1. 首先新建一个shiroConfig  shiro的配置类,代码如下:

@Configuration是标识这个类是一个配置文件,在启动时会加载这个类里面的内容,这个配置文件的位置的一定一定一定不能防止启动类外面的文件夹中,否则还会在启动类上加注解
@Bean是将这个类交给spring管理
@Configuration

public class SpringShiroConfig {

    /**

     * @param realms 这儿使用接口集合是为了实现多验证登录时使用的

     * @return

     */

    @Bean

    public SecurityManager securityManager(Collection<Realm> realms) {

        DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();

        sManager.setRealms(realms);

        return sManager;

    }

    @Bean

    public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {

        ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();

        sfBean.setSecurityManager(securityManager);

        //如果是匿名访问时,访问了不能访问的资源跳转的位置

        sfBean.setLoginUrl("/index");

        //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)

        LinkedHashMap<String, String> map = new LinkedHashMap<>();

        //静态资源允许匿名访问:"anon" 静态资源授权时不能写static下面所有的开放,要将static下面的所有文件夹一个一个的开放,templates同理

        //map的key可以为文件的位置,也可以为请求的路径

        map.put("/bower_components/**", "anon");

        map.put("/json/**", "anon");

        map.put("/pages", "anon");

        map.put("/user/userPasswordLogin", "anon");

        map.put("/user/login", "anon");

        map.put("/user/reg", "anon");

        //访问这个路径时不会进入controller,会在这儿直接拦截退出,问为什么的,自己想请求流程去

        map.put("/user/userLogout", "logout");

        //拦截除上面之外的所有请求路径

        map.put("/**", "user");

        sfBean.setFilterChainDefinitionMap(map);

        return sfBean;

    }

    @Bean

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

        return new LifecycleBeanPostProcessor();

    }

2. 写Realms的实现类,一般继承自AuthorizingRealm(这个是实现用户名,密码登录),代码如下:

@Service

public class ShioUserRealm extends AuthorizingRealm {

    //注入userdao

    @Autowired

    private UserDao userDao;

    /**

     * 设置凭证匹配器

     *

     * @param credentialsMatcher

     */

    @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        /*这里设置了MD5盐值加密,这儿就必须使用HashedCredentialsMatcher才能有下面两个方法*/

        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();

        //这里是设置加密方式

        matcher.setHashAlgorithmName("MD5");

        //这里是设置加密的次数

        matcher.setHashIterations(2);

        super.setCredentialsMatcher(matcher);

    }

    /**

     * 这儿是设置授权的

     * @param principalCollection

     * @return

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;

    }

    /**

     * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,有认证管理器完成认证操作

     * @param authenticationToken

     * @return

     * @throws AuthenticationException

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //先判断这个是否是来及这个令牌的数据:我们这儿分为了UsernamePasswordToken(shiro给我们提供的。)、UserPhoneToken

        if (!(authenticationToken instanceof UsernamePasswordToken)) {

            return null;

        }

        //获取controller传过来的数据

        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;

        //upToken.setRememberMe(true);shiro默认为false,是是否记住我的功能

        //这儿为用户提交的username

        String username = upToken.getUsername();

        //去数据更加name取到用户的信息

        User user = userDao.findUserByUserName(username);

        //判断数据库是否有这用户

        if (user == null) {

            throw new UnknownAccountException();

        }

        //判断用户的状态是否被禁用(数据库的字段)

        if (user.getState() == 0) {

            throw new LockedAccountException();

        }

        //这儿是取到用户信息中的盐值,盐值要转换为ByteSource这个类型才能使用

        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());

        //这儿是将这个用户的信息交给shiro(user为用户对象,user.getPassword()是要加密的对象,credentialsSalt为盐值,getName()当前对象)

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName());

        return info;

    }

}

3. 此时用户的账号密码登录已经可以使用了controller代码如下:

@RequestMapping("userPasswordLogin")

    @ResponseBody

    public JsonResult userPasswordLogin(String username, String password) {

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        subject.login(token);

        return new JsonResult("login Ok");

    }

4. 我们现在来实现短信验证码登录实现:

4.1 先写UserPhoneToken,我放在l和springShiroConfig同一目录下:

@Component

public class UserPhoneToken extends UsernamePasswordToken implements Serializable {

    private static final long serialVersionUID = 6293390033867929958L;

    // 手机号码

    private String phoneNum;

    //无参构造

    public UserPhoneToken(){}

    //获取存入的值

    @Override

    public Object getPrincipal() {

        if (phoneNum == null) {

            return getUsername();

        } else {

            return getPhoneNum();

        }

    }

    @Override

    public Object getCredentials() {

        if (phoneNum == null) {

            return getPassword();

        }else {

            return "ok";

