1. 首先新建一个shiroConfig  shiro的配置类,代码如下:

@Configuration是标识这个类是一个配置文件,在启动时会加载这个类里面的内容,这个配置文件的位置的一定一定一定不能防止启动类外面的文件夹中,否则还会在启动类上加注解
@Bean是将这个类交给spring管理
@Configuration

public class SpringShiroConfig {

    /**

     * @param realms 这儿使用接口集合是为了实现多验证登录时使用的

     * @return

     */

    @Bean

    public SecurityManager securityManager(Collection<Realm> realms) {

        DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();

        sManager.setRealms(realms);

        return sManager;

    }

    @Bean

    public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {

        ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();

        sfBean.setSecurityManager(securityManager);

        //如果是匿名访问时,访问了不能访问的资源跳转的位置

        sfBean.setLoginUrl("/index");

        //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)

        LinkedHashMap<String, String> map = new LinkedHashMap<>();

        //静态资源允许匿名访问:"anon" 静态资源授权时不能写static下面所有的开放,要将static下面的所有文件夹一个一个的开放,templates同理

        //map的key可以为文件的位置,也可以为请求的路径

        map.put("/bower_components/**", "anon");

        map.put("/json/**", "anon");

        map.put("/pages", "anon");

        map.put("/user/userPasswordLogin", "anon");

        map.put("/user/login", "anon");

        map.put("/user/reg", "anon");

        //访问这个路径时不会进入controller,会在这儿直接拦截退出,问为什么的,自己想请求流程去

        map.put("/user/userLogout", "logout");

        //拦截除上面之外的所有请求路径

        map.put("/**", "user");

        sfBean.setFilterChainDefinitionMap(map);

        return sfBean;

    }

    @Bean

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

        return new LifecycleBeanPostProcessor();

    }

2. 写Realms的实现类,一般继承自AuthorizingRealm(这个是实现用户名,密码登录),代码如下:

@Service

public class ShioUserRealm extends AuthorizingRealm {

    //注入userdao

    @Autowired

    private UserDao userDao;

    /**

     * 设置凭证匹配器

     *

     * @param credentialsMatcher

     */

    @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        /*这里设置了MD5盐值加密,这儿就必须使用HashedCredentialsMatcher才能有下面两个方法*/

        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();

        //这里是设置加密方式

        matcher.setHashAlgorithmName("MD5");

        //这里是设置加密的次数

        matcher.setHashIterations(2);

        super.setCredentialsMatcher(matcher);

    }

    /**

     * 这儿是设置授权的

     * @param principalCollection

     * @return

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;

    }

    /**

     * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,有认证管理器完成认证操作

     * @param authenticationToken

     * @return

     * @throws AuthenticationException

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //先判断这个是否是来及这个令牌的数据:我们这儿分为了UsernamePasswordToken(shiro给我们提供的。)、UserPhoneToken

        if (!(authenticationToken instanceof UsernamePasswordToken)) {

            return null;

        }

        //获取controller传过来的数据

        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;

        //upToken.setRememberMe(true);shiro默认为false,是是否记住我的功能

        //这儿为用户提交的username

        String username = upToken.getUsername();

        //去数据更加name取到用户的信息

        User user = userDao.findUserByUserName(username);

        //判断数据库是否有这用户

        if (user == null) {

            throw new UnknownAccountException();

        }

        //判断用户的状态是否被禁用(数据库的字段)

        if (user.getState() == 0) {

            throw new LockedAccountException();

        }

        //这儿是取到用户信息中的盐值,盐值要转换为ByteSource这个类型才能使用

        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());

        //这儿是将这个用户的信息交给shiro(user为用户对象,user.getPassword()是要加密的对象,credentialsSalt为盐值,getName()当前对象)

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName());

        return info;

    }

}

3. 此时用户的账号密码登录已经可以使用了controller代码如下:

@RequestMapping("userPasswordLogin")

    @ResponseBody

    public JsonResult userPasswordLogin(String username, String password) {

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        subject.login(token);

        return new JsonResult("login Ok");

    }

4. 我们现在来实现短信验证码登录实现:

4.1 先写UserPhoneToken,我放在l和springShiroConfig同一目录下:

@Component

public class UserPhoneToken extends UsernamePasswordToken implements Serializable {

    private static final long serialVersionUID = 6293390033867929958L;

    // 手机号码

    private String phoneNum;

    //无参构造

    public UserPhoneToken(){}

    //获取存入的值

    @Override

    public Object getPrincipal() {

        if (phoneNum == null) {

            return getUsername();

        } else {

            return getPhoneNum();

        }

    }

    @Override

    public Object getCredentials() {

        if (phoneNum == null) {

            return getPassword();

        }else {

            return "ok";

