Shiro免密登录

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量9.7k 收藏 38
点赞数 4
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxfamly/article/details/92839999
版权

目录

1.千篇一律

2.点睛之笔

所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。

在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Token时报错,父类无法强转为子类。经过研究源码,只需要再多复写一个类就可以解决。具体过程如下:

1.千篇一律

1)创建枚举类LoginType

/**
 * 登录类型
 */
public enum LoginType {
    PASSWORD("password"), // 密码登录
    NOPASSWD("nopassword"); // 免密登录
    private String code;// 状态值

    private LoginType(String code) {
        this.code = code;
    }

    public String getCode() {
        return code;
    }
}

2)自定义token类CustomeToken,继承UsernamePasswordToken类,通过构造方法区分密码登录和免密登录。

/**
 * 自定义token 继承UsernamePasswordToken,
 *  账号密码登陆(password) 和 免密登陆(nopassword)
 */
public class CustomeToken extends UsernamePasswordToken {
    private static final long serialVersionUID = -2564928913725078138L;

    private LoginType type;


    public CustomeToken() {
        super();
    }


    public CustomeToken(String username, String password, LoginType type, boolean rememberMe, String host) {
        super(username, password, rememberMe, host);
        this.type = type;
    }

    /**
     * 免密登录
     */
    public CustomeToken(String username) {
        super(username, "", false, null);
        this.type = LoginType.NOPASSWD;
    }

    /**
     * 账号密码登录
     */
    public CustomeToken(String username, String password) {
        super(username, password, false, null);
        this.type = LoginType.PASSWORD;
    }

    public LoginType getType() {
        return type;
    }


    public void setType(LoginType type) {
        this.type = type;
    }
}

 3)修改自定义的UserRealm,这个类继承了AuthorizingRealm类。将UsernamePasswordToken usertoken = (UsernamePasswordToken)token;修改为CostomToken usertoken = (CostomToken)token;

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {

	String loginId = (String)principals.getPrimaryPrincipal();
	SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
            return authorizationInfo;
	}

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {

	//增加免密登录功能,使用自定义token
	CostomToken token = (CostomToken) authcToken;

	String loginId = (String)token.getPrincipal();

        User user = userService.findUserByLoginId(loginId);

        if(user == null) {
            throw new UnknownAccountException();
        }

        if(user.getState() != 0) {
            throw new LockedAccountException(); 
        }

        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user.getLoginId(),
                user.getPassword(), 
                ByteSource.Util.bytes(user.getLoginId() + user.getSalt()),//salt=username+salt
                getName()  //realm name
        );
        return authenticationInfo;
	//	return null;
	}

}

4)自定义CostomCredentialsMatch类继承HashedCredentialsMatcher类,覆写其中的doCredentialsMatch方法,将token强转为自定义token,若loginType是免密登录,则直接返回true,否则执行父类比对。

public class CustomCredentialsMatch extends HashedCredentialsMatcher {
    private Cache<String, AtomicInteger> passwordRetryCache;

    public CustomCredentialsMatch (CacheManager cacheManager) {
        this.passwordRetryCache = cacheManager.getCache("passwordRetryCache");
    }

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        //增加免密登录功能,使用自定义token
        CustomToken usertoken = (CustomToken) token;

        //免密登录,不验证密码
        if (LoginType.NOPASSWD.equals(usertoken.getType())){
            return true;
        }

        String loginID = usertoken.getUsername();

        AtomicInteger retryTimes = passwordRetryCache.get(loginID);
        if (retryTimes == null) {
            retryTimes = new AtomicInteger(0);
            passwordRetryCache.put(loginID, retryTimes);
        }
        if (retryTimes.incrementAndGet() > 5) {
            throw new ExcessiveAttemptsException();
        }
        boolean matches = super.doCredentialsMatch(token, info);
        if (matches)
            passwordRetryCache.remove(loginID);

        return matches;
    }
}

5)LoginContoller调用

  • 密码登录
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
subject.login(token);
  • 免密登录
Subject subject = SecurityUtils.getSubject();
//增加免密登录功能,使用自定义token
CustomToken token = new CustomToken(username);
subject.login(token);

6)SSM框架下的配置文件spring/spring-client-shiro.xml的部分调整

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
   <property name="cacheManagerConfigFile" value="classpath:ehcache/ehcache-shiro.xml"/>
</bean>

<bean id="credentialsMatcher"
    class="com.xxfamly.service.security.credentials.CustomCredentialsMatch">
    <constructor-arg ref="cacheManager" />
    <property name="hashAlgorithmName" value="md5" />
    <property name="hashIterations" value="3" />
    <property name="storedCredentialsHexEncoded" value="true" />
</bean>
    
<!-- Realm实现 -->
<bean id="userRealm" class="com.xxfamly.service.security.UserRealm">
     <property name="credentialsMatcher" ref="credentialsMatcher"/>
     <property name="cachingEnabled" value="false"/>
</bean>

到这为止,网上的贴子基本如此,有人可能成功实现免密登录了,但是我没有成功,在认证的时候报强转失败,那么我们来看接下来怎么做。

2.点睛之笔

1)分析源码

shiro集成到springMVC中的方法,大家可以去百度中查阅,其中几个关键点这里提一下。

1.1)web.xml中配置拦截器

1.2)spring/spring-client-shiro.xml中配置各种过滤器

1.3)看FormAuthenticationFilter类源码

2)覆写FormAuthenticationFilter类的父类AuthenticatingFilter中的createToken方法

  • 原写法

  • 新方法
public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected AuthenticationToken createToken(String username, String password,
                                              boolean rememberMe, String host) {
        //增加免密登录功能,使用自定义token
        return new CustomToken(username, password, LoginType.PASSWORD, rememberMe, host);
    }
}

