springboot + shiro 实现限制用户登录次数

最新推荐文章于 2024-04-02 13:50:17 发布
最新推荐文章于 2024-04-02 13:50:17 发布
阅读量2.2k 收藏 10
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhf852963/article/details/117469179
版权

背景:

       shiro 可以实现限制用户登录尝试次数的功能,要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,当登录失败次数达到限制,修改数据库中的状态字段,并返回前台错误信息。

创建比较器:

       创建比较器类 RetryLimitHashedCredentialsMatcher 它继承了 HashedCredentialsMatcher,在这里面实现判断登录失败次数的记录,代码如下所示:

import java.util.concurrent.atomic.AtomicInteger;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.jboss.logging.Logger;
import org.springframework.beans.factory.annotation.Autowired;

import com.dao.UserMapper;
import com.entity.User;

/**
 * 
 * 登陆次数限制
 */
public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher{

	private static final Logger logger = Logger.getLogger(RetryLimitHashedCredentialsMatcher.class);
	
    @Autowired
    private UserMapper userMapper;
    
    private Cache<String, AtomicInteger> passwordRetryCache;

    public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) {
        passwordRetryCache = cacheManager.getCache("passwordRetryCache");
    }

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

        // 获取登录用户的用户名
        String username = (String)token.getPrincipal();
        // 获取用户登录次数
        AtomicInteger retryCount = passwordRetryCache.get(username);
        if (retryCount == null) {
            // 如果用户没有登陆过,登陆次数加1 并放入缓存
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(username, retryCount);
        }
        if (retryCount.incrementAndGet() > 3) {
            // 如果用户登陆失败次数大于3次 抛出锁定用户异常  并修改数据库字段
            User user = userMapper.selectByUserName(username);
            if (user != null && "0".equals(user.getStatus())){
                // 数据库字段 默认为 0  就是正常状态 所以 要改为1
                // 修改数据库的状态字段为锁定
                user.setStatus("1");
                userMapper.updateByPrimaryKey(user);
            }
            logger.info("锁定用户" + user.getUserName());
            // 抛出用户锁定异常
            throw new LockedAccountException();
        }
        // 判断用户账号和密码是否正确
        boolean matches = super.doCredentialsMatch(token, info);
        if (matches) {
            // 如果正确,从缓存中将用户登录计数 清除
            passwordRetryCache.remove(username);
        }
        return matches;
    }

    /**
     * 根据用户名 解锁用户
     * @param username
     * @return
     */
    public void unlockAccount(String username){
        User user = userMapper.selectByUserName(username);
        if (user != null){
            // 修改数据库的状态字段为锁定
            user.setStatus("0");
            userMapper.updateByPrimaryKey(user);
            passwordRetryCache.remove(username);
        }
    }
}

修改shiroConfig:

       我们在之前的盐值加密的文章中配置过 HashedCredentialsMatcher bean ,我们在这里需要修改一些,改成下面的这个样子:

    @Bean
	public HashedCredentialsMatcher hashedCredentialsMatcher() {
        // 主要是这块创建的对象是我们上面的继承类
		RetryLimitHashedCredentialsMatcher retryLimitHashedCredentialsMatcher = new RetryLimitHashedCredentialsMatcher(ehCacheManager());
		// 散列算法:这里使用MD5算法;
		retryLimitHashedCredentialsMatcher.setHashAlgorithmName("md5");
		// 散列的次数,比如散列两次,相当于 md5(md5(""));
		retryLimitHashedCredentialsMatcher.setHashIterations(2);
		// storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
		retryLimitHashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
		return retryLimitHashedCredentialsMatcher;
	}

