SpringBoot系列(七)SpringBoot 集成 Security 实现登录时增加图片验证码校验

最新推荐文章于 2022-11-15 13:23:04 发布
最新推荐文章于 2022-11-15 13:23:04 发布
阅读量759 收藏 3
点赞数 3
分类专栏: spring boot 文章标签: springboot security 验证码 vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_37832943/article/details/102483660
版权

上一节中我们基于 security 中默认提供的认证流程实现了登录功能。但是这个默认的实现只提供了用户名和密码登录,很显然在日常的项目中无法满足我们的需求。因此在这一节中将实现一个图形验证码的登录功能。在开始之前我们需要了解一下 security 的工作机制。

当我们发生一次请求时,首先会经过一组过滤器,security 就是基于这条过滤器链完成的。这条过滤器链在 spring boot 启动的时候就为我们填充完成了,而且顺序也是固定的。因此,我们的验证码实现的思路就很简单了,只需要在校验用户名和密码之前插入一个验证码的过滤器就可以实现了。关于过滤器链,这里可以找到
UsernamePasswordAuthenticationFilter 的父类 AbstractAuthenticationProcessingFilter 中的doFilter 方法,打断点,执行登录操作,可以看到,如下:
在这里插入图片描述
我们的目标就是在UsernamePasswordAuthenticationFilter 图中标红的位置插入验证码的过滤器,校验成功之后执行下一个过滤器,校验失败直接停止。这个就是我插入的一个验证码的过滤器。

ValidateCodeAuthenticationFilter 过滤器

public class ValidateCodeAuthenticationFilter extends OncePerRequestFilter {
    private static final Logger log = LoggerFactory.getLogger(ValidateCodeAuthenticationFilter.class);
    private static final String SPRING_SECURITY_FORM_VALIDATE_CODE_KEY = "validateCode";
    private ValidateCodeProcessor validateCodeProcessor;
    private AuthenticationFailureHandler authenticationFailureHandler;
    private List<String> authorizeRequests;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //验证该请求我们是否进行拦截,不拦截这里直接执行下一个 Filter
        if (checkMatch(request)) {
            //获取验证码
            String validateCode = obtainValidateCode(request);
            if (validateCode == null) {
                validateCode = "";
            }

            validateCode = validateCode.trim();

            try {
                //进行验证,验证失败抛出异常
                validateCodeProcessor.verification(request, validateCode);
            } catch (ValidateCodeException e) {
                // 这里捕获验证失败异常,停止执行下一个Filter
                authenticationFailureHandler.onAuthenticationFailure(request, response, e);
                return;
            }

        }
        filterChain.doFilter(request, response);
    }

    private String obtainValidateCode(HttpServletRequest request) {
        return request.getParameter(SPRING_SECURITY_FORM_VALIDATE_CODE_KEY);
    }

    private boolean checkMatch(HttpServletRequest request) {
        String url = request.getRequestURI();
        log.debug("Request URL is :[{}]", url);
        return authorizeRequests.contains(url);
    }

    public void setValidateCodeProcessor(ValidateCodeProcessor validateCodeProcessor) {
        this.validateCodeProcessor = validateCodeProcessor;
    }

    public void setAuthenticationFailureHandler(AuthenticationFailureHandler authenticationFailureHandler) {
        this.authenticationFailureHandler = authenticationFailureHandler;
    }

    public void setAuthorizeRequests(List<String> authorizeRequests) {
        this.authorizeRequests = authorizeRequests;
    }
}
  1. 继承了OncePerRequestFilter 保证只执行一次
  2. checkMatch(request) 方法检查是否符合拦截规则,这里我们只拦截登录请求的url
  3. validateCodeProcessor.verification(request, validateCode) 不抛出异常,则代表校验通过,直接执行下一个过滤器,失败的时候通过authenticationFailureHandler返回登录失败结果。

添加 ValidateCodeAuthenticationFilter 到UsernamePasswordAuthenticationFilter之前。
AbstractPreAuthenticatedProcessingFilterUsernamePasswordAuthenticationFilter 父类

public class ValidateCodeSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    private Filter validateCodeAuthenticationFilter;

    public ValidateCodeSecurityConfig(Filter validateCodeAuthenticationFilter) {
        this.validateCodeAuthenticationFilter = validateCodeAuthenticationFilter;
    }

    @Override
    public void configure(HttpSecurity builder) throws Exception {
        builder.addFilterBefore(validateCodeAuthenticationFilter, AbstractPreAuthenticatedProcessingFilter.class);
    }
}

应用ValidateCodeSecurityConfig配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@PropertySource("classpath:security-config.properties")
@Slf4j
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> validateCodeConfigurerAdapter;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf().disable()
                .authorizeRequests()
                //省略 loginform()
                .and().apply(validateCodeConfigurerAdapter)
                //省略其他配置项
    }

到这里我们的验证码过滤器已经完成了,下面我们去实现一个生成验证码的接口

@Slf4j
@RestController
@RequestMapping("${spring.security.code.servlet.path:/}")
public class ValidateCodeGeneratorController {
    private ValidateCodeProcessor validateCodeProcessor;

    public ValidateCodeGeneratorController(ValidateCodeProcessor validateCodeProcessor) {
        this.validateCodeProcessor = validateCodeProcessor;
    }

    @GetMapping(value = "/refresh", produces = MediaType.IMAGE_PNG_VALUE)
    public byte[] getValidateCode(HttpServletRequest request) {
        //生成验证码
        ImageCode code = (ImageCode) validateCodeProcessor.send();
        //将验证码存储到session中
        validateCodeProcessor.store(request, code);
        //返回验证码图片的字节数组给页面
        return code.getImage();
    }
}

验证码处理器

public abstract class AbstractValidateCodeProcessor implements ValidateCodeProcessor {
    private static final Logger LOG = LoggerFactory.getLogger(AbstractValidateCodeProcessor.class);
    private ValidateCodeStorage validateCodeStorage;
    private ValidateCodeProperties validateCodeProperties;

    public AbstractValidateCodeProcessor(ValidateCodeStorage validateCodeStorage, ValidateCodeProperties validateCodeProperties) {
        this.validateCodeStorage = validateCodeStorage;
        this.validateCodeProperties = validateCodeProperties;
    }

    @Override
    public ValidateCode generator() {
        //生成随机字母和数字
        String code = RandomStringUtils.randomAlphanumeric(validateCodeProperties.getLength());
        long currentTime = System.currentTimeMillis();
        //设置验证码过期时间
        ValidateCode validateCode = new ValidateCode(code, new Date(currentTime + validateCodeProperties.getExpireInSecond() * 1000));
        LOG.info("The validate code is generated:[{}]", validateCode.getValidateCode());
        return validateCode;
    }

    @Override
    public void verification(HttpServletRequest request, String code) throws ValidateCodeException {
        //从session中取出验证码,这里的 validateCodeStorage为接口 之后可以扩展为 基于redis的
        ValidateCode validateCode = validateCodeStorage.get(request);
        if (validateCode == null) {
            throw new ValidateCodeNotFoundException("The captcha not found");
        }
        if (validateCode.getExpireTime().before(new Date())) {
            throw new ValidateCodeExpireException("The captcha has expired");
        }

        if (!validateCode.getValidateCode().equalsIgnoreCase(code)){
            throw new ValidateCodeNotMatchedException("The captcha not matched");
        }
    }

    @Override
    public boolean store(HttpServletRequest request, ValidateCode code) {
        //向session写入验证码
        return validateCodeStorage.set(request, code);
    }
}

图片验证码生成操作

public class ImageCodeGenerator extends AbstractValidateCodeProcessor {
    private ImageDrawer imageDrawer;

    public ImageCodeGenerator(ValidateCodeStorage validateCodeStorage, ValidateCodeProperties validateCodeProperties, ImageDrawer imageDrawer) {
        super(validateCodeStorage, validateCodeProperties);
        this.imageDrawer = imageDrawer;
    }

    @Override
    public Object send() {
        ValidateCode validateCode = this.generator();
        return imageDrawer.draw(validateCode);
    }
}

public class DefaultImageDrawer implements ImageDrawer {
    private static final Logger LOG = LoggerFactory.getLogger(DefaultImageDrawer.class);
    private ImageCodeProperties imageCodeProperties;

    public DefaultImageDrawer(ImageCodeProperties imageCodeProperties) {
        this.imageCodeProperties = imageCodeProperties;
    }

    @Override
    public ImageCode draw(ValidateCode code) {
        return generateValidateCode(code);
    }

    private ImageCode generateValidateCode(ValidateCode validateCode) {
        int width = imageCodeProperties.getWidth();
        int height = imageCodeProperties.getHeight();
        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

        Graphics g = image.getGraphics();

