springSecurity实现验证码

最新推荐文章于 2024-09-17 09:32:35 发布
最新推荐文章于 2024-09-17 09:32:35 发布
阅读量523 收藏 6
点赞数 1
文章标签: java 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3337779/article/details/131913781
版权

添加验证码大致可以分为三个步骤:根据随机数生成验证码图片;将验证码图片显示到登录页面;认证流程中加入验证码校验。Spring Security的认证校验是由UsernamePasswordAuthenticationFilter过滤器完成的,所以我们的验证码校验逻辑应该在这个过滤器之前。

生成图形验证码

验证码功能需要用到以下依赖:

 <dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-captcha</artifactId>
    <version>5.3.10</version>
</dependency>

这个工具类的用户可以参见该工具的官方文档

接着定义一个ValidateCodeController,用于处理生成验证码请求:

@Configuration
public class KaptchaConfig {
   @Bean
   public DefaultKaptcha producer() {
      DefaultKaptcha defaultKaptcha=new DefaultKaptcha();
      Properties properties=new Properties();
      //是否有边框
      properties.setProperty(Constants.KAPTCHA_BORDER,"yes");
      //验证码文本颜色
      properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_FONT_COLOR,"blue");
      //验证码图片宽度
      properties.setProperty(Constants.KAPTCHA_IMAGE_WIDTH,"160");
      //验证码图片高度
      properties.setProperty(Constants.KAPTCHA_IMAGE_HEIGHT,"60");
      //文本字符大小
      properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_FONT_SIZE,"38");
      //验证码session的值
      properties.setProperty(Constants.KAPTCHA_SESSION_CONFIG_KEY,"kaptchaCode");
      //验证码文本长度
      properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_CHAR_LENGTH,"4");
      //字体
      properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_FONT_NAMES, "宋体,楷体,微软雅黑");

      Config config = new Config(properties);
      defaultKaptcha.setConfig(config);
      return defaultKaptcha;

   }
}
@Slf4j
@RestController
public class ValidateController {

    public final static String SESSION_KEY_IMAGE_CODE = "SESSION_KEY_IMAGE_CODE";

    @GetMapping("/code/image")
    public void createCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        //设置response响应
        response.setCharacterEncoding("UTF-8");
        response.setHeader("Pragma", "No-cache");
        response.setHeader("Cache-Control", "no-cache");
        response.setDateHeader("Expires", 0);
        response.setContentType("image/jpeg");

        //定义图形验证码的长、宽、验证码字符数、干扰元素个数
        CircleCaptcha captcha = CaptchaUtil.createCircleCaptcha(100, 38, 4, 20);
        System.out.println(captcha.getCode());
        //将验证码放到HttpSession里面
        request.getSession().setAttribute(SESSION_KEY_IMAGE_CODE, captcha.getCode());
        log.info("本次生成的验证码为:" + captcha.getCode() + ",已存放到HttpSession中");

        //图形验证码写出,可以写出到文件,也可以写出到流
        //输出浏览器
        OutputStream out=response.getOutputStream();
        captcha.write(out);
        out.flush();
        out.close();

    }

//下面使用redis存储code
    @Autowired
    Producer producer;
    @Autowired
    RedisUtil redisUtil;
    @PostMapping("/getcaptcha")
    @ApiOperation("获取验证码图片")
    public R<Map<String,String>> getcaptcha(HttpServletRequest request, HttpServletResponse response) throws IOException {
        response.setContentType("image/png");
        String code = producer.createText();
        String key = UUID.randomUUID().toString();
        BufferedImage image = producer.createImage(code);
        ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
        ImageIO.write(image, "jpg", outputStream);
        //BASE64Encoder encoder = new BASE64Encoder();解码错误
        String str = "data:image/jpeg;base64,";
        byte[] bytes= Base64.encodeBase64(outputStream.toByteArray());
        String base64 = new String(bytes);
        // 存储到redis中
        redisUtil.hset("yzm", key, code, 120);
        log.info("验证码 -- {} - {}", key, code);
        Map<String,String> map=new HashMap<>();
        map.put("base64",str+base64);
        map.put("key",key);
        return R.ok(map);
    }
}

使用hutool的CaptchaUtil.createCircleCaptcha方法生成验证码对象,将生成的验证码对象存储到Session中,并通过IO流将生成的图片输出到登录页面上。

改造登录页

在登录页面加上如下代码:

<span style="display: inline">
    <input type="text" name="imageCode" placeholder="验证码" style="width: 50%;"/>
    <img src="/code/image"/>
</span>
<img>

标签的src属性对应ValidateController的createCode方法。

要使生成验证码的请求不被拦截,需要在SecurityConfig的configure方法中配置免拦截:

@Override
protected void configure(HttpSecurity http) throws Exception {
   ...
            .antMatchers("/code/image").permitAll() // 无需认证的请求路径
            .anyRequest()  // 所有请求
            ...
}

