Heim > Java > javaLernprogramm > Wie integriert Springboot Shiro, um die Anmeldefunktion mit mehrfacher Überprüfung zu implementieren?

Wie integriert Springboot Shiro, um die Anmeldefunktion mit mehrfacher Überprüfung zu implementieren?

PHPz
Freigeben: 2023-05-10 16:19:13
nach vorne
1177 Leute haben es durchsucht

1. Erstellen Sie zunächst eine ShiroConfig-Shiro-Konfigurationsklasse. Der Code lautet wie folgt:

@Configuration
public class SpringShiroConfig {


    /**
     * @param realms 这儿使用接口集合是为了实现多验证登录时使用的
     * @return
     */
    @Bean
    public SecurityManager securityManager(Collection<Realm> realms) {
        DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
        sManager.setRealms(realms);
        return sManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {
        ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
        sfBean.setSecurityManager(securityManager);
        //如果是匿名访问时,访问了不能访问的资源跳转的位置
        sfBean.setLoginUrl("/index");
        //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
        LinkedHashMap<String, String> map = new LinkedHashMap<>();
        //静态资源允许匿名访问:"anon" 静态资源授权时不能写static下面所有的开放,要将static下面的所有文件夹一个一个的开放,templates同理
        //map的key可以为文件的位置,也可以为请求的路径
        map.put("/bower_components/**", "anon");
        map.put("/json/**", "anon");
        map.put("/pages", "anon");
        map.put("/user/userPasswordLogin", "anon");
        map.put("/user/login", "anon");
        map.put("/user/reg", "anon");
        //访问这个路径时不会进入controller,会在这儿直接拦截退出,问为什么的,自己想请求流程去
        map.put("/user/userLogout", "logout");
        //拦截除上面之外的所有请求路径
        map.put("/**", "user");
        sfBean.setFilterChainDefinitionMap(map);
        return sfBean;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
Nach dem Login kopieren

2. Schreiben Sie die Implementierungsklasse von Realms, die im Allgemeinen von AuthorizingRealm geerbt wird (dies dient zur Implementierung des Benutzernamens). und Passwort-Anmeldung), Der Code lautet wie folgt:

@Service
public class ShioUserRealm extends AuthorizingRealm {

    //注入userdao
    @Autowired
    private UserDao userDao;
    /**
     * 设置凭证匹配器
     *
     * @param credentialsMatcher
     */
    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        /*这里设置了MD5盐值加密,这儿就必须使用HashedCredentialsMatcher才能有下面两个方法*/
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //这里是设置加密方式
        matcher.setHashAlgorithmName("MD5");
        //这里是设置加密的次数
        matcher.setHashIterations(2);
        super.setCredentialsMatcher(matcher);
    }

    /**
     * 这儿是设置授权的
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;
    }

    /**
     * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,有认证管理器完成认证操作
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //先判断这个是否是来及这个令牌的数据:我们这儿分为了UsernamePasswordToken(shiro给我们提供的。)、UserPhoneToken
        if (!(authenticationToken instanceof UsernamePasswordToken)) {
            return null;
        }
        //获取controller传过来的数据
        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
        //upToken.setRememberMe(true);shiro默认为false,是是否记住我的功能
        //这儿为用户提交的username
        String username = upToken.getUsername();
        //去数据更加name取到用户的信息
        User user = userDao.findUserByUserName(username);
        //判断数据库是否有这用户
        if (user == null) {
            throw new UnknownAccountException();
        }
        //判断用户的状态是否被禁用(数据库的字段)
        if (user.getState() == 0) {
            throw new LockedAccountException();
        }
        //这儿是取到用户信息中的盐值,盐值要转换为ByteSource这个类型才能使用
        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());
        //这儿是将这个用户的信息交给shiro(user为用户对象,user.getPassword()是要加密的对象,credentialsSalt为盐值,getName()当前对象)
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName());
        return info;
    }
}
Nach dem Login kopieren

3 Zu diesem Zeitpunkt können das Konto und das Passwort des Benutzers zum Anmelden verwendet werden. Der Controller-Code lautet wie folgt:

@RequestMapping("userPasswordLogin")
    @ResponseBody
    public JsonResult userPasswordLogin(String username, String password) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        subject.login(token);
        return new JsonResult("login Ok");
    }
Nach dem Login kopieren

4. Jetzt implementieren wir die Implementierung des SMS-Bestätigungscodes:

4.1 Schreiben Sie zuerst UserPhoneToken, ich lege es in das gleiche Verzeichnis wie l und springShiroConfig:

@Component
public class UserPhoneToken extends UsernamePasswordToken implements Serializable {

    private static final long serialVersionUID = 6293390033867929958L;
    // 手机号码
    private String phoneNum;
    //无参构造
    public UserPhoneToken(){}
    
