:07 发布
阅读量4.4w 收藏 77
点赞数 19
分类专栏: Shiro 文章标签: shiro+springmvc 登录失败锁定账户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlwlwlwl015/article/details/48518003
版权



前言



初学shiro,shiro提供了一系列安全相关的解决方案,根据官方的介绍,shiro提供了“身份认证”、“授权”、“加密”和“Session管理”这四个主要的核心功能,如下图所示:


本篇blog主要用到了Authentication(身份认证)和Cryptography(加密),并通过这两个核心模块来演示shiro如何帮助我们构建更安全的web project中的登录模块,实现了安全的密码匹配和登录失败超指定次数锁定账户这两个主要功能,下面一起来体验一下。



身份认证与加密



如果简单了解过shiro身份认证的一些基本概念,都应该明白shiro的身份认证的流程,大致是这样的:当我们调用subject.login(token)的时候,首先这次身份认证会委托给Security Manager,而Security Manager又会委托给Authenticator,接着Authenticator会把传过来的token再交给我们自己注入的Realm进行数据匹配从而完成整个认证。如果不太了解这个流程建议再仔细读一下官方提供的Authentication说明文档:

http://shiro.apache.org/authentication.html


接下来通过代码来看看,理论往往没有说服力,首先看一下项目结构(具体可在blog尾部下载源码参考)


项目通过Maven的分模块管理按层划分,通过最常用的spring+springmvc+mybatis来结合shiro进行web最简单的登录功能的实现,首先是登录页面:



我们输入用户名和密码点击submit则跳到UserController执行登录的业务逻辑,接下来看看UserController的代码:

package com.firstelite.cq.controller;

import java.text.SimpleDateFormat;
import java.util.Date;

import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
@RequestMapping(value = "user")
public class UserController extends BaseController {

