我的shiro之旅: 十六 验证码

最新推荐文章于 2024-05-12 21:51:58 发布
最新推荐文章于 2024-05-12 21:51:58 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: shiro 文章标签: shiro java shiro spring java 安全 login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LHacker/article/details/23349201
版权

博客已移至 http://blog.gogl.top

验证码几乎是所有站点都会用到的,验证码在一定程序上能有效处理一些恶意攻击。这里用到生成验证码的工具是SimpleCaptcha,目前在官网看到最新版的是1.2.1,下载地址:http://sourceforge.net/projects/simplecaptcha/files/simplecaptcha-1.2.1.jar/download。下面给出生成验证码的工具类:

 

import java.awt.Color;
import java.awt.Font;
import java.util.List;

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import nl.captcha.Captcha;
import nl.captcha.servlet.CaptchaServletUtil;
import nl.captcha.text.renderer.DefaultWordRenderer;
import nl.captcha.text.renderer.WordRenderer;

import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.concom.lang.exception.InvalidCaptchaException;
import com.google.common.collect.ImmutableList;

/**
 * @author Dylan
 * @mail pickear@gmail.com
 * @time 2014年4月9日
 */
public final class HttpCaptchaHelper {

	private final static Logger log = LoggerFactory.getLogger(HttpCaptchaHelper.class);

	private final static String CAPTCHA_PARAM = "captcha";
	
	private final static List<Font> FOUNTS = ImmutableList.of(
			  												  new Font("Courier New", Font.ITALIC, 40), 
			  												  new Font("Arial", Font.ITALIC, 40),
			  												  new Font("Times New Roman", Font.ITALIC, 40),
			  												  new Font("Verdana", Font.ITALIC, 40)
			 												 );

	private final static List<Color> COLORS = ImmutableList.of(Color.black);

	private final static WordRenderer RENDERER = new DefaultWordRenderer(COLORS, FOUNTS);
	
	private HttpCaptchaHelper() {}

	/**store captcha to session
	 * @param captcha
	 * @param session
	 */
	public static void storeCaptcha(Captcha captcha, HttpSession session) {

		DemonPredict.notNull(session, new InvalidCaptchaException("can not get session"));
		DemonPredict.notNull(captcha, new InvalidCaptchaException(String.format("no captcha in session 【%s】", session.getId())));
		
		synchronized (session) {
			if(log.isTraceEnabled()){
				log.trace(String.format("store captcha to session 【%s】", session.getId()));
			}
			session.setAttribute(CAPTCHA_PARAM, captcha);
		}
	}
	
	/**check captcha
	 * @param captchaCode
	 * @param session
	 */
	public static void checkCaptcha(String captchaCode,HttpSession session){
		
		if(StringUtils.isBlank(captchaCode)){
			throw new InvalidCaptchaException("captcha is blank");
		}
		
		DemonPredict.notNull(session, new InvalidCaptchaException("can not get session"));
		
		Captcha captcha = (Captcha)session.getAttribute(CAPTCHA_PARAM);
		
		DemonPredict.notNull(captcha, new InvalidCaptchaException(String.format("no captcha in session 【%s】", session.getId())));
		
		DemonPredict.isTrue(captcha.isCorrect(captchaCode), new InvalidCaptchaException(String.format("the captcha is %s ,but user input %s",captcha.getAnswer(),captchaCode)));
	
		synchronized (captcha) {
			if(log.isTraceEnabled()){
				log.trace("remove captcha from session");
			}
			session.removeAttribute(CAPTCHA_PARAM);
		}
		
	}
	
	/**
	 * @return
	 */
	public static Captcha createCaptcha(){
		Captcha captcha = new Captcha.Builder(120, 40).addText(RENDERER).addNoise().build();
		return captcha;
	}
	
	/**
	 * @param response
	 * @param session
	 */
	public static void writeAndStoreCaptcha(HttpServletResponse response, HttpSession session){
		Captcha captcha = createCaptcha();
		CaptchaServletUtil.writeImage(response, captcha.getImage());
		storeCaptcha(captcha,session);
	}
	
}

 

 

 

其中DemonPredict类是自己写的一个断言类,在这里不给出代码,读者可以写一个或者用第三方包提供的断言类。这个工具类主要是生成一个Captcha,把Captcha的image写回客户端,并缓存到session中,当check后再把Captcha从session中删除。下面再给出另一个工具类,主要是针对shiro项目,在HttpCaptchaHelper基础上进一步封装。

import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.web.subject.WebSubject;

import nl.captcha.Captcha;

import com.concom.lang.helper.HttpCaptchaHelper;

/**
 * @author Dylan
 * @mail pickear@gmail.com
 * @time 2014年4月9日
 */
public final class ShiroCaptchaHelper {

	
	private ShiroCaptchaHelper(){}
	
	
	/**
	 * @param captcha
	 */
	public static void storeCaptcha(Captcha captcha){
		HttpCaptchaHelper.storeCaptcha(captcha, getHttpSession());
	}
	
	
	/**
	 * @param captchaCode
	 */
	public static void checkCaptcha(String captchaCode){
		HttpCaptchaHelper.checkCaptcha(captchaCode, getHttpSession());
	}
	
	/**
	 * @param response
	 */
	public static void writeAndStoreCaptcha(HttpServletResponse response){
		HttpCaptchaHelper.writeAndStoreCaptcha(response, getHttpSession());
	}
	
	/**
	 * @return
	 */
	private static HttpSession getHttpSession(){
		ServletRequest request = ((WebSubject)SecurityUtils.getSubject()).getServletRequest(); 
		HttpSession session = ((HttpServletRequest)request).getSession(false);
		return session;
	}
}

 

 

 

下面是一个测试用的controller代码

 

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.web.util.WebUtils;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

import com.concom.security.infrastructure.helper.ShiroCaptchaHelper;

@Controller
public class TestController {
	

	@RequestMapping(value="/captcha.html",method=RequestMethod.GET)
	public void captcha(HttpServletRequest request,HttpServletResponse response){
		
		ShiroCaptchaHelper.writeAndStoreCaptcha(response);
	}
	
	@RequestMapping(value="/check.html",method=RequestMethod.POST)
	public void checkCaptcha(HttpServletRequest request,HttpServletResponse response){
		
		String captchaCode = WebUtils.getCleanParam(request, "captcha");
		
		ShiroCaptchaHelper.checkCaptcha(captchaCode);
	}


}

 

 

页面获取验证码的html为

 

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
<script type="text/javascript">
$(function(){
	
	$(".captcha").click(function(){
		var captchaUrl =  "${ctx}/captcha.html?"+Math.random().toString();
		$("#captcha-img").attr("src",captchaUrl);
		$("#captcha").focus();
	});
	
});
</script>
</head>
<body>
	<form action="${ctx}/check.html" method="post">
	验证码 : <input id="captcha" name="captcha" type="text"/>
	<img id="captcha-img"  class="captcha"  src="${ctx}/captcha.html" alt="看不清,请点击图片换一张" />(看不清<a id="captcha1" class="captcha" href="javascript:void(0)">换一张</a>)
	<input value="提交" type="submit" />
	</form>
</body>
</html>


这里有一个地方要注意的是,页面的js点击事件里加了Math.random().toString(),这样火狐和ie浏览器才可以正常改变验证码。这个,这个问题在谷歌浏览器不存在。

 

 

 

 

 

