- 1、重试限制散列凭据匹配器
package com.asurplus.common.shiro; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.ExcessiveAttemptsException; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import java.util.concurrent.atomic.AtomicInteger; /** * 重试限制散列凭据匹配器 * 输错5次密码锁定半小时,shiro-ehcache.xml配置 */ public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher { /** * 错误次数 */ private int incrementAndGet = 5; /** * 缓存对象 */ private Cache<String, AtomicInteger> passwordRetryCache; public void setIncrementAndGet(int incrementAndGet) { this.incrementAndGet = incrementAndGet; } public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) { passwordRetryCache = cacheManager.getCache("passwordRetryCache"); } @Override public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { String username = (String) token.getPrincipal(); AtomicInteger retryCount = passwordRetryCache.get(username); if (retryCount == null) { retryCount = new AtomicInteger(0); passwordRetryCache.put(username, retryCount); } if (retryCount.incrementAndGet() > incrementAndGet) { throw new ExcessiveAttemptsException(); } boolean matches = super.doCredentialsMatch(token, info); if (matches) { passwordRetryCache.remove(username); } return matches; } }
通过上一篇【Shiro】五、Shiro整合Ehcache进行热点数据缓存博客,我们得到了 EhCacheManager 对象,这里我们刚好就用到了它,我们需要在 shiro-ehcache.xml 配置文件中,加一个存储对象,如下:
<!-- 密码校验错误,锁定30分钟 --> <cache name="passwordRetryCache" maxElementsInMemory="10000" maxElementsOnDisk="100000" eternal="false" timeToIdleSeconds="900" timeToLiveSeconds="900" overflowToDisk="false" diskPersistent="false" />
当密码错误次数大于我们设定的上限后,会抛出 ExcessiveAttemptsException 异常,我们在登录方法中可以捕获该异常,从而返回给客户端提示消息
- 2、自定义密码匹配器
/** * 凭证匹配器 * 执行login(token)后由securityManager调用,用于计算密码加密后的密文 * * @return */ @Bean public RetryLimitHashedCredentialsMatcher hashedCredentialsMatcher() { RetryLimitHashedCredentialsMatcher retryLimitHashedCredentialsMatcher = new RetryLimitHashedCredentialsMatcher(ehCacheManager()); // 设置散列算法 retryLimitHashedCredentialsMatcher.setHashAlgorithmName("md5"); // 设置散列计算次数,相当于md5(md5("")) retryLimitHashedCredentialsMatcher.setHashIterations(6); // storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码 retryLimitHashedCredentialsMatcher.setStoredCredentialsHexEncoded(true); // 错误限制次数,5次 retryLimitHashedCredentialsMatcher.setIncrementAndGet(5); return retryLimitHashedCredentialsMatcher; }
之前的博客【Shiro】三、Shiro实现自定义密码验证规则,我们已经知道如何自定义密码验证规则,这次我们需要改写它
我们使用到了 RetryLimitHashedCredentialsMatcher 对象,它继承了 HashedCredentialsMatcher 对象,只是在 doCredentialsMatch (文档标识符匹配)方法中我们实现了自己的业务逻辑
- 3、自定义认证授权规则
/** * 自定义认证授权规则 */ @Bean public LoginRelam loginRelam() { // 登录认证规则 LoginRelam loginRelam = new LoginRelam(); // 自定义加密规则 loginRelam.setCredentialsMatcher(hashedCredentialsMatcher()); return loginRelam; }
同样,我们需要在自定义授权认证的时候,传入我们的密码验证规则
