springboot整合shiro多验证登录功能的实现（账号密码登录和使用手机验证码登录） springboot整合shiro多验证登录功

1. 首先新建一个shiroConfig shiro的配置类，代码如下：

@Configurationpublic class SpringShiroConfig {/*** @param realms 这儿使用接口集合是为了实现多验证登录时使用的* @return*/@Beanpublic SecurityManager securityManager(Collection realms) {DefaultWebSecurityManager sManager = new DefaultWebSecurityManager(); sManager.setRealms(realms); return sManager; }@Beanpublic ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //如果是匿名访问时，访问了不能访问的资源跳转的位置sfBean.setLoginUrl("/index"); //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)LinkedHashMap map = new LinkedHashMap<>(); //静态资源允许匿名访问:"anon" 静态资源授权时不能写static下面所有的开放，要将static下面的所有文件夹一个一个的开放，templates同理//map的key可以为文件的位置，也可以为请求的路径map.put("/bower_components/**", "anon"); map.put("/json/**", "anon"); map.put("/pages", "anon"); map.put("/user/userPasswordLogin", "anon"); map.put("/user/login", "anon"); map.put("/user/reg", "anon"); //访问这个路径时不会进入controller，会在这儿直接拦截退出，问为什么的，自己想请求流程去map.put("/user/userLogout", "logout"); //拦截除上面之外的所有请求路径map.put("/**", "user"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }@Beanpublic LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {return new LifecycleBeanPostProcessor(); }

2. 写Realms的实现类，一般继承自AuthorizingRealm（这个是实现用户名，密码登录），代码如下：

@Servicepublic class ShioUserRealm extends AuthorizingRealm {//注入userdao@Autowiredprivate UserDao userDao; /*** 设置凭证匹配器** @param credentialsMatcher*/@Overridepublic void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {/*这里设置了MD5盐值加密，这儿就必须使用HashedCredentialsMatcher才能有下面两个方法*/HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); //这里是设置加密方式matcher.setHashAlgorithmName("MD5"); //这里是设置加密的次数matcher.setHashIterations(2); super.setCredentialsMatcher(matcher); }/*** 这儿是设置授权的* @param principalCollection* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null; }/*** 通过此方法完成认证数据的获取及封装，系统底层会将认证数据传递认证管理器，有认证管理器完成认证操作* @param authenticationToken* @return* @throws AuthenticationException*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//先判断这个是否是来及这个令牌的数据：我们这儿分为了UsernamePasswordToken（shiro给我们提供的。）、UserPhoneTokenif (!(authenticationToken instanceof UsernamePasswordToken)) {return null; }//获取controller传过来的数据UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken; //upToken.setRememberMe(true); shiro默认为false,是是否记住我的功能//这儿为用户提交的usernameString username = upToken.getUsername(); //去数据更加name取到用户的信息User user = userDao.findUserByUserName(username); //判断数据库是否有这用户if (user == null) {throw new UnknownAccountException(); }//判断用户的状态是否被禁用(数据库的字段)if (user.getState() == 0) {throw new LockedAccountException(); }//这儿是取到用户信息中的盐值，盐值要转换为ByteSource这个类型才能使用ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt()); //这儿是将这个用户的信息交给shiro（user为用户对象，user.getPassword()是要加密的对象，credentialsSalt为盐值，getName()当前对象）SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName()); return info; }}

3. 此时用户的账号密码登录已经可以使用了controller代码如下：

@RequestMapping("userPasswordLogin")@ResponseBodypublic JsonResult userPasswordLogin(String username, String password) {Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); subject.login(token); return new JsonResult("login Ok"); }

4. 我们现在来实现短信验证码登录实现：
4.1 先写UserPhoneToken，我放在l和springShiroConfig同一目录下：

@Componentpublic class UserPhoneToken extends UsernamePasswordToken implements Serializable {private static final long serialVersionUID = 6293390033867929958L; // 手机号码private String phoneNum; //无参构造public UserPhoneToken(){}//获取存入的值@Overridepublic Object getPrincipal() {if (phoneNum == null) {return getUsername(); } else {return getPhoneNum(); }}@Overridepublic Object getCredentials() {if (phoneNum == null) {return getPassword(); }else {return "ok"; }}public UserPhoneToken(String phoneNum) {this.phoneNum = phoneNum; }public UserPhoneToken(final String userName, final String password) {super(userName, password); }public String getPhoneNum() {return phoneNum; }public void setPhoneNum(String phoneNum) {this.phoneNum = phoneNum; }@Overridepublic String toString() {return "PhoneToken [PhoneNum=" + phoneNum + "]"; }}