        }

    }

    public UserPhoneToken(String phoneNum) {

        this.phoneNum = phoneNum;

    }

    public UserPhoneToken(final String userName, final String password) {

        super(userName, password);

    }

    public String getPhoneNum() {

        return phoneNum;

    }

    public void setPhoneNum(String phoneNum) {

        this.phoneNum = phoneNum;

    }

    @Override

    public String toString() {

        return "PhoneToken [PhoneNum=" + phoneNum + "]";

    }

}

4.2 在写shiroUserPhoneRealm,代码如下:

@Service

public class ShioUserPhoneRealm extends AuthorizingRealm {

    @Autowired

    private UserDao userDao;

    @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        //这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcher

        CredentialsMatcher matcher = new AllowAllCredentialsMatcher();

        super.setCredentialsMatcher(matcher);

    }

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;

    }

    /**

     * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,有认证管理器完成认证操作

     * @param authenticationToken

     * @return

     * @throws AuthenticationException

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UserPhoneToken token = null;

        if (authenticationToken instanceof UserPhoneToken) {

            token = (UserPhoneToken) authenticationToken;

        }else {

            return null;

        }

        //获取我发送验证码是存入session中的验证码和手机号

        String verificationCode = (String) SecurityUtils.getSubject().getSession().getAttribute("verificationCode");

        String phone = (String) SecurityUtils.getSubject().getSession().getAttribute("phone");

        //获取controller传过来的数据

        String verificationCode1 = (String) token.getPrincipal();

        //去数据库根据手机号查询用户信息

        User user = userDao.findUserByUserPhone(phone);

        if (StringUtils.isEmpty(verificationCode)) {

            throw new ServiceException("网络错误");

        }

        //比对手机号

        if (!verificationCode.equals(verificationCode1)) {

            throw new ServiceException("验证码不正确");

        }

        if (user == null) {

            throw new UnknownAccountException();

        }

        if (user.getState() == 0) {

            throw new LockedAccountException();

        }

        return new SimpleAuthenticationInfo(user,phone,getName());

    }

}

4.3 手机号码登录验证已经基本完成:controller代码如下:

password为接收的验证码
 @PostMapping("verificationCodeLogin")

    @ResponseBody

    public JsonResult verificationCodeLogin(String password) {

        Subject subject = SecurityUtils.getSubject();

        UserPhoneToken token = new UserPhoneToken(password);

        subject.login(token);

        return new JsonResult("login OK");

    }

使用过程中遇到的bug

1.

org.apache.shiro.authc.UnknownAccountException: Realm [cn.tedu.wxacs.service.impl.ShioUserPhoneRealm@768d8431] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - 张三, rememberMe=false].

出现这个问题是我的是因为Realm中的某个实现类没有加注解,我这儿演示时是应为ShiroUserRealm为加@Service注解

2.

org.apache.shiro.authc.AuthenticationException: Authentication token of type [class org.apache.shiro.authc.UsernamePasswordToken] could not be authenticated by any configured realms.  Please ensure that at least one realm can authenticate these tokens.

这儿出现的问题是应为我的ShioUserRealm的AuthenticationInfo方法的User user = userDao.findUserByUserName(username);这行代码出现的问题,debug的时候就发现这一句执行后就保错

原因:是因为我的application.yml文件中没有写dao对应的mapper文件的路径

3. 在ShioUserPhoneRealm的doGetAuthenticationInfo方法的new SimpleAuthenticationInfo(user,phone,getName())这个位置后就报错是应为ShioUserPhoneRealm的这个方法中你没有将new的对象设置为AllowAllCredentialsMatcher();

 @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        //这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcher

        CredentialsMatcher matcher = new AllowAllCredentialsMatcher();

        super.setCredentialsMatcher(matcher);

    }

注解中有一些需要注意的地方,建议看看,注解不对的地方还希望在下放评论指出或者联系我

应为我的知识有限,此方法本人实现目前没有问题,其中有什么不对的地方还希望各位指出,谢谢!

使用的是jdk8,spring boot 的2.2.1版本,shiro的1,.4.1版本

shiro整合shiro多验证登录(账号密码登录和使用手机验证码登录)的更多相关文章

  1. python小练习--模拟用户登录,(3次重试机会,登录成功展示登录账号密码)

    知识点使用:1.格式化输出的两种方法---% .formate 2.while循环的使用,及跳出循环的两种方法---break(跳出循环体).continue(结束本次循环,继续下次循环) 3.if条 ...

  2. TortoiseSVN切换更改登录账号密码

    TortoiseSVN切换更改登录账号密码 方法: 在TortoiseSVN的设置对话框中,选择“已保存数据”,在“认证数据”那一行点击“清除”按钮,清楚保存的认证数据,再检出的时候就会重新跳出用户名 ...