3)配置文件修改

<!--增加免密登录功能,使用自定义token-->
    <!--<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">-->
    <bean id="formAuthenticationFilter" class="com.xxfamly.service.security.filter.CustomFormAuthenticationFilter">
        <property name="usernameParam" value="username"/>
        <property name="passwordParam" value="password"/>
        <property name="rememberMeParam" value="rememberMe"/>
    </bean>

至此,彻底完成了免密登录的改造。

xxfamly
关注
  • 4
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增LoginType,登录类型枚举 5,修改ShiroConfig文件,即Shiro配置文件,主要关注:57,63,65-90行 原文链接:https://blog.csdn.net/zlxls/article/details/105455375
基于ruoyi中shiro框架如何实现免密登录
mango5208的博客
12-09 4115
基于ruoiy中shiro框架如何实现免密登录 所做项目与第三方合作,系统间存在一些接口调用,需要做授权登录。我们的项目整体使用springboot框架结合部分ruoyi的后台管理框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 若依框架官网:https://gitee.com/y_project/RuoYi 经过一番摸索,也总算弄出来了,在此记录一下 1,新增一个登录类型枚举类LoginType pa
Shiro登录认证逻辑----shiro免登录
Gzf的博客
06-10 1853
要解决的业务问题 第三方平台跳转至集成了shiro的平台时,仅通过用户名就可以实现登录集成了shiro的平台,可以理解为免登录Shiro系统。 因此要实现这样的操作,必须了解shiro的登录认证流程是如何的。 ps:以下展示的代码均为测试例子,大家可根据自己项目找到对应的逻辑处理的地方。前7步为逻辑分析,若是想看最终修改地方,则直接查看第8步即可 shiro的认证流程 1、生成token 将登陆的用户名密码等信息封装成一个UsernamePasswordToken实体类得到token信息..
shiro实现免密登录,解决三方登录问题
热门推荐
知的IT成长之路
01-01 1万+
问题: 之前在一个项目中,需要实现短信快捷登录,当输入手机号获取验证码且验证码正确时,通过数据库查询出用户,而由于使用了shiro对密码进行了加密,导致查询出来的用户密码时加密的,不能够进行登录。 解决办法: 1.定义一个枚举代码如下 public enum LoginType { PASSWORD(&quot;password&quot;), // 密码登录 NOPASSWD(&quot;nopassword...
最简单的Shiro免密登陆(springboot)
yuer629
04-19 2355
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
Shiro 实现免密登陆
Gblfy_Blog
10-22 3561
需求:对接第三方登陆,实现绕过原有Shiro认证登陆。 文章目录一、实现思路1. 现状分析2. 用户来源3. 所属范围二、实现方案2.1. 自定义登录认证规则2.2. Shiro认证枚举2.3. 密码和非密码登录2.4. 规则配置2.5. 自定义Realm2.6. 案例使用 一、实现思路 1. 现状分析 系统权框架默认使用Shiro 认证授权机制 2. 用户来源 从统一认证平台登录跳转过来的用户 3. 所属范围 登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录.
Shiro免密码登录
m0_67401153的博客
08-24 2522
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 1713
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
4.SpringBoot+Shiro免密登录
qq_27860623的博客
06-21 1866
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。二、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统免密登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
shiro之记住登录信息
08-29
Shiro提供了记住我(RememberMe)的功能,当关闭浏览器时下次再次打开还能记住你的信息,下面小编给大家分享shiro之记住登录信息的相关知识,感兴趣的朋友一起看看吧
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
SSM+shiro登录控制
03-15
shiro控制使用跳转链接前必须登录 (这里我去除了shiro权限控制 一般项目中不用shiro权限控制功能)
eclipse中使用maven生成jar包
xxfamly的博客
06-27 8852
最近项目需要发布可直接部署的jar,记录过程备忘。环境:eclipse + maven + spring boot操作步骤
由于“内部错误 - 选择的文件是不能修改的系统文件。它将被隐藏。
xxfamly的博客
09-26 4257
.copyarea.db 由于“内部错误 - 选择的文件是不能修改的系统文件。它将被隐藏。
The errors below were detected when validating the file "spring-beans-2.5.xsd" via the file
xxfamly的博客
04-23 2608
工程导入到eclipse中,报错如下:The errors below were detected when validating the file "spring-beans-2.5.xsd" via the file "applicationContext.xml".  In most cases these errors can be detected by validating "spri...
eclipse打开文件报错
xxfamly的博客
04-19 861
eclipse打开.java文件报错:Plug-in org.eclipse.jdt.ui was unable to load class org.eclipse.jdt.internal.ui.javaeditor.CompilationUnitEditor.解决办法:删除工作空间下的.metadata\.plugins\org.eclipse.jdt.core\variablesAndCon...
eclipse中maven打jar包时报错
xxfamly的博客
03-22 580
如题,使用eclipse中的maven install命令打jar时,报错:No compiler is provided in this environment. Perhaps you are running on a JRE rather than a JDK?解决方式:在Eclipse的菜单中:Window &gt; Preferences &gt; Java &gt; Installed...
SpringBoot Shiro免密登录
最新发布
07-28
在 Spring Boot 中使用 Shiro 实现免密登录的步骤如下: 1. 导入 Shiro 和 Spring Boot 的相关依赖。在 pom.xml 文件中添加以下依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-starter...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值