4.2 在写shiroUserPhoneRealm,代码如下：

@Servicepublic class ShioUserPhoneRealm extends AuthorizingRealm {@Autowiredprivate UserDao userDao; @Overridepublic void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {//这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcherCredentialsMatcher matcher = new AllowAllCredentialsMatcher(); super.setCredentialsMatcher(matcher); }@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null; }/*** 通过此方法完成认证数据的获取及封装，系统底层会将认证数据传递认证管理器，有认证管理器完成认证操作* @param authenticationToken* @return* @throws AuthenticationException*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {UserPhoneToken token = null; if (authenticationToken instanceof UserPhoneToken) {token = (UserPhoneToken) authenticationToken; }else {return null; }//获取我发送验证码是存入session中的验证码和手机号String verificationCode = (String) SecurityUtils.getSubject().getSession().getAttribute("verificationCode"); String phone = (String) SecurityUtils.getSubject().getSession().getAttribute("phone"); //获取controller传过来的数据String verificationCode1 = (String) token.getPrincipal(); //去数据库根据手机号查询用户信息User user = userDao.findUserByUserPhone(phone); if (StringUtils.isEmpty(verificationCode)) {throw new ServiceException("网络错误"); }//比对手机号if (!verificationCode.equals(verificationCode1)) {throw new ServiceException("验证码不正确"); }if (user == null) {throw new UnknownAccountException(); }if (user.getState() == 0) {throw new LockedAccountException(); }return new SimpleAuthenticationInfo(user,phone,getName()); }}

4.3 手机号码登录验证已经基本完成：controller代码如下：

@PostMapping("verificationCodeLogin")@ResponseBodypublic JsonResult verificationCodeLogin(String password) {Subject subject = SecurityUtils.getSubject(); UserPhoneToken token = new UserPhoneToken(password); subject.login(token); return new JsonResult("login OK"); }

使用过程中遇到的bug
1.

org.apache.shiro.authc.UnknownAccountException: Realm [cn.tedu.wxacs.service.impl.ShioUserPhoneRealm@768d8431] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - 张三, rememberMe=false].

出现这个问题是我的是因为Realm中的某个实现类没有加注解，我这儿演示时是应为ShiroUserRealm为加@Service注解
2.

org.apache.shiro.authc.AuthenticationException: Authentication token of type [class org.apache.shiro.authc.UsernamePasswordToken] could not be authenticated by any configured realms.Please ensure that at least one realm can authenticate these tokens.

这儿出现的问题是应为我的ShioUserRealm的AuthenticationInfo方法的User user = userDao.findUserByUserName(username); 这行代码出现的问题，debug的时候就发现这一句执行后就保错
原因：是因为我的application.yml文件中没有写dao对应的mapper文件的路径
3. 在ShioUserPhoneRealm的doGetAuthenticationInfo方法的new SimpleAuthenticationInfo(user,phone,getName())这个位置后就报错是应为ShioUserPhoneRealm的这个方法中你没有将new的对象设置为AllowAllCredentialsMatcher（）；

@Overridepublic void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {//这儿的CredentialsMatcher的new的对象必须是AllowAllCredentialsMatcherCredentialsMatcher matcher = new AllowAllCredentialsMatcher(); super.setCredentialsMatcher(matcher); }

注解中有一些需要注意的地方，建议看看，注解不对的地方还希望在下放评论指出或者联系我
应为我的知识有限，此方法本人实现目前没有问题，其中有什么不对的地方还希望各位指出，谢谢！
使用的是jdk8，spring boot 的2.2.1版本，shiro的1,.4.1版本
【springboot整合shiro多验证登录功能的实现（账号密码登录和使用手机验证码登录）】到此这篇关于springboot整合shiro多验证登录功能的实现（账号密码登录和使用手机验证码登录）的文章就介绍到这了,更多相关springboot整合shiro验证登录内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！