您好,登錄后才能下訂單哦!
這個(gè)項(xiàng)目寫到現(xiàn)在,基本的雛形出來了,在此感謝一直關(guān)注的童鞋,送你們一句最近剛學(xué)習(xí)的一句雞湯:念念不忘,必有回響。再貼一張ui圖片:
前篇思考問題解決
前篇我們只是完成了同一賬戶的登錄人數(shù)限制shiro攔截器的編寫,對于手動(dòng)踢出用戶的功能只是說了采用在session域中添加一個(gè)key為kickout的布爾值,由之前編寫的KickoutSessionControlFilter攔截器來判斷是否將用戶踢出,還沒有說怎么獲取當(dāng)前在線用戶的列表的核心代碼,下面貼出來:
/** * <p> * 服務(wù)實(shí)現(xiàn)類 * </p> * * @author z77z * @since 2017-02-10 */ @Service public class SysUserService extends ServiceImpl<SysUserMapper, SysUser> { @Autowired RedisSessionDAO redisSessionDAO; public Page<UserOnlineBo> getPagePlus(FrontPage<UserOnlineBo> frontPage) { // 因?yàn)槲覀兪怯胷edis實(shí)現(xiàn)了shiro的session的Dao,而且是采用了shiro+redis這個(gè)插件 // 所以從spring容器中獲取redisSessionDAO // 來獲取session列表. Collection<Session> sessions = redisSessionDAO.getActiveSessions(); Iterator<Session> it = sessions.iterator(); List<UserOnlineBo> onlineUserList = new ArrayList<UserOnlineBo>(); Page<UserOnlineBo> pageList = frontPage.getPagePlus(); // 遍歷session while (it.hasNext()) { // 這是shiro已經(jīng)存入session的 // 現(xiàn)在直接取就是了 Session session = it.next(); // 如果被標(biāo)記為踢出就不顯示 Object obj = session.getAttribute("kickout"); if (obj != null) continue; UserOnlineBo onlineUser = getSessionBo(session); onlineUserList.add(onlineUser); } // 再將List<UserOnlineBo>轉(zhuǎn)換成mybatisPlus封裝的page對象 int page = frontPage.getPage() - 1; int rows = frontPage.getRows() - 1; int startIndex = page * rows; int endIndex = (page * rows) + rows; int size = onlineUserList.size(); if (endIndex > size) { endIndex = size; } pageList.setRecords(onlineUserList.subList(startIndex, endIndex)); pageList.setTotal(size); return pageList; } //從session中獲取UserOnline對象 private UserOnlineBo getSessionBo(Session session){ //獲取session登錄信息。 Object obj = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY); if(null == obj){ return null; } //確保是 SimplePrincipalCollection對象。 if(obj instanceof SimplePrincipalCollection){ SimplePrincipalCollection spc = (SimplePrincipalCollection)obj; /** * 獲取用戶登錄的,@link SampleRealm.doGetAuthenticationInfo(...)方法中 * return new SimpleAuthenticationInfo(user,user.getPswd(), getName());的user 對象。 */ obj = spc.getPrimaryPrincipal(); if(null != obj && obj instanceof SysUser){ //存儲(chǔ)session + user 綜合信息 UserOnlineBo userBo = new UserOnlineBo((SysUser)obj); //最后一次和系統(tǒng)交互的時(shí)間 userBo.setLastAccess(session.getLastAccessTime()); //主機(jī)的ip地址 userBo.setHost(session.getHost()); //session ID userBo.setSessionId(session.getId().toString()); //session最后一次與系統(tǒng)交互的時(shí)間 userBo.setLastLoginTime(session.getLastAccessTime()); //回話到期 ttl(ms) userBo.setTimeout(session.getTimeout()); //session創(chuàng)建時(shí)間 userBo.setStartTime(session.getStartTimestamp()); //是否踢出 userBo.setSessionStatus(false); return userBo; } } return null; } }
代碼中注釋比較完善,也可以去下載源碼查看,這樣結(jié)合看,跟容易理解,不懂的在評論區(qū)留言,看見必回!