        }

    }

    public UserPhoneToken(String phoneNum) {

        this.phoneNum = phoneNum;

    }

    public UserPhoneToken(final String userName, final String password) {

        super(userName, password);

    }

    public String getPhoneNum() {

        return phoneNum;

    }

    public void setPhoneNum(String phoneNum) {

        this.phoneNum = phoneNum;

    }

    @Override

    public String toString() {

        return "PhoneToken [PhoneNum=" + phoneNum + "]";

    }

}

4.2 在写shiroUserPhoneRealm,代码如下:

@Service

public class ShioUserPhoneRealm extends AuthorizingRealm {

    @Autowired

    private UserDao userDao;

    @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        //这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcher

        CredentialsMatcher matcher = new AllowAllCredentialsMatcher();

        super.setCredentialsMatcher(matcher);

    }

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;

    }

    /**

     * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,有认证管理器完成认证操作

     * @param authenticationToken

     * @return

     * @throws AuthenticationException

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UserPhoneToken token = null;

        if (authenticationToken instanceof UserPhoneToken) {

            token = (UserPhoneToken) authenticationToken;

        }else {

            return null;

        }

        //获取我发送验证码是存入session中的验证码和手机号

        String verificationCode = (String) SecurityUtils.getSubject().getSession().getAttribute("verificationCode");

        String phone = (String) SecurityUtils.getSubject().getSession().getAttribute("phone");

        //获取controller传过来的数据

        String verificationCode1 = (String) token.getPrincipal();

        //去数据库根据手机号查询用户信息

        User user = userDao.findUserByUserPhone(phone);

        if (StringUtils.isEmpty(verificationCode)) {

            throw new ServiceException("网络错误");

        }

        //比对手机号

        if (!verificationCode.equals(verificationCode1)) {

            throw new ServiceException("验证码不正确");

        }

        if (user == null) {

            throw new UnknownAccountException();

        }

        if (user.getState() == 0) {

            throw new LockedAccountException();

        }

        return new SimpleAuthenticationInfo(user,phone,getName());

    }

}

4.3 手机号码登录验证已经基本完成:controller代码如下:

password为接收的验证码
 @PostMapping("verificationCodeLogin")

    @ResponseBody

    public JsonResult verificationCodeLogin(String password) {

        Subject subject = SecurityUtils.getSubject();

        UserPhoneToken token = new UserPhoneToken(password);

        subject.login(token);

        return new JsonResult("login OK");

    }

使用过程中遇到的bug

1.

org.apache.shiro.authc.UnknownAccountException: Realm [cn.tedu.wxacs.service.impl.ShioUserPhoneRealm@768d8431] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - 张三, rememberMe=false].

出现这个问题是我的是因为Realm中的某个实现类没有加注解,我这儿演示时是应为ShiroUserRealm为加@Service注解

2.

org.apache.shiro.authc.AuthenticationException: Authentication token of type [class org.apache.shiro.authc.UsernamePasswordToken] could not be authenticated by any configured realms.  Please ensure that at least one realm can authenticate these tokens.

这儿出现的问题是应为我的ShioUserRealm的AuthenticationInfo方法的User user = userDao.findUserByUserName(username);这行代码出现的问题,debug的时候就发现这一句执行后就保错

原因:是因为我的application.yml文件中没有写dao对应的mapper文件的路径

3. 在ShioUserPhoneRealm的doGetAuthenticationInfo方法的new SimpleAuthenticationInfo(user,phone,getName())这个位置后就报错是应为ShioUserPhoneRealm的这个方法中你没有将new的对象设置为AllowAllCredentialsMatcher();

 @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        //这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcher

        CredentialsMatcher matcher = new AllowAllCredentialsMatcher();

        super.setCredentialsMatcher(matcher);

    }

注解中有一些需要注意的地方,建议看看,注解不对的地方还希望在下放评论指出或者联系我

应为我的知识有限,此方法本人实现目前没有问题,其中有什么不对的地方还希望各位指出,谢谢!

使用的是jdk8,spring boot 的2.2.1版本,shiro的1,.4.1版本

shiro整合shiro多验证登录(账号密码登录和使用手机验证码登录)的更多相关文章

  1. python小练习--模拟用户登录,(3次重试机会,登录成功展示登录账号密码)

    知识点使用:1.格式化输出的两种方法---% .formate 2.while循环的使用,及跳出循环的两种方法---break(跳出循环体).continue(结束本次循环,继续下次循环) 3.if条 ...

  2. TortoiseSVN切换更改登录账号密码

    TortoiseSVN切换更改登录账号密码 方法: 在TortoiseSVN的设置对话框中,选择“已保存数据”,在“认证数据”那一行点击“清除”按钮,清楚保存的认证数据,再检出的时候就会重新跳出用户名 ...