  3. Springboot搭建Eureka并设置Eureka登录账号密码

    Springboot搭建Eureka并设置Eureka登录账号密码 一.创建一个springboot项目 1.可以使用Spring Initializr,用浏览器打开http://start.spri ...

  4. Spring Security 实现手机验证码登录

    思路:参考用户名密码登录过滤器链,重写认证和授权 示例如下(该篇示例以精简为主,演示主要实现功能,全面完整版会在以后的博文中发出): 由于涉及内容较多,建议先复制到本地工程中,然后在细细研究. 1. ...

  5. RabbitMQ+Redis模拟手机验证码登录

    RabbitMQ+Redis模拟手机验证码登录 依赖 <dependency> <groupId>org.springframework.boot</groupId> ...

  6. windows下局域网文件共享,不需要登录账号密码

    基于局域网中,有时候需要传输一个大的文件都需要用到U盘,很麻烦,所以优选文件共享.但是有时候会出现需要登录账户密码,所以需要设置第三步,步骤如下: 1.选中要共享的文件夹,右键有一个共享选项,点击出现 ...

  7. 使用Docker Compose 部署Nexus后初次登录账号密码不正确,并且在nexus-data下没有admin,password

    场景 Ubuntu Server 上使用Docker Compose 部署Nexus(图文教程): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/ ...

  8. linux中部署jenkins(war包)及jenkins忘记登录账号密码

    未登录状态 登录状态 一:部署jenkins(war包) 1.直接下载war包jenkins.war,下载地址https://jenkins.io/download 2.将下载的war包放到服务器上t ...

  9. jenkins初始化配置完后设置了管理员账号密码 网页停留时间长了刷新登录不了了

    好像陆陆续续在几台机子安装到最后正式使用的这台机器都是这样.难道是它自己本身的问题吗?只能网上帖子凑了. 找到.jenkins/config.xml文件:(windows环境就是和initialsec ...

随机推荐

  1. jieba中文处理

    一:前言 和拉丁语系不同,亚洲语言是不用空格分开每个有意义的词的.而当我们进行自然语言处理的时候,大部分情况下,词汇是我们对句子和文章理解的基础,因此需要一个工具去把完整的文本中分解成粒度更细的词. ...

  2. nodejs基础 用http模块 搭建一个简单的web服务器 响应纯文本

    首先说一下,我们平时在浏览器上访问网页,所看到的内容,其实是web服务器传过来的,比如我们访问www.baidu.com.当我们在浏览器地址栏输入之后,浏览器会发送请求到web服务器,然后web服务器 ...

  3. pytest学习笔记(一)

    这两天在学习pytest,之前有小用到pytest,觉得这个测试框架很灵巧,用在实现接口自动化(pytest+requests)非常的轻便,然后很有兴致的决定学习下,然后又发现了pytest-sele ...

  4. @EnableTransactionManagement的使用

    Spring Boot 使用事务非常简单,首先使用注解 @EnableTransactionManagement 开启事务支持后,然后在访问数据库的Service方法上添加注解 @Transactio ...

  5. Java并发指南2:深入理解Java内存模型JMM

    本文转载自互联网,侵删   一:JMM基础与happens-before 并发编程模型的分类 在并发编程中,我们需要处理两个关键问题:线程之间如何通信及线程之间如何同步(这里的线程是指并发执行的活动实 ...

  6. 一文教你读懂Python中的异常信息

    正文共:11813 字 2 图 预计阅读时间: 30 分钟 原文:https://realpython.com/python-traceback/ 译者:陈祥安 原文有所改动. 在写 Python 代 ...

  7. 一、Linux的基础使用--登录、开关机与在线、命令的查询帮助

    目录 一.Linux的基础使用 1.1 X Window 与命令行模式的切换 1.2 命令行模式下命令的执行 1.3 修改支持语系 1.4 基础命令的操作 1.5 几个重要的热键[Tab].[Ctrl ...

  8. (一)OpenCV-Python学习—基础知识

    opencv是一个强大的图像处理和计算机视觉库,实现了很多实用算法,值得学习和深究下. 1.opencv包安装 · 这里直接安装opencv-python包(非官方): pip install ope ...

  9. Python 数据库的Connection、Cursor两大对象

    Python 数据库的Connection.Cursor两大对象 pymysql是Python中操作MySQL的模块,其使用方法和py2的MySQLdb几乎相同. Python 数据库图解流程 Con ...

  10. ndroid如何监听开机广播和关机广播

    需求描述:有些时候,我们需要我们的程序在开机后能自动运行,在系统即将关闭时,能写入一些记录到指定的文件里. 一.开机广播监听: Android系统启动完成后会发出启动完成广播(android.inte ...