重启项目,访问http://localhost:8080/loginPage

认证流程添加验证码校验

在校验验证码的过程中,可能会抛出各种验证码类型的异常,比如“验证码错误”、“验证码已过期”等,所以我们定义一个验证码类型的异常类:

public class ValidateCodeException extends AuthenticationException {
    private static final long serialVersionUID = 5022575393500654458L;
ValidateCodeException(String message) {
    super(message);
}

}
注意,这里继承的是AuthenticationException而不是Exception。

我们都知道,Spring Security实际上是由许多过滤器组成的过滤器链,处理用户登录逻辑的过滤器为UsernamePasswordAuthenticationFilter,而验证码校验过程应该是在这个过滤器之前的,即只有验证码校验通过后采去校验用户名和密码。由于Spring Security并没有直接提供验证码校验相关的过滤器接口,所以我们需要自己定义一个验证码校验的过滤器ValidateCodeFilter:

@Component
public class ValidateCodeFilter extends OncePerRequestFilter {

    @Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        if ("/form".equalsIgnoreCase(httpServletRequest.getRequestURI())
                && "post".equalsIgnoreCase(httpServletRequest.getMethod())) {
            try {
                HttpSession session = httpServletRequest.getSession();
                String codeInReq = httpServletRequest.getParameter("imageCode");
                validateCode(session,codeInReq);
            } catch (ValidateCodeException e) {
                authenticationFailureHandler.onAuthenticationFailure(httpServletRequest, httpServletResponse, e);
                return;
            }
        }
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }

    private void validateCode(HttpSession session,String codeInRequest) throws ServletRequestBindingException {
        String codeInSession = (String)session.getAttribute(ValidateController.SESSION_KEY_IMAGE_CODE);

        if (StringUtils.isBlank(codeInRequest)) {
            throw new ValidateCodeException("验证码不能为空!");
        }
        if (codeInSession == null) {
            throw new ValidateCodeException("验证码不存在!");
        }
        if (!codeInRequest.equalsIgnoreCase(codeInSession)) {
            throw new ValidateCodeException("验证码不正确!");
        }
        session.removeAttribute(ValidateController.SESSION_KEY_IMAGE_CODE);

    }

}

ValidateCodeFilter继承了org.springframework.web.filter.OncePerRequestFilter,该过滤器只会执行一次。

在doFilterInternal方法中我们判断了请求URL是否为/form,该路径对应登录form表单的action路径,请求的方法是否为POST,是的话进行验证码校验逻辑,否则直接执行filterChain.doFilter让代码往下走。当在验证码校验的过程中捕获到异常时,调用Spring Security的校验失败处理器AuthenticationFailureHandler进行处理。

validateCode的校验逻辑是validateCode方法

我们分别从Session中获取了ImageCode对象和请求参数imageCode(对应登录页面的验证码<input>框name属性),然后进行了各种判断并抛出相应的异常。当验证码过期或者验证码校验通过时,我们便可以删除Session中的ImageCode属性了。

验证码校验过滤器定义好了,怎么才能将其添加到UsernamePasswordAuthenticationFilter前面呢?很简单,只需要在SecurityConfig的configure方法中添加些许配置即可:

@Autowired
private ValidateCodeFilter validateCodeFilter;

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class) // 添加验证码校验过滤器
            .formLogin() // 表单登录
            // http.httpBasic() // HTTP Basic
            .loginPage("/authentication/require") // 登录跳转 URL
            .loginProcessingUrl("/login") // 处理表单登录 URL
            .successHandler(authenticationSucessHandler) // 处理登录成功
            .failureHandler(authenticationFailureHandler) // 处理登录失败
            .and()
            .authorizeRequests() // 授权配置
            .antMatchers("/authentication/require",
                    "/login.html",
                    "/code/image").permitAll() // 无需认证的请求路径
            .anyRequest()  // 所有请求
            .authenticated() // 都需要认证
            .and().csrf().disable();
}

上面代码中,我们注入了ValidateCodeFilter,然后通过addFilterBefore方法将ValidateCodeFilter验证码校验过滤器添加到了UsernamePasswordAuthenticationFilter前面。