對Ajax請求的優(yōu)化:這里有一個(gè)前提,我們知道Ajax不能做頁面redirect和forward跳轉(zhuǎn),所以Ajax請求假如沒登錄,那么這個(gè)請求給用戶的感覺就是沒有任何反應(yīng),而用戶又不知道用戶已經(jīng)退出了。也就是說在KickoutSessionControlFilter攔截器攔截后,正常如果被踢出,就會(huì)跳轉(zhuǎn)到被踢出的提示頁面,如果是Ajax請求,給用戶的感覺就是沒有感覺,核心解決代碼如下:
Map<String, String> resultMap = new HashMap<String, String>(); //判斷是不是Ajax請求 if ("XMLHttpRequest".equalsIgnoreCase(((HttpServletRequest) request).getHeader("X-Requested-With"))) { resultMap.put("user_status", "300"); resultMap.put("message", "您已經(jīng)在其他地方登錄,請重新登錄!"); //輸出json串 out(response, resultMap); }else{ //重定向 WebUtils.issueRedirect(request, response, kickoutUrl); } private void out(ServletResponse hresponse, Map<String, String> resultMap) throws IOException { try { hresponse.setCharacterEncoding("UTF-8"); PrintWriter out = hresponse.getWriter(); out.println(JSON.toJSONString(resultMap)); out.flush(); out.close(); } catch (Exception e) { System.err.println("KickoutSessionFilter.class 輸出JSON異常,可以忽略。"); } }
這是在KickoutSessionControlFilter這個(gè)攔截器里面做的修改。
目標(biāo):
實(shí)現(xiàn)目標(biāo)一:
shiro本身是有對密碼加密進(jìn)行實(shí)現(xiàn)的,提供了PasswordService及CredentialsMatcher用于提供加密密碼及驗(yàn)證密碼服務(wù)。
我就是自己實(shí)現(xiàn)的EDS加密,并且保存的加密明文是采用password+username的方式,減小了密碼相同,密文也相同的問題,這里我只是貼一下,EDS的加密解密代碼,另外我還改了MyShiroRealm文件,再查數(shù)據(jù)庫的時(shí)候加密后再查,而且在創(chuàng)建用戶的時(shí)候不要忘記的加密存到數(shù)據(jù)庫。這里就補(bǔ)貼代碼了。
/** * DES加密解密 * * @author z77z * @datetime 2017-3-13 */ public class MyDES { /** * DES算法密鑰 */ private static final byte[] DES_KEY = { 21, 1, -110, 82, -32, -85, -128, -65 }; /** * 數(shù)據(jù)加密,算法(DES) * * @param data * 要進(jìn)行加密的數(shù)據(jù) * @return 加密后的數(shù)據(jù) */ @SuppressWarnings("restriction") public static String encryptBasedDes(String data) { String encryptedData = null; try { // DES算法要求有一個(gè)可信任的隨機(jī)數(shù)源 SecureRandom sr = new SecureRandom(); DESKeySpec deskey = new DESKeySpec(DES_KEY); // 創(chuàng)建一個(gè)密匙工廠,然后用它把DESKeySpec轉(zhuǎn)換成一個(gè)SecretKey對象 SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES"); SecretKey key = keyFactory.generateSecret(deskey); // 加密對象 Cipher cipher = Cipher.getInstance("DES"); cipher.init(Cipher.ENCRYPT_MODE, key, sr); // 加密,并把字節(jié)數(shù)組編碼成字符串 encryptedData = new sun.misc.BASE64Encoder().encode(cipher.doFinal(data.getBytes())); } catch (Exception e) { // log.error("加密錯(cuò)誤,錯(cuò)誤信息:", e); throw new RuntimeException("加密錯(cuò)誤,錯(cuò)誤信息:", e); } return encryptedData; } /** * 數(shù)據(jù)解密,算法(DES) * * @param cryptData * 加密數(shù)據(jù) * @return 解密后的數(shù)據(jù) */ @SuppressWarnings("restriction") public static String decryptBasedDes(String cryptData) { String decryptedData = null; try { // DES算法要求有一個(gè)可信任的隨機(jī)數(shù)源 SecureRandom sr = new SecureRandom(); DESKeySpec deskey = new DESKeySpec(DES_KEY); // 創(chuàng)建一個(gè)密匙工廠,然后用它把DESKeySpec轉(zhuǎn)換成一個(gè)SecretKey對象 SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES"); SecretKey key = keyFactory.generateSecret(deskey); // 解密對象 Cipher cipher = Cipher.getInstance("DES"); cipher.init(Cipher.DECRYPT_MODE, key, sr); // 把字符串解碼為字節(jié)數(shù)組,并解密 decryptedData = new String(cipher.