    //获取存入的值
    @Override
    public Object getPrincipal() {
        if (phoneNum == null) {
            return getUsername();
        } else {
            return getPhoneNum();
        }
    }

    @Override
    public Object getCredentials() {
        if (phoneNum == null) {
            return getPassword();
        }else {
            return "ok";
        }

    }

    public UserPhoneToken(String phoneNum) {
        this.phoneNum = phoneNum;
    }

    public UserPhoneToken(final String userName, final String password) {
        super(userName, password);
    }

    public String getPhoneNum() {
        return phoneNum;
    }

    public void setPhoneNum(String phoneNum) {
        this.phoneNum = phoneNum;
    }
    @Override
    public String toString() {
        return "PhoneToken [PhoneNum=" + phoneNum + "]";
    }

}
Nach dem Login kopieren

4.2 Beim Schreiben von shiroUserPhoneRealm lautet der Code wie folgt:

@Service
public class ShioUserPhoneRealm extends AuthorizingRealm {

    @Autowired
    private UserDao userDao;

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        //这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcher
        CredentialsMatcher matcher = new AllowAllCredentialsMatcher();
        super.setCredentialsMatcher(matcher);
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,有认证管理器完成认证操作
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UserPhoneToken token = null;
        if (authenticationToken instanceof UserPhoneToken) {
            token = (UserPhoneToken) authenticationToken;
        }else {
            return null;
        }
        //获取我发送验证码是存入session中的验证码和手机号
        String verificationCode = (String) SecurityUtils.getSubject().getSession().getAttribute("verificationCode");
        String phone = (String) SecurityUtils.getSubject().getSession().getAttribute("phone");
        //获取controller传过来的数据
        String verificationCode1 = (String) token.getPrincipal();
        //去数据库根据手机号查询用户信息
        User user = userDao.findUserByUserPhone(phone);
        if (StringUtils.isEmpty(verificationCode)) {
            throw new ServiceException("网络错误");
        }
        //比对手机号
        if (!verificationCode.equals(verificationCode1)) {
            throw new ServiceException("验证码不正确");
        }
        if (user == null) {
            throw new UnknownAccountException();
        }
        if (user.getState() == 0) {
            throw new LockedAccountException();
        }
        return new SimpleAuthenticationInfo(user,phone,getName());
    }
}
Nach dem Login kopieren

4.3 Die Anmeldeüberprüfung der Mobiltelefonnummer ist grundsätzlich abgeschlossen: Der Controller-Code lautet wie folgt:

@PostMapping("verificationCodeLogin")
    @ResponseBody
    public JsonResult verificationCodeLogin(String password) {
        Subject subject = SecurityUtils.getSubject();
        UserPhoneToken token = new UserPhoneToken(password);
        subject.login(token);
        return new JsonResult("login OK");
    }
Nach dem Login kopieren

Fehler aufgetreten während der Verwendung

1.

org.apache.shiro.authc.UnknownAccountException: Realm [cn.tedu.wxacs.service.impl.ShioUserPhoneRealm@768d8431] Es konnten keine Kontodaten für das übermittelte AuthenticationToken gefunden werden [org.apache.shiro.authc.UsernamePasswordToken – Zhang San, RememberMe=false].

Dieses Problem tritt auf, weil eine Implementierungsklasse in Realm vorhanden ist ist nicht annotiert. Wenn ich hier demonstriere, sollte die @Service-Annotation zu ShiroUserRealm# 🎜🎜#

2.

org.apache.shiro.authc.AuthenticationException hinzugefügt werden: Authentifizierungstoken vom Typ [class org.apache.shiro.authc.UsernamePasswordToken] konnte von keinem konfigurierten Bereich authentifiziert werden. Stellen Sie sicher, dass mindestens ein Bereich diese Token authentifizieren kann Beim Debuggen habe ich festgestellt, dass der Fehler nach der Ausführung garantiert ist. Pfad

3 Der nach der neuen SimpleAuthenticationInfo(user, phone, getName()) in der doGetAuthenticationInfo-Methode gemeldete Fehler sollte Sie sein hat das neue Objekt in dieser Methode von ShioUserPhoneRealm () nicht auf AllowAllCredentialsMatcher gesetzt

Das obige ist der detaillierte Inhalt vonWie integriert Springboot Shiro, um die Anmeldefunktion mit mehrfacher Überprüfung zu implementieren?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage