本文主要是介绍shiro认证时出现报错Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin...,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
shiro认证时出现报错:
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credentials.
当时出现这个问题是在生产的uat环境上出现的,说实话,挺幸运的,幸好是在uat环境上测出来的(公司的测试环境没有发现),要是上生产出现这个问题,估计得挨批评了。。。
好了,废话不多说,我来介绍一下这个报错出现的场景。当时给客户上的是两套是系统(A和B),系统里面的用户是相互独立的,但是A系统的用户是需要同步到B系统里去的,当时出现的问题就是A系统同步用户到B系统,然后A系统在使用的过程中,修改了用户的密码(密码也会同步过去),B系统里的这个用户就登录不了。当时给我的第一反应就是缓存问题,但这只是自己的怀疑而已,并没有证据。
好吧,那我们自己找证据,根据现场给过来的log日志,我们可以直接定位到shiro源码的报错位置。
org.apache.shiro.realm.AuthenticatingRealm.assertCredentialsMatch(AuthenticatingRealm.java:603)
通过断点,这里我们可以看见,应该是token和info里面的信息不配造成的。
好,那么我点doCredentialsMatch方法,好家伙!!!果然有问题,通过AuthenticationToken和AuthenticationInfo通过单词的意思,我们可以猜出来,AuthenticationToken是登录传递过来的,AuthenticationInfo是shiro里的Realm认证和授权的时候传递过来的,查看两处相关代码,有重大发现!Realm认证的时候,是从缓存中获取的用户信息!
那么分析到这里,问题就比较清晰了,A系统修改密码,同步密码信息的时候,是直接用SQL修改,没有刷新到B系统里的缓存!
解决问题的方法有两种,一种是去掉B系统这里的缓存。第二种是A系统同步密码信息的时候,通知B系统刷新缓存!
这篇关于shiro认证时出现报错Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin...的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
![BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin](https://i-blog.csdnimg.cn/direct/ed45c0efd0ac40c68b2c1bc7b6d90ebc.png)