       如果你是之前加密存储密码的配置,就不需要配置下面的代码,看一下你的代码是不是使用加密算法类来验证密文。

    // 将自己的验证方式加入容器
	@Bean
	public CustomRealm myShiroRealm() {
		CustomRealm customRealm = new CustomRealm();
		// 告诉realm,使用credentialsMatcher加密算法类来验证密文
		customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
		/* 开启支持缓存,需要配置如下几个参数 */
		customRealm.setCachingEnabled(true);
	    // 启用身份验证缓存,即缓存AuthenticationInfo信息,默认false
		customRealm.setAuthenticationCachingEnabled(true);
	    // 缓存AuthenticationInfo信息的缓存名称 在 ehcache-shiro.xml 中有对应缓存的配置
		customRealm.setAuthenticationCacheName("authenticationCache");
	    // 启用授权缓存,即缓存AuthorizationInfo信息,默认false
		customRealm.setAuthorizationCachingEnabled(true);
	    // 缓存AuthorizationInfo 信息的缓存名称  在 ehcache-shiro.xml 中有对应缓存的配置
		customRealm.setAuthorizationCacheName("authorizationCache");
		return customRealm;
	}

配置缓存:

       在 ehcache-shiro.xml 添加缓存项 passwordRetryCache ,当项目关闭的时候,当前用户存储的次数也会被清空。

    <!-- 登录失败次数缓存
    	注意 timeToLiveSeconds 设置为300秒 也就是5分钟
     	可以根据自己的需求更改
 	-->
	<cache name="passwordRetryCache"
	       maxEntriesLocalHeap="2000"
	       eternal="false"
	       timeToIdleSeconds="0"
	       timeToLiveSeconds="300"
	       overflowToDisk="false"
	       statistics="true">
	</cache>

修改 LoginController:

       在 LoginController 中添加解除用户限制的方法,整个文件的代码如下所示:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.servlet.ModelAndView;

import com.entity.ResultData;
import com.entity.User;
import com.service.UserService;
import com.shiro.CustomRealm;
import com.shiro.RetryLimitHashedCredentialsMatcher;

import lombok.extern.slf4j.Slf4j;

@Controller
@Slf4j
public class LoginController {

	@Autowired
	UserService userService;
	@Autowired
	RetryLimitHashedCredentialsMatcher retryLimitHashedCredentialsMatcher;

	@GetMapping("/login")
	public String login() {
		return "login";
	}

	@PostMapping("/login")
	@ResponseBody
	public ResultData login(String userName,String password,String rememberMe) {
		ResultData resultData = new ResultData();
		if (StringUtils.isEmpty(userName) || StringUtils.isEmpty(password)) {
			resultData.setCode(200);
			resultData.setMessage("用户名和密码不能为空!");
			return resultData;
		}
		boolean rememberBoolean = false;
		if("on".equals(rememberMe)) {
			rememberBoolean = true;
		}
		//用户认证信息
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
				userName,password,rememberBoolean);
		try {
			// 用户账号和密码进行验证
			subject.login(usernamePasswordToken);
			resultData.setCode(100);
			return resultData;
		} catch (Exception e) {
			if(e instanceof UnknownAccountException) {
				log.error("用户名不存在!", e);
				resultData.setCode(200);
				resultData.setMessage("用户名不存在!");
			}
			if(e instanceof IncorrectCredentialsException) {
				log.error("用户名或者密码错误!", e);
				resultData.setCode(200);
				resultData.setMessage("用户名或者密码错误!");
			}
			if(e instanceof LockedAccountException) {
				log.error("账号已被锁定,请联系管理员!", e);
				resultData.setCode(200);
				resultData.setMessage("账号已被锁定,请联系管理员!");
			}
			return resultData;
		}
	}

	@GetMapping("/page_skip")
	public String page_skip() {
		return "page_skip";
	}

	@RequestMapping("/shiro_index")
	public ModelAndView shiro_index() {
		ModelAndView view = new ModelAndView();

		view.setViewName("shiro_index");
		return view;
	}

	/**
	 * 解除admin 用户的限制登录 
	 * 写死的 方便测试
	 * @return
	 */
	@RequestMapping("/unlockAccount")
	@ResponseBody
	public ResultData unlockAccount(String userName){
		ResultData resultData = new ResultData();
		try {
			retryLimitHashedCredentialsMatcher.unlockAccount(userName);
			resultData.setCode(100);
			resultData.setMessage("解锁成功!");
		}catch(Exception e) {
			e.printStackTrace();
			resultData.setCode(200);
			resultData.setMessage("解锁失败!");
		}
		return resultData;
	}
}