大功告成,重启项目,访问http://localhost:8080/loginPage,当不输入验证码时点击登录,
当输入错误的验证码时点击登录,
 

a3337779
关注
Spring Security 实现图形验证码
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 150
Spring Security中,实现验证码校验的方式有很多种,最简单的方式就是自定义一个专门处理验证码逻辑的过滤器,将其添加到Spring Security过滤器链的合适位置。当匹配到登录请求时,立刻对验证码进行校验,成功则放行,失败则提前结束整个验证请求。说到Spring Security的过滤器,我们先回顾一下前面使用过的配置。//@EnableWebSecurity:开启SpringSecurity 之后会默认注册大量的过滤器servlet filter。
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security 验证码
vengu733的博客
10-27 1506
原理、存在问题、解决思路我们知道Spring Security是通过过滤器链来完成了,所以它的解决方案是创建一个过滤器放到Security的过滤器链中,在自定义的过滤器中比较验证码
Spring Security系列】如何用Spring Security集成手机验证码登录?五分钟搞定!
最新发布
c18213590220的博客
09-17 1829
这篇文章将详细介绍如何利用Spring Security实现手机验证码的注册和登录功能,帮助你在短时间内搞定这一需求。
Spring Security——添加验证码
戏拈秃笔的博客
06-13 1032
通过自定义过滤器给项目添加上登录验证码
spring security 2添加用户验证码
nhy520
10-09 192
spring security 2安全功能,添加用户验证码实现,方案有3个:方案1、由于AuthenticationProcessingFilter过滤器是拦截/j_spring_security_check地址,他的实现类里只读取的j_username和j_password,没有读取其他的用户登陆信息,所以我就把验证码(code)在login.jsp页面和j_username拼装在一起,在Us...
Spring Boot整合Spring Security(四)在登录界面添加验证码
时雨吹雪的博客
01-31 4093
Spring Security,在自定义登录界面添加验证码
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring SecurityJava应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
整合Spring Security实现验证码登录
weixin_39868387的博客
10-17 706
上篇:Springboot整合mybatis plus生成代码 一、整合Spring Security实现验证码登录 1、介绍Spring Security 上面这张图一定要好好看,特别清晰,毕竟security是责任链的设计模式,是一堆过滤器链的组合,如果对于这个流程都不清楚,那么你就谈不上理解security。那么针对我们现在的这个系统,我们可以自己设计一个security的认证方案,结合江南一点雨大佬的博客,我们得到这样一套流程: 1.1、流程说明 (1)客户端发起一个请..
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
基本实现验证码校验验证码校验短信验证码的功能实现,其实和图形验证码的原理是一样的。只不过一个是返回给前端一个图片,一个是给用户发送短消息,这里只需要去调用一下短信服务商的接口就好了。 Authentication...
spring security 实现验证码登录
qq_21344887的博客
09-11 1040
引入依赖 <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>2.3.2</version> </dependency> 验证码配置类 @Configuration public class
spring security3.1 实现验证码自定义登录
03-29
NULL 博文链接:https://jw-long.iteye.com/blog/1291866
SpringSecurity实现验证码功能
weixin_41359273的博客
03-23 2547
SpringSecurity实现验证码功能1.pom.xml2.建表语句3. application.properties4.model5.mapper及其对应的xml文件6.UserService7.controller8.验证码配置9.自定义AuthenticationProvider,对验证码进行校验10.security配置11.测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://ma
SpringSecurity添加图形验证码
Curtisjia的博客
10-31 635
目录添加图形验证码生成图形验证码登录页加图片样式认证流程添加验证码校验 添加图形验证码 生成图形验证码 验证码功能需要用到spring-social-config依赖: <dependency> <groupId>org.springframework.social</groupId> <artifactId>spring-social-config</artifactId> <version>1.1.6.REL
Spring Security 图形验证码
愿风裁尽尘中沙
07-14 2905
一、图形验证码信息类 package com.xh.security.validate.code; import java.awt.image.BufferedImage; import java.time.LocalDateTime; // 图片验证码信息 public class ImageCode { // 图片 private BufferedImage image...
spring-Security(五):图形验证码
liyu121的博客
05-31 1154
图形验证码整体流程大概是:页面初始化的时候服务器生成一个验证码,然后将验证码保存到session中,再显示给html(客户端)整合springsecurity校验,自定义一个filter,将该filter设置在UsernamePasswordAuthenticationFilter之前执行,这样就会在验证用户名密码之前就校验验证码在我第三步我们自定义的filter里面校验html传来的验证码和第二...
Spring Security 添加验证码
暴走猿人的博客
03-18 338
直接上代码 生成验证码工具类 这个工具类很常见,网上也有很多,就是画一个简单的验证码,通过流将验证码写到前端页面 public class VerificationCode { private int width = 100;// 生成验证码图片的宽度 private int height = 30;// 生成验证码图片的高度 private String[] fontNa...
Spring Security自定义验证码登录
大后生大大大的博客
11-19 2180
验证码登录
Spring Security:添加登录验证码
​​
05-29 3655
登录添加验证码是一个非常常见的需求,网上也有非常成熟的解决方案。在传统的登录流程中加入一个登录验证码也不是难事,但是如何在 Spring Security 中添加登录验证码,对于初学者来说还是一件蛮有挑战的事情,因为默认情况下,在 Spring Security 中我们并不需要自己写登录认证逻辑,只需要自己稍微配置一下就可以了,所以如果要添加登录验证码,就涉及到如何在 Spring Security 即有的认证体系中,加入自己的验证逻辑。 准备验证码 要有验证码,首先得先准备好验证码,本文采用 Java
springsecurity 实现验证码登录
05-25
Spring Security可以通过自定义过滤器来实现验证码登录,主要步骤如下: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <groupId>org.springframework.boot...以上就是Spring Security实现验证码登录的步骤。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值