springboot整合shiro多驗證登錄功能的實現(賬號密碼登錄和使用手機驗證碼登錄)
1. 首先新建一個shiroConfig shiro的配置類,代碼如下:
@Configuration public class SpringShiroConfig { /** * @param realms 這兒使用接口集合是為瞭實現多驗證登錄時使用的 * @return */ @Bean public SecurityManager securityManager(Collection<Realm> realms) { DefaultWebSecurityManager sManager = new DefaultWebSecurityManager(); sManager.setRealms(realms); return sManager; } @Bean public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) { ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //如果是匿名訪問時,訪問瞭不能訪問的資源跳轉的位置 sfBean.setLoginUrl("/index"); //定義map指定請求過濾規則(哪些資源允許匿名訪問,哪些必須認證訪問) LinkedHashMap<String, String> map = new LinkedHashMap<>(); //靜態資源允許匿名訪問:"anon" 靜態資源授權時不能寫static下面所有的開放,要將static下面的所有文件夾一個一個的開放,templates同理 //map的key可以為文件的位置,也可以為請求的路徑 map.put("/bower_components/**", "anon"); map.put("/json/**", "anon"); map.put("/pages", "anon"); map.put("/user/userPasswordLogin", "anon"); map.put("/user/login", "anon"); map.put("/user/reg", "anon"); //訪問這個路徑時不會進入controller,會在這兒直接攔截退出,問為什麼的,自己想請求流程去 map.put("/user/userLogout", "logout"); //攔截除上面之外的所有請求路徑 map.put("/**", "user"); sfBean.setFilterChainDefinitionMap(map); return sfBean; } @Bean public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() { return new LifecycleBeanPostProcessor(); }
2. 寫Realms的實現類,一般繼承自AuthorizingRealm(這個是實現用戶名,密碼登錄),代碼如下:
@Service public class ShioUserRealm extends AuthorizingRealm { //註入userdao @Autowired private UserDao userDao; /** * 設置憑證匹配器 * * @param credentialsMatcher */ @Override public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) { /*這裡設置瞭MD5鹽值加密,這兒就必須使用HashedCredentialsMatcher才能有下面兩個方法*/ HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); //這裡是設置加密方式 matcher.setHashAlgorithmName("MD5"); //這裡是設置加密的次數 matcher.setHashIterations(2); super.setCredentialsMatcher(matcher); } /** * 這兒是設置授權的 * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } /** * 通過此方法完成認證數據的獲取及封裝,系統底層會將認證數據傳遞認證管理器,有認證管理器完成認證操作 * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { //先判斷這個是否是來及這個令牌的數據:我們這兒分為瞭UsernamePasswordToken(shiro給我們提供的。)、UserPhoneToken if (!(authenticationToken instanceof UsernamePasswordToken)) { return null; } //獲取controller傳過來的數據 UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken; //upToken.setRememberMe(true);shiro默認為false,是是否記住我的功能 //這兒為用戶提交的username String username = upToken.getUsername(); //去數據更加name取到用戶的信息 User user = userDao.findUserByUserName(username); //判斷數據庫是否有這用戶 if (user == null) { throw new UnknownAccountException(); } //判斷用戶的狀態是否被禁用(數據庫的字段) if (user.getState() == 0) { throw new LockedAccountException(); } //這兒是取到用戶信息中的鹽值,鹽值要轉換為ByteSource這個類型才能使用 ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt()); //這兒是將這個用戶的信息交給shiro(user為用戶對象,user.getPassword()是要加密的對象,credentialsSalt為鹽值,getName()當前對象) SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName()); return info; } }
3. 此時用戶的賬號密碼登錄已經可以使用瞭controller代碼如下:
@RequestMapping("userPasswordLogin") @ResponseBody public JsonResult userPasswordLogin(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); subject.login(token); return new JsonResult("login Ok"); }
4. 我們現在來實現短信驗證碼登錄實現:
4.1 先寫UserPhoneToken,我放在l和springShiroConfig同一目錄下:
@Component public class UserPhoneToken extends UsernamePasswordToken implements Serializable { private static final long serialVersionUID = 6293390033867929958L; // 手機號碼 private String phoneNum; //無參構造 public UserPhoneToken(){} //獲取存入的值 @Override public Object getPrincipal() { if (phoneNum == null) { return getUsername(); } else { return getPhoneNum(); } } @Override public Object getCredentials() { if (phoneNum == null) { return getPassword(); }else { return "ok"; } } public UserPhoneToken(String phoneNum) { this.phoneNum = phoneNum; } public UserPhoneToken(final String userName, final String password) { super(userName, password); } public String getPhoneNum() { return phoneNum; } public void setPhoneNum(String phoneNum) { this.phoneNum = phoneNum; } @Override public String toString() { return "PhoneToken [PhoneNum=" + phoneNum + "]"; } }