       为了方便测试,记得将 unlockAccount 权限改为任何人可访问,需要修改 ShiroConfig 类的 ShiroFilterFactoryBean 的方法,代码如下所示:

    // Filter工厂,设置对应的过滤条件和跳转条件
	@Bean
	public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
		// .....省略	
		Map<String, String> map = new LinkedHashMap<>();
	    // 添加这块的过滤,否则请求进不来
		map.put("/unlockAccount", "anon");	
        // .....省略
		shiroFilter.setFilterChainDefinitionMap(map);
		return shiroFilter;
	}

修改登录界面:

       整个 login.jsp 的登录界面的内容如下所示:

<%@ page language="java" contentType="text/html; charset=UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="ISO-8859-1">
<title>一路发咨询网站</title>
</head>
<body>
<script type="text/javascript" src="/static/js/jquery-3.2.1.min.js"></script>
<script type="text/javascript" src="/static/js/login.js"></script>
<link rel="stylesheet" type="text/css" href="/static/css/login.css"/>
<h1>欢迎登录一路发咨询网站</h1>

<div>
	<div id="father" style="background-image: url('/static/image/index.png');">
		<div style="width:300px;height:100px;">
			<div style="width:150px;float:left">
				<span>用户名:<span></span>
			</div>
			<div style="width:150px;float:left;">
				<input  style="height:34px" type="text" id="userName" name="userName"/>
			</div>
		</div>
		<div style="width:300px;height:100px;">
			<div style="width:150px;float:left;">
				<span>密码:<span></span>
			</div>
			<div style="width:150px;float:left;">
				<input  style="height:34px" type="password" id="password"  name="password"/>
			</div>
		</div>
		<div style="width:300px;height:100px;">
			<div style="width:64px;float:left;margin-left:280px">
				<input style="height:34px;width:34px;" type="checkbox" id="rememberMe"  name="rememberMe" />
			</div>
			 <div style="width:150px;float:left;margin-top:-4px">
					<span>记住我<span></span>
			</div>
		</div>
		 <div style="margin-left:190px">
				<input type="button" style="height:50px;width:90px;margin-top:5px;font-size:34px;font-weight:bold" onclick="login()" value="提交"/>
				<input type="button" style="height:50px;margin-left:30px;width:150px;font-size:24px;font-weight:bold" onclick="unlock()" value="解锁用户"/>
		</div>
	</div>
</div>
</body>
</html>

       所涉及到的 login.js 的内容如下所示:

function login(){
	var userName = $("#userName").val();
	var password = $("#password").val();
	var rememberMe = $("#rememberMe").val();
	if (userName == '') {
		alert('用户名不能为空!');
		return;
	}
	if (password == '') {
		alert('密码不能为空!');
		return;
	}
	$.ajax({
		url: 'login',
		type: "POST",
		async: false,
		data: {"userName":userName, "password":password, "rememberMe":rememberMe},
		success: function (data) {
			if (data.code == 100) {
				window.location = 'shiro_index';
			}else {
				alert(data.message);
			}
		},
		error:function(){
			alert(data.message);
		}
	});
}
function unlock(){
	var userName = $("#userName").val();
	if (userName == '') {
		alert('用户名不能为空!');
		return;
	}
	$.ajax({
		url: '/unlockAccount',
		type: "POST",
		async: false,
		data: {"userName":userName},
		success: function (data) {
			if (data.code == 100) {
				alert(data.message);
			}else {
				alert(data.message);
			}
		},
		error:function(){
			alert(data.message);
		}
	});
}