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(cryptData))); } catch (Exception e) { // log.error("解密錯(cuò)誤,錯(cuò)誤信息:", e); throw new RuntimeException("解密錯(cuò)誤,錯(cuò)誤信息:", e); } return decryptedData; } public static void main(String[] args) { String str = "123456"; // DES數(shù)據(jù)加密 String s1 = encryptBasedDes(str); System.out.println(s1); // DES數(shù)據(jù)解密 String s2 = decryptBasedDes(s1); System.err.println(s2); } }
實(shí)現(xiàn)目標(biāo)二
如在1個(gè)小時(shí)內(nèi)密碼最多重試5次,如果嘗試次數(shù)超過5次就鎖定1小時(shí),1小時(shí)后可再次重試,如果還是重試失敗,可以鎖定如1天,以此類推,防止密碼被暴力破解。我們使用redis數(shù)據(jù)庫來保存當(dāng)前用戶登錄次數(shù),也就是執(zhí)行身份認(rèn)證方法:
MyShiroRealm.doGetAuthenticationInfo()的次數(shù),如果登錄成功就清空計(jì)數(shù)。超過就返回相應(yīng)錯(cuò)誤信息。(redis的具體操作可以去看我之前的springboot+redis的一篇博客)根據(jù)這個(gè)邏輯,修改MyShiroRealm.java如下:
/** * 認(rèn)證信息.(身份驗(yàn)證) : Authentication 是用來驗(yàn)證用戶身份 * * @param token * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authcToken) throws AuthenticationException { System.out.println("身份認(rèn)證方法:MyShiroRealm.doGetAuthenticationInfo()"); UsernamePasswordToken token = (UsernamePasswordToken) authcToken; String name = token.getUsername(); String password = String.valueOf(token.getPassword()); //訪問一次,計(jì)數(shù)一次 ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue(); opsForValue.increment(SHIRO_LOGIN_COUNT+name, 1); //計(jì)數(shù)大于5時(shí),設(shè)置用戶被鎖定一小時(shí) if(Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT+name))>=5){ opsForValue.set(SHIRO_IS_LOCK+name, "LOCK"); stringRedisTemplate.expire(SHIRO_IS_LOCK+name, 1, TimeUnit.HOURS); } if ("LOCK".equals(opsForValue.get(SHIRO_IS_LOCK+name))){ throw new DisabledAccountException("由于密碼輸入錯(cuò)誤次數(shù)大于5次,帳號已經(jīng)禁止登錄!"); } Map<String, Object> map = new HashMap<String, Object>(); map.put("nickname", name); //密碼進(jìn)行加密處理 明文為 password+name String paw = password+name; String pawDES = MyDES.encryptBasedDes(paw); map.put("pswd", pawDES); SysUser user = null; // 從數(shù)據(jù)庫獲取對應(yīng)用戶名密碼的用戶 List<SysUser> userList = sysUserService.selectByMap(map); if(userList.size()!=0){ user = userList.get(0); } if (null == user) { throw new AccountException("帳號或密碼不正確!"); }else if(user.getStatus()==0){ /** * 如果用戶的status為禁用。那么就拋出<code>DisabledAccountException</code> */ throw new DisabledAccountException("此帳號已經(jīng)設(shè)置為禁止登錄!"); }else{ //登錄成功 //更新登錄時(shí)間 last login time user.setLastLoginTime(new Date()); sysUserService.updateById(user); //清空登錄計(jì)數(shù) opsForValue.set(SHIRO_LOGIN_COUNT+name, "0"); } return new SimpleAuthenticationInfo(user, password, getName()); }
demo下載地址:springboot_mybatisplus_jb51.rar
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持億速云。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。