        Random random = new Random();

        g.setColor(getRandColor(200, 250));
        g.fillRect(0, 0, width, height);
        g.setFont(new Font("Times New Roman", Font.ITALIC, 20));
        g.setColor(getRandColor(160, 200));
        for (int i = 0; i < 155; i++) {
            int x = random.nextInt(width);
            int y = random.nextInt(height);
            int xl = random.nextInt(12);
            int yl = random.nextInt(12);
            g.drawLine(x, y, x + xl, y + yl);
        }
        String code = validateCode.getValidateCode();
        StringBuilder sRand = new StringBuilder();
        for (int i = 0; i < code.length(); i++) {
            String rand = String.valueOf(code.charAt(i));
            sRand.append(rand);
            g.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));
            g.drawString(rand, 13 * i + 6, 16);
        }

        g.dispose();
        byte[] imageBuffer = null;
        try (ByteArrayOutputStream out = new ByteArrayOutputStream()){
            ImageIO.write(image, "PNG", out);
            imageBuffer = out.toByteArray();
        }catch (IOException e) {
            LOG.error("Draw image failed!");
        }
        return new ImageCode(sRand.toString(), validateCode.getExpireTime() , imageBuffer);
    }

    private Color getRandColor(int fc, int bc) {
        Random random = new Random();
        if (fc > 255) {
            fc = 255;
        }
        if (bc > 255) {
            bc = 255;
        }
        int r = fc + random.nextInt(bc - fc);
        int g = fc + random.nextInt(bc - fc);
        int b = fc + random.nextInt(bc - fc);
        return new Color(r, g, b);
    }
}

我们可以展示下效果
在这里插入图片描述
后端项目地址:https://github.com/QUPENGRANDOM/vd-mall

前端项目地址:https://github.com/QUPENGRANDOM/vd-mall-web

西门吹雪花
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringBoot结合SpringSecurity实现图形验证码功能
08-27
主要介绍了SpringBoot + SpringSecurity 实现图形验证码功能,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot登录添加图片验证
weking1024的博客
12-09 383
引入依赖 <!--验证码--> <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <versio...
Spring Boot2 系列教程(三十四)Spring Security 添加验证码
江南一点雨的专栏
03-09 3691
登录添加验证码是一个非常常见的需求,网上也有非常成熟的解决方案,其实,要是自己自定义登录实现这个并不难,但是如果需要在 Spring Security 框架中实现这个功能,还得稍费一点功夫,本文就和小伙伴来分享下在 Spring Security 框架中如何添加验证码。 关于 Spring Security 基本配置,这里就不再多说,小伙伴有不懂的可以参考 http://springboot.ja...
SpringBoot整合SpringSecurity图片验证码简单实现
u014295903的博客
11-19 966
SpringBoot整合SpringSecurity图片验证码简单实现 简单说一下帖子内容 新项目结构自己定,就决定使用SpringSecurity权限。也因为之前一直都没有写过全向方面的东西,所以过程中遇到了很多问题,并且各种查阅资料、帖子、贴吧等,很多问题都是复制粘贴,根本无法解决问题。因此决定自己写这篇文章,不进是为了自己借鉴,也为大家提供帮助。以下内容主要是针对SpringSecurit...
SpringBoot实现引入登录验证码功能
peng_YuJun的博客
08-05 1159
本篇文章将会介绍在网页开发中常用的验证码功能,并具体讲解在Spring Boot如何使用easy-captcha工具包生成验证码并进行后续的验证操作。
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
Springboot集成spring-security实现基于验证码登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
SpringBoot登录验证码实现过程详解
08-19
主要介绍了SpringBoot登录验证码实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot+Security 发送短信验证码实现
08-14
springboot框架越来越流行了,而使用springboot衍生出来的很多功能我们也需要掌握,该文档是关于发送短信的文档,需要的可以下载。
springboot图形验证码java,SpringBoot结合SpringSecurity实现图形验证码功能
weixin_42361834的博客
03-11 165
本文介绍了SpringBoot结合SpringSecurity实现图形验证码功能,分享给大家,具体如下:生成图形验证码根据随机数生成图片将随机数存到Session中将生成的图片写到接口的响应中生成图形验证码的过程比较简单,和SpringSecurity也没有什么关系。所以就直接贴出代码了根据随机数生成图片/*** 生成图形验证码* @param request* @return*/private ...
springboot项目直接url访问项目图片
莫宇的博客
05-29 9527
1,springboot项目中想要直接通过项目链接直接访问图片是需要再配置文件中配置相应路径,配置如下 2,配置如上后,文件存放在resources--->static目录下 3,配置好后可直接通过http://localhost:8080/oneimg.png,就可以直接访问了 ...
Spring Security登录如何添加图形验证码
m0_73311735的博客
11-15 250
这里继承的过滤器为,并重写方法。用户登录的用户名/密码是在类中处理,那我们就继承这个类,增加验证码的处理。、,不过处理起来会比继承麻烦一点。@Override// 需要是 POST 请求if (!}// 获得请求验证码值// 获得 session 中的 验证码值throw new AuthenticationServiceException("验证码不能为空!");}
SpringBoot集成SpringSecurity(三)记住我及图形验证码
罗伯特是疯子丶
05-25 713
需求 为了增强用户体验,实现“记住我”功能; 为了提高csrf攻击门槛,增加图形验证码功能; 记住我 场景类比: 从用户体验来讲: 在用户登录系统一次访问首页后,在有效期内可以免登录访问首页;中间可以包括不小心电脑关机,关闭浏览器等场景… 从技术的角度来讲: 即便session过期,remember me还在有效期内也可以访问; 即便系统重启,remember me还在有效期内也可以访问。 验证码 对于csrf攻击,大家可自行百度详细内容,我在这里简单说一下: 要完成一次CSRF攻击,受
springboot——security实现验证码:使用自定义认证
换了马甲的小强的博客
10-27 910
在使用Spring Security的自定义认证之前,有必要了解Spring Security是如何灵活集成多种认证方式的。在spring Security中用户被称为主体(principal),主体包含了所有能够验证而获得系统访问权限的用户、设备或其他系统。主体的概念来自Java Security,自定义认证的基类是Authentication public interface Authenti...
spring-security设计及集成
john dong
08-31 588
类设计 集成 理清Spring Security的定制点后,就可以在系统内部集成Spring Security了。 使用预认证的方式,以适配第三方认证系统。AbstractPreAuthenticatedProcessingFilter提供了预认证的扩展点,基于该抽象类实现一个自定义认证过滤器。 public class MyPreAuthFilter extends AbstractPreAuthenticatedProcessingFilter { @Override protec
Spring Security原理分析
wh柒八九的博客
09-22 842
本文来简单的分析下Spring Security 使用原理。在前面的几节中,已经对 Spring Security 有了一个比较全的使用体验了,这节我们简单的介绍下 Spring Security 基本的原理。 文章目录Filter 过滤器 Filter 过滤器 如果要对 Web 资源进行保护,最好的办法莫过于 Filter,要想对方法调用进行保护,最好的办法莫过于 AOP。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链: ...
使用Hutool生成和验证图形验证码
weixin_33894640的博客
12-17 3298
为什么80%的码农都做不了架构师?>>> ...
Springboot集成SpringSecurity实现登录和权限管理代码
最新发布
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,我们需要创建一个继承了 WebSecurityConfigurerAdapter 的配置类,并且使用 @EnableWebSecurity 注解启用 SpringSecurity: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll() .and() .logout().permitAll(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在上面的代码中,我们通过 configure(AuthenticationManagerBuilder auth) 方法指定了使用哪个 UserDetailsService 来获取用户信息,通过 configure(HttpSecurity http) 方法配置了哪些 URL 需要哪些角色才能访问,以及登录页面和退出登录的 URL。 接下来,我们需要实现 UserDetailsService 接口,用来获取用户信息: ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("用户不存在"); } List<GrantedAuthority> authorities = new ArrayList<>(); for (Role role : user.getRoles()) { authorities.add(new SimpleGrantedAuthority(role.getName())); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities); } } ``` 在上面的代码中,我们通过 UserRepository 来获取用户信息,并且将用户的角色转换成 GrantedAuthority 对象。 最后,我们需要创建一个控制器来处理登录和退出登录的请求: ```java @Controller public class LoginController { @GetMapping("/login") public String login() { return "login"; } @GetMapping("/logout") public String logout(HttpServletRequest request, HttpServletResponse response) { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null) { new SecurityContextLogoutHandler().logout(request, response, authentication); } return "redirect:/login?logout"; } } ``` 在上面的代码中,我们通过 @GetMapping 注解来处理登录和退出登录的请求,并且在退出登录成功后重定向到登录页面。 以上就是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码,希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值