测试:

       启动工程,在登录界面故意输错密码 3 次,就会出现下面的页面:

       点击解除用户,就会出现下面的页面:

       再输入正确的密码即可正常登录:

 

快乐的小三菊
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
springboot + shiro 实现认证授权(快速上手详细教程)
Ian_1216的博客
10-15 803
本篇主要讲述springboot搭建以及shiro实现认证。 一、springboot项目的搭建 a:file -> new -> project
springboot+Shiro快速入门:简洁版(快速搭建示例)
qq_45833160的博客
05-11 328
springboot整合shiro快速入门简洁版
springboot + shiro 尝试登录次数限制
最新发布
2301_77093780的博客
04-02 457
Realm在验证用户身份的时候,要进行密码匹配。最简单的情况就是明文直接匹配,然后就是加密匹配,这里的匹配工作则就是交给CredentalsMatcher来完成的。我们在这里继承这个接口,自定义一个密码匹配器,缓存入键值对用户名以及匹配次数,若通过密码匹配,则删除该键值对,若不匹配则匹配次数自增。超过给定的次数限制则抛出错误。这里缓存用的是ehcache。1、encache配置。4、shiro配置修改。
springboot+shiro+mybatis实现角色权限控制
m0_67391120的博客
08-24 755
spring+spirngmvc+shiro的整合已经有很多了,之前的项目中也用过,但是最近想在springboot中使用shiro这样,其他项目需要的时候只需要把它依赖进来就可以直接使用,至于shiro的原理其他的blog都有很多介绍。这里只讲几个重点在项目中注意的地方。shiro官网。
springboot + shiro 整合 redis 缓存用户并发登录限制用户登录错误次数
快乐的小三菊的博客
06-08 2888
springboot + shiro + redis
SpringBoot+Shiro+ehcache实现登录失败超次数锁定帐号
Java持续实践
02-26 4417
文章目录一 Shiro的执行流程二.Controller层接收登录请求三.自定义的Realm四.密码验证器增加登录次数校验功能五.ShiroConfig的配置类六.EhCache 的配置七. 全局异常的配置 一 Shiro的执行流程 1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shi...
Springboot+Shiro+Mybatis实现权限管理
小海龟的博客
01-23 1034
本文主要介绍Springboot+Shiro+Mybatis三者的整合 目录 1.项目结构 2.整合mybatis 2.1新建父工程 pom.xml 2.2 创建shiro-util模块 pom.xml 2.3创建shiro-pojo模块 pom.xml 2.4 创建shiro-dao模块 UserMapper.java是接口 config.xml mybatis的配置文...
(原创)springboot+shiro+redis 限制同用户多次登录(不需要考虑sprinboot、redis版本)
王威振的博客
04-08 4286
如果你还在为上面的错误而烦恼。还要听从网上说找合适的版本去解决。来到这篇文章,你的电脑算是保住了。 让我们来分析下问题所在。其实就是实体类RedisSessionDAO中方法getActiveSessions具体是 redisManager.keys行的问题。有兴趣的可以继续找redisManager.keys下面的代码。 如果考虑换版本之类的,有可能对整体框架都是有影响的。所以我们要换种思路。既然是shiro内在的redis出的问题。那我能不能摒弃他们的redis。答案是:当然可以了! ..
springboot+shiro+redis+jwt实现多端登录:PC端和移动端同时在线(不同终端可同时在线)
weixin_43165220的博客
05-08 5149
前言 之前写了篇springboot+shiro+redis多端登录:单点登录+移动端和PC端同时在线的文章,但是token用的不是 jwt 而是 sessionID,虽然已经实现了区分pc端和移动端,但是还是有些问题存在的,比如:自定义的Session管理器中,生成的sessionid无法区分不同终端;还有就是登录用的是 subject.login(token) shiro帮我们自动登录,要实现的是移动端需要保持长期登录; 关于移动端保持长期登录,我想的是,另外建一张存储用户信息和token的表,登录成功
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