	@RequestMapping(value = "/LoginPage")
	public String loginPage() {
		String now = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss")
				.format(new Date());
		System.out.println(now + "to LoginPage!!!");
		re
最低0.47元/天 解锁文章
小灯光环
关注
  • 19
    点赞
  • 77
    收藏
    觉得还不错? 一键收藏
  • 30
    评论
专栏目录
Shiro权限框架-限制密码重试次数(8)
魔法革1996
04-03 1005
1、实现原理 保证原子性: ​ 单系统:AtomicLong计数 ​ 集群系统:RedissionClient提供的RAtomicLong计数 1、获取系统中是否已有登录次数缓存,缓存对象结构预期为:"用户名--登录次数"。 2、如果之前没有登录缓存,则创建一个登录次数缓存。 3、如果缓存次数已经过限制,则驳回本次登录请求。 4、将缓存记录的登录次数加1,设置指定时间内有效 5、验证用户本次输入的帐号密码,如果登录登录成功,则清除掉登录次数的缓存 思路有了,那我们在哪里实现呢?我们
Java中SpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了Java中SpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
springboot整合shiro 认证与授权与记住密码与密码错过锁定次数
xiaozhou_zi的博客
09-05 5244
                                                                       Spring Boot + Shiro总结 背景:最近领导要完成用户管理、菜单管理,角色管理等系统功能,上家公司的时候想过用了shiro来对整个系统进行权限控制,就想多一项技术,总归是好事,不过现在框架是spring boot,省去了沉于的配置,花了两天时...
shiro系列(四):认证
weixin_40910109的博客
06-10 132
1. 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 1). 创建一个表单页面 2). 把请求提交到 SpringMVC 的 Handler...
SpringMvc 集成 shiro 实现权限角色管理-maven
热门推荐
小程序
06-03 1万+
SpringMvc 集成 shiro 实现权限角色管理 1、项目清单展示 2、项目源码解析  1)spring-context.xml ------spring 父上下文 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-i
shiro原理_java:shiro高级篇——4
weixin_39790168的博客
12-02 128
第八章 限制密码重试次数1、实现原理保证原子性: 单系统:AtomicLong计数​ 集群系统:RedissionClient提供的RAtomicLong计数1、获取系统中是否已有登录次数缓存,缓存对象结构预期为:"用户名--登录次数"。2、如果之前没有登录缓存,则创建一个登录次数缓存。3、如果缓存次数已经过限制,则驳回本次登录请求。4、将缓存记录的登录次数加1,设置指定时间内有效5、验证用户本...
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
"Shiro+SpringMVC+Redis+MySQL实现单点登录"是一个典型的系统安全架构,它整合了多个技术组件来构建一个高效、可靠的单点登录(Single Sign-On, SSO)解决方案。以下是关于这个主题的详细知识点: 1. **Apache ...
ssm+shiro+redis 登录控制及重试次数过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数过5次后账号锁定一分钟不能登录
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统
04-19
用了两个多月的时间完成的:Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级开发系统,Springboot作为容器,使用mybatis作为持久层框架 使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术 ...
基于SpringBoot+Spring+SpringMvc+Mybatis+Shiro+Redis 开发单点登录管理系统源码
06-19
基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + ...
shiro+spring+data+session+redis实现单点登录
08-03
本案例聚焦于使用Apache Shiro、Spring、Spring Data以及Redis来实现单点登录功能,下面将详细解释这些组件以及它们如何协同工作。 **Apache Shiro** Apache Shiro是一款轻量级的安全框架,提供了认证、授权、会话...
Spring Security实现多次登录失败账户锁定功能
08-25
当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败账户锁定功能,感兴趣的朋友一起看看吧
SpringBoot Shiro实现登录失败次数限制(三)
pukun888的博客
11-04 1252
1. 修改CustomRealm.java中 doGetAuthenticationInfo 方法 之前我们会在里面进行密码的判断,现在我们把密码判断交给密码比较器 /** * 登录查询 * * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGet
shiro登陆失败提示_shiro登录认证常见的异常解析
weixin_39916520的博客
12-22 1318
场景:使用shiro安全框架做用户登录认证是,在认证的过程中可能会抛出一系列的异常,这时候我们该如何准确的捕获所遇到的异常呢?首先我们得先认识什么是ShiroException、AuthenticationException:先看看异常之间的继承关系图: 用户登录/*** 用户登录** @param email 邮箱* @param password 密码* @return*/@Respon...
ssm+shiro
mengyong1108的博客
08-16 366
shiro原理 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主体
shiro原理解析
m0_67403188的博客
08-24 2028
(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=(md5+salt),进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。
SpringBoot+shiro整合学习之登录认证和权限控制
qq_20954959的博客
02-13 8119
学习任务目标 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。 我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro的整合。需要的同学可以去我的码云下载。 导入shiro
十.shiro加密解密,短信免密登录,限制密码重试次数、防止暴力破解
u014203449的博客
07-28 2983
一。加密解密 存储尽量不要用明文密码,且不可逆的加密存储 1.加密算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的 数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 salt(盐),比如 加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一 些 md5 解密网站很容易的通...
Linux登录失败处理功能
u012026446的专栏
04-08 8345
博客园首页新随笔联系管理订阅随笔- 4  文章- 0  评论- 0 Linux登录失败处理功能本文要实现的功能:如果有人恶意尝试破解你的服务器密码,那么这个功能就能帮你起到一定的作用,当尝试密码错误过设定的次数后,就会锁定账户多长时间(自行设定),时间过后即可自行解锁,这样可以增加攻击者的成本。   服务器系统:centos6.5(centos其他版本应该也是可以的,请自行测试) 1.备份要操...
springboot+shiro+redis实现单点登录源码
最新发布
09-17
Spring Boot是一个用于快速开发Java应用程序的开源框架,Shiro是一个强大且易于使用的Java安全框架,Redis是一个开源的内存数据库。结合使用这些技术可以实现单点登录功能。 在Spring Boot中使用Shiro来处理认证和授权,可以通过配置Shiro的Realm来实现用户的登录认证和权限控制。将用户的信息存储在Redis中,利用Redis的持久化特性来实现用户登录状态的共享和存储。 首先,在Spring Boot项目的配置文件中配置Redis的连接信息,以便连接到Redis数据库。 然后,创建一个自定义的Shiro的Realm,在其中重写认证和授权的方法。在认证方法中,将用户的登录信息存储到Redis中,以便其他服务可以进行验证。在授权方法中,根据用户的角色和权限进行相应的授权操作。 接着,在Spring Boot项目的配置类中配置Shiro的相关设置,包括Realm、Session管理器、Cookie管理器等。 最后,可以在Controller层中使用Shiro的注解来标记需要进行认证和授权的接口,以确保只有登录后且具备相应权限的用户才能访问这些接口。 总的来说,通过使用Spring Boot、Shiro和Redis的组合,可以实现单点登录的功能。用户在登录后,将登录信息存储到Redis中,其他服务可以通过验证Redis中的数据来判断用户的登录状态。同时,Shiro提供了强大的认证和授权功能,可以确保只有具备相应权限的用户才能访问受保护的接口。这些功能的具体实现可以通过深入研究Spring Boot、Shiro和Redis的源码来了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值