4.2 在寫shiroUserPhoneRealm,代碼如下:
@Service public class ShioUserPhoneRealm extends AuthorizingRealm { @Autowired private UserDao userDao; @Override public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) { //這兒的CredentialsMatcher的new的對象必須是AllowAllCredentialsMatcher CredentialsMatcher matcher = new AllowAllCredentialsMatcher(); super.setCredentialsMatcher(matcher); } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } /** * 通過此方法完成認證數據的獲取及封裝,系統底層會將認證數據傳遞認證管理器,有認證管理器完成認證操作 * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UserPhoneToken token = null; if (authenticationToken instanceof UserPhoneToken) { token = (UserPhoneToken) authenticationToken; }else { return null; } //獲取我發送驗證碼是存入session中的驗證碼和手機號 String verificationCode = (String) SecurityUtils.getSubject().getSession().getAttribute("verificationCode"); String phone = (String) SecurityUtils.getSubject().getSession().getAttribute("phone"); //獲取controller傳過來的數據 String verificationCode1 = (String) token.getPrincipal(); //去數據庫根據手機號查詢用戶信息 User user = userDao.findUserByUserPhone(phone); if (StringUtils.isEmpty(verificationCode)) { throw new ServiceException("網絡錯誤"); } //比對手機號 if (!verificationCode.equals(verificationCode1)) { throw new ServiceException("驗證碼不正確"); } if (user == null) { throw new UnknownAccountException(); } if (user.getState() == 0) { throw new LockedAccountException(); } return new SimpleAuthenticationInfo(user,phone,getName()); } }
4.3 手機號碼登錄驗證已經基本完成:controller代碼如下:
@PostMapping("verificationCodeLogin") @ResponseBody public JsonResult verificationCodeLogin(String password) { Subject subject = SecurityUtils.getSubject(); UserPhoneToken token = new UserPhoneToken(password); subject.login(token); return new JsonResult("login OK"); }
使用過程中遇到的bug
1.
org.apache.shiro.authc.UnknownAccountException: Realm [cn.tedu.wxacs.service.impl.ShioUserPhoneRealm@768d8431] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken – 張三, rememberMe=false].
出現這個問題是我的是因為Realm中的某個實現類沒有加註解,我這兒演示時是應為ShiroUserRealm為加@Service註解
2.
org.apache.shiro.authc.AuthenticationException: Authentication token of type [class org.apache.shiro.authc.UsernamePasswordToken] could not be authenticated by any configured realms. Please ensure that at least one realm can authenticate these tokens.
這兒出現的問題是應為我的ShioUserRealm的AuthenticationInfo方法的User user = userDao.findUserByUserName(username);這行代碼出現的問題,debug的時候就發現這一句執行後就保錯
原因:是因為我的application.yml文件中沒有寫dao對應的mapper文件的路徑
3. 在ShioUserPhoneRealm的doGetAuthenticationInfo方法的new SimpleAuthenticationInfo(user,phone,getName())這個位置後就報錯是應為ShioUserPhoneRealm的這個方法中你沒有將new的對象設置為AllowAllCredentialsMatcher();
@Override public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) { //這兒的CredentialsMatcher的new的對象必須是AllowAllCredentialsMatcher CredentialsMatcher matcher = new AllowAllCredentialsMatcher(); super.setCredentialsMatcher(matcher); }
註解中有一些需要註意的地方,建議看看,註解不對的地方還希望在下放評論指出或者聯系我
應為我的知識有限,此方法本人實現目前沒有問題,其中有什麼不對的地方還希望各位指出,謝謝!
使用的是jdk8,spring boot 的2.2.1版本,shiro的1,.4.1版本
到此這篇關於springboot整合shiro多驗證登錄功能的實現(賬號密碼登錄和使用手機驗證碼登錄)的文章就介紹到這瞭,更多相關springboot整合shiro驗證登錄內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- SpringBoot 整合 Shiro 密碼登錄的實現代碼
- shrio中hashedCredentialsMatcher密碼匹配示例詳解
- spring-shiro權限控制realm實戰教程
- Spring Boot+Shiro實現一個Http請求的Basic認證
- SpringBoot整合Shiro實現權限控制的代碼實現