实现登录失败次数限制时,我们需要使用 Shiro 框架提供的拦截器来判断用户的登录失败次数。当用户登录失败时,Shiro 框架将记录用户的登录失败次数,并在达到一定限制时禁止用户登录。 在实现密码加密时,我们...
springboot整合shiro登录失败次数限制功能的实现代码
08-27
主要介绍了springboot整合shiro-登录失败次数限制功能,实现此功能如果是防止坏人多次尝试,破解密码的情况,所以要限制用户登录尝试次数,需要的朋友可以参考下
ssm+shiro+redis 登录控制及重试次数超过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数超过5次后账号锁定一分钟不能登录
springboot 集成shiro代码实例
08-28
SpringBoot集成Shiro是Java开发中常见的权限管理实践,它结合了SpringBoot的便捷性和Apache Shiro的安全特性,为Web应用程序提供了用户认证和授权的解决方案。以下是对这一主题的详细阐述: 1. **SpringBoot简介**...
springboot整合shiro视频
06-21
7. 安全设置:配置全局的Shiro策略,如登录失败次数限制、记住我功能、CSRF防护等。 四、实战案例 在"zhousidun-dms-master.txt"这个文件中,可能包含了某个实际的SpringBoot+Shiro的项目源码。这个项目可能是围绕...
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 5426
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
springboot shiro session过期跳转到登录
快乐的小三菊的博客
05-31 2737
背景: 想实现一个 session 过期,然后系统自动校验,然后跳转到登录页的功能,研究了好几天,终于研究出来了。 编写拦截器: 需要编写一个拦截器SystemFilter 来拦截用户的 ajax 请求,若当前的 session 处于超时状态,则给他设置session-status 为timeout ,然后在 js 文件里面做一个校验即可。 public class SystemFilter implements Filter{ @Override publ...
springboot + shiro 整合 redis 解决频繁访问 redis 和更新 session
快乐的小三菊的博客
06-08 2643
关于频繁访问 redis ,一共分为两种情况,第一种是频繁的去 redis 中 读取 session ;另外一种是频繁的去更新 redis 中的 session ,针对这两种情况,分别写出相应的解决方案。
shiro 简介
快乐的小三菊的博客
04-29 2500
shiro 简介
springboot+shiro+redis实现单点登录源码
09-17
Spring Boot是一个用于快速开发Java应用程序的开源框架,Shiro是一个强大且易于使用的Java安全框架,Redis是一个开源的内存数据库。结合使用这些技术可以实现单点登录功能。 在Spring Boot中使用Shiro来处理认证和授权,可以通过配置Shiro的Realm来实现用户的登录认证和权限控制。将用户的信息存储在Redis中,利用Redis的持久化特性来实现用户登录状态的共享和存储。 首先,在Spring Boot项目的配置文件中配置Redis的连接信息,以便连接到Redis数据库。 然后,创建一个自定义的Shiro的Realm,在其中重写认证和授权的方法。在认证方法中,将用户的登录信息存储到Redis中,以便其他服务可以进行验证。在授权方法中,根据用户的角色和权限进行相应的授权操作。 接着,在Spring Boot项目的配置类中配置Shiro的相关设置,包括Realm、Session管理器、Cookie管理器等。 最后,可以在Controller层中使用Shiro的注解来标记需要进行认证和授权的接口,以确保只有登录后且具备相应权限的用户才能访问这些接口。 总的来说,通过使用Spring Boot、Shiro和Redis的组合,可以实现单点登录的功能。用户在登录后,将登录信息存储到Redis中,其他服务可以通过验证Redis中的数据来判断用户的登录状态。同时,Shiro提供了强大的认证和授权功能,可以确保只有具备相应权限的用户才能访问受保护的接口。这些功能的具体实现可以通过深入研究Spring Boot、Shiro和Redis的源码来了解。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快乐的小三菊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值