shiro多账号登录(用户名,手机号,邮箱)

最近的一个需求,可以使用用户名和手机号和邮箱进行登录。百度得到的那些都过于复杂。

分析:其实本质代码的核心就是在于验证,验证你输入的东西到底能不能通过,你传进去的账号和密码需要进行验证后才能登录,其实一种最简单的方法就是在验证的时候,对username替换成为邮箱和手机号,下面的代码基本不用更改,就是controller里面的登录后处理代码,不需要更改,需要更改的代码是在验证的时候,在自定义的Realm里面的doGetAuthenticationInfo方法更改。

Subject currentUser = SecurityUtils.getSubject();
Session session = SecurityUtils.getSubject().getSession();
User user = (User) session.getAttribute("user");
//把用户名和密码封装为 UsernamePasswordToken 对象
AuthenticationToken token = new UsernamePasswordToken(username, password);
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
try {
    //执行登录
    currentUser.login(token);
    //开启rememberMe功能
    usernamePasswordToken.setRememberMe(true);
    log.info("[{}] login success", username);
    returnMap.put("status", "1");
    returnMap.put("message", "登陆成功");
    if (currentUser.hasRole("userComment")) {
        //普通用户登录后台
        log.info("[{}] 普通用户成功登录后台", currentUser);
        return "redirect:/";
    }
    if (currentUser.hasRole("administrator")) {
        log.info("[{}] 管理员成功登录后台", currentUser);

        //管理员登录后台
        return "admin/index";
    }
    return "redirect:/";
    //若没有指定的账户或者密码不匹配
} catch (IncorrectCredentialsException | UnknownAccountException ice) {

    returnMap.put("status", "0");
    returnMap.put("message", "用户名或密码错误");

    log.info("[{}] username or password is wrong", username);
    attributes.addFlashAttribute("message", "用户名或密码错误");
    return REDIRECT_TO_LOGIN;
} catch (ExcessiveAttemptsException e) {
    returnMap.put("status", "0");
    returnMap.put("message", "登录失败5次,账号锁定10分钟");
    log.info("[{}] is locked", username);
    attributes.addFlashAttribute("message", "登录失败5次,账号锁定10分钟");
    return REDIRECT_TO_LOGIN;
} catch (Exception e) {
    returnMap.put("status", "0");
    returnMap.put("message", "服务不可用");
    log.error("[{}] login failed", username, e);
    attributes.addFlashAttribute("message", "登录失败5次,账号锁定10分钟");
    return REDIRECT_TO_LOGIN;
}

大致的代码就是这样。主要代码:

/**
 * 认证
 * 获取身份验证相关信息
 * */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    //先使用用户名
    String username = authenticationToken.getPrincipal().toString();
    User user = userService.getUserByUserName(username);
    if (user == null) {
        //通过邮箱
        User byUserEmail = userService.findByUserEmail(username);
        if (byUserEmail == null){
            User byUserTel = userService.findByUserTel(username);
            if (byUserTel == null){
                throw new UnknownAccountException("账号不存在。");
            }else{
                //组装 SimpleAuthenticationInfo 信息
                AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(byUserTel, byUserTel.getPassword(), ByteSource.Util.bytes(byUserTel.getSalt()), getName());
                SecurityUtils.getSubject().getSession().setAttribute("user",byUserTel);
                return authenticationInfo;
            }
        }else{
            //组装 SimpleAuthenticationInfo 信息
            AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(byUserEmail, byUserEmail.getPassword(), ByteSource.Util.bytes(byUserEmail.getSalt()), getName());
            SecurityUtils.getSubject().getSession().setAttribute("user",byUserEmail);
            return authenticationInfo;
        }
    }
    //组装 SimpleAuthenticationInfo 信息
    AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());
    SecurityUtils.getSubject().getSession().setAttribute("user",user);
    return authenticationInfo;
}

总的思路就是,先通过用户名进行查询,看用户是否使用用户名登录,如果查不出来就证明不是使用用户名,然后进入下一个if判断,根据邮箱查询用户,如果用户存在,则组装信息,如果不存在,再查找手机号的。

大概的思路就是这样,网上的都是再重新定义一个自定义的Realm,然后在post请求也是不同的。

这个功能点的特点是:在一个登陆的请求中,处理了多种账号的登录。

缺点:代码有点繁琐且算法复杂度较高,效率低。