  3. Springboot搭建Eureka并设置Eureka登录账号密码

    Springboot搭建Eureka并设置Eureka登录账号密码 一.创建一个springboot项目 1.可以使用Spring Initializr,用浏览器打开http://start.spri ...

  4. Spring Security 实现手机验证码登录

    思路:参考用户名密码登录过滤器链,重写认证和授权 示例如下(该篇示例以精简为主,演示主要实现功能,全面完整版会在以后的博文中发出): 由于涉及内容较多,建议先复制到本地工程中,然后在细细研究. 1. ...

  5. RabbitMQ+Redis模拟手机验证码登录

    RabbitMQ+Redis模拟手机验证码登录 依赖 <dependency> <groupId>org.springframework.boot</groupId> ...

  6. windows下局域网文件共享,不需要登录账号密码

    基于局域网中,有时候需要传输一个大的文件都需要用到U盘,很麻烦,所以优选文件共享.但是有时候会出现需要登录账户密码,所以需要设置第三步,步骤如下: 1.选中要共享的文件夹,右键有一个共享选项,点击出现 ...

  7. 使用Docker Compose 部署Nexus后初次登录账号密码不正确,并且在nexus-data下没有admin,password

    场景 Ubuntu Server 上使用Docker Compose 部署Nexus(图文教程): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/ ...

  8. linux中部署jenkins(war包)及jenkins忘记登录账号密码

    未登录状态 登录状态 一:部署jenkins(war包) 1.直接下载war包jenkins.war,下载地址https://jenkins.io/download 2.将下载的war包放到服务器上t ...

  9. jenkins初始化配置完后设置了管理员账号密码 网页停留时间长了刷新登录不了了

    好像陆陆续续在几台机子安装到最后正式使用的这台机器都是这样.难道是它自己本身的问题吗?只能网上帖子凑了. 找到.jenkins/config.xml文件:(windows环境就是和initialsec ...

随机推荐

  1. 【csp模拟赛6】计数--单调栈

    对于60%的数据:暴力枚举对于100%的数据:因为排列是随机的,所以从每个点向后可能的差值最多2logn个,所以答案最多只可能有nlogn种,用单调队列找出来统计即可 维护对于每个位置,向右能影响到的 ...

  2. 微信小程序之简单记账本开发记录(六)

    昨天虽然将页面成功的搭建出来 但是其中的增删改查功能没有实现,需要到逻辑页面,即js页面注册一下 效果如下图

  3. iOS开发系列--地图与定位总结

    现在很多社交.电商.团购应用都引入了地图和定位功能,似乎地图功能不再是地图应用和导航应用所特有的.的确,有了地图和定位功能确实让我们的生活更加丰富多彩,极大的改变了我们的生活方式.例如你到了一个陌生的 ...

  4. js面向对象入门

    通常我们写js以及调用: function init(){ console.log("init") } function load(){ console.log("loa ...

  5. asyncio之异步上下文管理器

    异步上下文管理器 前面文章我们提到了上下文管理器,但是这个上下文管理器只适用于同步代码,不能用于异步代码(async def形式),不过不用担心今天我们就来讨论在异步中如何使用上下文管理器. 特别提醒 ...

  6. IDEA版本控制工具VCS中使用Git,以及快捷键总结(不使用命令)

    场景介绍: 工作中多人使用版本控制软件协作开发,常见的应用场景归纳如下: 假设小组中有两个人,组长小张,组员小袁 场景一:小张创建项目并提交到远程Git仓库 场景二:小袁从远程Git仓库上获取项目源码 ...

  7. 初中知识回顾tan,sin,cos关系

    如果K=tan, sin 是X x=k/power(1+k*k,0.5)  开平方 cos是y y=1.0/power(1+k*k,0.5) 开平方 gisoracle总结 ============= ...

  8. java android 将小数度数转换为度分秒格式

    /** * 将小数度数转换为度分秒格式 * @param numStr (主要用于图片中存储经纬度) * @return */ public static String convertToSexage ...

  9. 阶段5 3.微服务项目【学成在线】_day02 CMS前端开发_18-CMS前端页面查询开发-页面原型-创建页面和定义路由

    module下创建cms目录,里面存cms模块相关的页面 在cms下创建api和components目录,components下放的就是组件. 这个组件刚才介绍的base的下的组件不一样.base下的 ...

  10. Qt编写安防视频监控系统4-删除视频

    一.前言 一般会有两种处理方式来删除视频,一种是鼠标右键菜单,删除当前视频或者删除所有视频,一种是直接按住当前视频,移到视频通道界面以外就表示删除当前视频,这也是个比较人性化的设置,每个人的喜好不一样 ...