LHacker
关注
专栏目录
Shiro第二十二章-生成验证码
海恩的博客
04-30 285
简介 在实现登录功能时,大多数情况需要验证码支持,目的是防止机器人暴力破解密码。 目前比较简单的验证码通过一些OCR工具就可以解析出来,复杂的验证码(一般通过扭曲、加线条或噪点等干扰)能够防止OCR识别。更复杂的如填字、算数等验证码则需要人工识别。 目前比较可靠的是手机验证码,但是对于用户来说比普通验证码要麻烦得多。 验证码图片可以通过Java提供的图片API实现,也可以...
我的shiro之旅: 一 shiro简介
Dylan的博文
08-28 5083
前段时间,因为项目需要,用shiro搭建了一个权限系统。现在项目已完成,希望通过以文章的形式,对shiro进行一些总结。 也希望在总结过程中,对shiro有更深刻的认识。首先,对shiro进行一个简单介绍。   一 什么是shiro Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障. 二 shiro的几个特性   易于使用 -...
Shiro第六篇【验证码、记住我】
3y
08-23 469
验证码 在登陆的时候,我们一般都设置有验证码,但是我们如果使用Shiro的话,那么Shiro默认的是使用FormAuthenticationFilter进行表单认证。 而我们的验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 FormAuthenticationFilter是Shiro默认的功能,我们想要在FormAuthenticati...
Shiro-集成验证码
TD681
08-13 6781
为了防止通过程序进行暴力登录等, 系统在登录时都会增加验证码用来分区是人为登录还是使用程序登录. 验证码的原理很简单: 在用户访问登录页面时请求服务器生成验证码, 服务器将生成的验证码保存至SESSION后生成验证码图片并显示在登录页面, 由于程序识别图片内容的成功率较低, 而人可以很快识别图片中的内容, 以此减少非人为的登录等非法操作.  技术发展到今天, 程序识别图片内容的成功率越来越高,...
shiro 验证码
Hi, Sun
06-04 219
http://blog.csdn.net/zhengwei223/article/details/9969831
shiro验证码
weixin_33721427的博客
09-27 215
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot+Shiro登录验证码制作
12-21
在本文中,我们将探讨如何在SpringBoot项目中集成Shiro并实现登录时的验证码功能,以防止机器人自动刷登录。验证码是一种有效的手段,可以确保只有真实用户而非自动化程序能够完成登录过程。 首先,我们看到一个名...
Shiro简易实例:HelloWorld
11-03
这个简单的实例主要展示了Shiro的基础用法,实际项目中,你可能还需要处理更多复杂情况,如记住我功能、密码策略、角色和权限的细粒度控制等。通过深入学习Shiro,你可以构建出更强大、更安全的应用程序。
我的shiro之旅: 十四 shiro 自动登录
热门推荐
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top shiro有几种状态,其中包括guest,user,authenticated。guest就是游客,authenticated就是认证后的用户,而user是介于两者之前。user并不代表用户已经成功认证,当用户上次登录时选择rememberMe,下次用户再访问时就是user状态。登录时选择rememberMe,shiro会通过一种加密方式将p...
shiro-starter:一个spring boot shiro starter的轮子 2.x版本
05-14
为什么选择shiro-starter 对比官方的starter,shiro-starter: 是在官方starter的基础上扩展的,兼容官方starter 将更多的参数配置化,使用起来更方便、灵活 提供两种运行模式 SESSION模式[默认]:与Shiro官方提供的...
Maven+SSM+Shiro框架整合完整实现,实现某权限用户登录,记住密码,验证码等功能。
12-22
Maven+SSM+Shiro框架整合完整实现,实现某权限用户登录,记住密码,验证码等功能,内含数据库,导入到mysql,可运行。
Java中SSM+Shiro系统登录验证码的实现方法
08-31
主要介绍了 SSM+Shiro系统登录验证码的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Shiro验证码
qq_43654581的博客
10-16 2093
账号登录时,根据图片输入验证码,校验失败拒绝登录
九、Shiro验证码
一个孤独漫步者的遐想的博客
11-06 660
九、Shiro验证码验证码类VerifyCodeUtils修改UserController修改login.jsp修改UserController修改ShiroConfig 验证码类VerifyCodeUtils package com.hz52.springboot_jsp_shiro.Utils; import javax.imageio.ImageIO; import java.awt.*; import java.awt.geom.AffineTransform; import java.awt
shiro 验证码 与 记住我
anfanfan9915的博客
07-17 157
验证码 1、 自定义FormAuthenticationFilter 需要在验证用户名密码之前验证 public class MyFormAuthenticationFilter extends FormAuthenticationFilter { protected boolean onAccessDenied(ServletRequest request, ...
Shiro验证码检测
u012737182的博客
11-13 760
1、使用kaptcha验证码组件,将所需要的开发包配置到项目之中; 2、需要自定义一个“org.apache.shiro.web.filter.authc.FormAuthenticationFilter”它的子类,而后覆写该类中的指定方法。/** * 在已有的Form认证授权器基础上扩展一个新的子类 * @author mldn */ public class CustomerFormAu
shiro学习笔记 过滤器 shiro 表单 验证码 登录
永无止境
01-09 2865
自己自定义实现了一个验证码表单过滤器,基于FormAuthenticationFilter 代码如下: package cn.ddsxy.ddlx.shiro; import cn.ddsxy.ddlx.util.CaptchaUtil; import org.apache.shiro.authc.AuthenticationException; import org.apache.shir
Git 基础教程 - 分支操作、合并分支、解决冲突
最新发布
smart_an的专栏
05-12 421
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Shiro入门指南:身份验证、授权与Web集成详解
"跟我学Shiro"是一篇详细的教程,旨在帮助读者理解和学习Apache Shiro安全框架。Shiro是一个强大的轻量级安全访问控制库,用于简化Java应用的安全性管理。本文档按照章节结构展开,包括以下几个关键知识点: 1. **...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值