今天突然想研究一下shiro怎么匹配用户的密码。
我们使用shiro的API登录时,会先创建一个令牌对象,而经常用的令牌对象是UsernamePasswordToken,把用户输入的用户名和密码作为参数构建一个UsernamePasswordToken,然后通过Subject.login()登录。
// shiro登录认证
// 1、创建令牌
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
// 获取Subject对象
Subject subject = SecurityUtils.getSubject();
// 登录
subject.login(token);而在几经周转之下,最后会调用Realm的getAuthenticationInfo()方法获取认证信息。
一般在这里,我们会根据用户输入的用户名/手机号等查询数据库,然后把查询的结果封装成AuthenticationInfo对象返回,一般直接使用其子类SimpleAuthenticationInfo
@Override
protected SimpleAuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {
// 得到令牌
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
// 从token中获取用户名
String username = token.getUsername();
User user = userService.selectByUsername(username);
return new SimpleAuthenticationInfo(user, user.getPassword(), username);
}然后神奇的事发生了,当密码输入错误的时候,居然会登录失败,我们并没有写对比密码的代码。
那么shiro是如何知道我们输的密码对不对呢?
经过浏览官网的相关说明,发现一个叫CredentialsMatcher的接口,这个接口的中文含义就是密码匹配器
而shiro默认通过其实现类SimpleCredentialsMatcher来进行输入的密码和数据库的密码的比较(简单的等值比较)。
当数据库存储的密码不是明文时,就不能使用默认的SimpleCredentialsMatcher了,否则就算密码对了也会匹配不上。
这时候就需要自定义CredentialsMatcher来完成密码比较了~
import cn.edu.sgu.www.mhxysy.util.PasswordEncoder;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.springframework.stereotype.Component;
/**
* 密码匹配器
* @author heyunlin
* @version 1.0
*/
@Slf4j
@Component
public class UserPasswordMatcher implements CredentialsMatcher {
@Override
public boolean doCredentialsMatch(AuthenticationToken authenticationToken, AuthenticationInfo authenticationInfo) {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
SimpleAuthenticationInfo simpleAuthenticationInfo = (SimpleAuthenticationInfo) authenticationInfo;
// 得到用户输入的密码
String password = new String(token.getPassword());
// 得到数据库密码
String encodedPassword = simpleAuthenticationInfo.getCredentials().toString();
return PasswordEncoder.matches(password, encodedPassword);
}
}最后,在配置Realm的bean时,需要通过@Bean注解定义,因为要设置密码匹配器~
/**
* shiro配置类
* @author heyunlin
* @version 1.0
*/
@Configuration
public class ShiroConfig {
@Bean
public UserRealm userRealm(UserPasswordMatcher passwordMatcher) {
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(passwordMatcher);
return userRealm;
}
}
![vue2(vue-cli3x[vue.config.js])使用cesium新版(1.117.0)配置过程](https://img-blog.csdnimg.cn/direct/31d9c21061bb42318efe87401fe8b3e2.png)
