SpringSecurity3.X--验证码

最新推荐文章于 2024-11-06 20:20:40 发布
最新推荐文章于 2024-11-06 20:20:40 发布
阅读量116 收藏
点赞数
分类专栏: Spring SpringSecurity 文章标签: spring springsecurity

目录

SpringSecurity3.X--一个简单实现

SpringSecurity3.X--前台与后台登录认证

SpringSecurity3.X--remember-me

SpringSecurity3.X--验证码

 

 

一般来说,登录时都会要求用户输入验证码,以防止恶意登录。

可是,SpringSecurity并没有为我们提供这样的功能,所以就需要我们自己来解决了。

那么该如何解决呢,其实也挺简单的,

核对验证码信息,当然是在登录时处理的,所以,使用filter是最佳选择。

 

既然确定了方向,那么久该考虑如何增加这个filter了,其实可以有两种方案:

1.继承UsernamePasswordAuthenticationFilter ,在里面增加验证码验证规则即可;

2.自己定义一个filter,专门处理验证码验证;

 

笔者这里推荐使用第二种方案,因为第一种我们需要显示声明login-filter,所以需要修改SpringSecurity的配置文件,而方案2根本不需要修改,只需要向一般的filter一样,在web.xml中增加配置即可,唯一需要注意的是,mapping一定要与触发login-filter的url一致,如下所示:

<filter>
		<filter-name>imageFilter</filter-name>
		<filter-class>com.piaoyi.common.filter.ImageFilter</filter-class>
		
	</filter>
	<filter-mapping>
		<filter-name>imageFilter</filter-name>
		<url-pattern>/j_spring_security_check</url-pattern>
	</filter-mapping>

另外需要注意的是,该filter的mapping一定要声明在springSecurityFilterChain的mapping之前,这样可以保证请求先被imageFilter处理。

 

设计思路就是这样的,这里给出一个简单的实现。

 

login.jsp 

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%@ include file="/WEB-INF/views/jsp/common/includes.jsp"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登陆</title>
</head>
<body>

	<center>
		<div class="error">
			${sessionScope.SPRING_SECURITY_LAST_EXCEPTION.message }</div>
		<form name='f' id='f'
			action='<%=request.getContextPath()%>/j_spring_security_check'
			method='POST'>
			<table style="width: 50%">
				<tr>
					<td style="text-align: right; width: 35%">用户名称 :</td>
					<td style="text-align: left"><input type='text'
						name='j_username' value=''></td>
				</tr>
				<tr>
					<td style="text-align: right">密码 :</td>
					<td style="text-align: left"><input type='password'
						name='j_password' /></td>
				</tr>
				<tr>
					<td style="text-align: right"><label for="j_captcha"> 验证码: </label></td>
					<td>
					<input type='text' name='j_captcha' class="required"
						size='5' />
						<img id="imageF" src="<c:url value="/resource/image.jsp"/>" />
					<a href="#" id="flashImage">看不清楚换一张</a>
					
					</td>
				</tr>
				<tr>
					<td align="right"><input id="_spring_security_remember_me"
						name="_spring_security_remember_me" type="checkbox" value="true" />

					</td>
					<td><label for="_spring_security_remember_me">Remember Me?</label>
					</td>
				</tr>
				<tr>
					<td colspan="2" style="text-align: center"><input
						type="submit" name="submit" value="登录" /></td>
				</tr>
			</table>
		</form>
	</center>
	<script type="text/javascript">
	
		document.f.j_username.focus();
		if ('${message}' == 1) {
			alert("用户名或密码错误");
		}
		
		jQuery(function($){
			
	
			$("#flashImage").click(function(){
				
				$('#imageF').hide().attr('src','<c:url value="/resource/image.jsp"/>'+ '?'+ Math.floor(Math.random() * 100)).fadeIn();
			});
		});
		
		
	</script>


</body>
</html>

 ImageFilter.java 

package com.piaoyi.common.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ImageFilter implements Filter{

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1,
			FilterChain arg2) throws IOException, ServletException {
		// TODO Auto-generated method stub
		HttpServletRequest request = (HttpServletRequest) arg0;  
        HttpServletResponse response = (HttpServletResponse) arg1; 
        
        String yanzhengm = request.getParameter("j_captcha");
        String sessionyanz = (String)request.getSession(true).getAttribute("yzkeyword");
        if(yanzhengm.equals(sessionyanz)){
        	arg2.doFilter(request, response); 
        }else{
        	response.sendRedirect("/login.do");
        }
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}

	
}

 image.jsp 

<%@ page contentType="image/jpeg" import="java.awt.*,java.awt.image.*,java.util.*,javax.imageio.*" pageEncoding="UTF-8"%>
<%!
Color getRandColor(int fc,int bc){//随机获得颜色,RGB格式
        Random random = new Random();
        if(fc>255) fc=255;
        if(bc>255) bc=255;
        int r=fc+random.nextInt(bc-fc);
        int g=fc+random.nextInt(bc-fc);
        int b=fc+random.nextInt(bc-fc);
        return new Color(r,g,b);
        }
%>
<%
//清除缓存,每次访问该页面时都从服务器端读取
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);

// 定义显示图片的宽度和高度
int width=60, height=20;
BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

// 画图画板
Graphics g = image.getGraphics();

//定义一个随机数
Random random = new Random();

// 设置画板背景颜色
g.setColor(getRandColor(200,250));
//设置画板的填充范围
g.fillRect(0, 0, width, height);

//设置字体
g.setFont(new Font("Times New Roman",Font.PLAIN,18));

// 设置线条颜色并画线,155条
g.setColor(getRandColor(160,200));
for (int i=0;i<155;i++)
{
 int x = random.nextInt(width);
 int y = random.nextInt(height);
        int xl = random.nextInt(12);
        int yl = random.nextInt(12);
 g.drawLine(x,y,x+xl,y+yl);
}

// 显示数字,4位长度
String sRand="";
for (int i=0;i<4;i++){
    String rand=String.valueOf(random.nextInt(10));
    sRand+=rand;
    // 设置每个数字的颜色
    g.setColor(new Color(20+random.nextInt(110),20+random.nextInt(110),20+random.nextInt(110)));
//在画板上写数字,起始位置
    g.drawString(rand,13*i+6,16);
}

// 保存进session
session.setAttribute("yzkeyword",sRand);
//System.out.println("yzm:"+sRand);


// 显示图片
g.dispose();

%>

<%
//转换成一张图片,格式为JPEG
ImageIO.write(image, "JPEG", response.getOutputStream());
out.clear();//清空缓存的内容。

pageContext.pushBody();
%>
 

applicationContext-security.xml 

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
	xmlns:aop="http://www.springframework.org/schema/aop" xmlns:context="http://www.springframework.org/schema/context"
	xmlns:jee="http://www.springframework.org/schema/jee" xmlns:tx="http://www.springframework.org/schema/tx"
	xmlns:util="http://www.springframework.org/schema/util" xmlns:mvc="http://www.springframework.org/schema/mvc"
	xmlns:tool="http://www.springframework.org/schema/tool" xmlns:beans="http://www.springframework.org/schema/beans"
	xsi:schemaLocation="
			http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.1.xsd
			http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
			http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd
			http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee-3.1.xsd
			http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.1.xsd
			http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.1.xsd
			http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-3.1.xsd
			http://www.springframework.org/schema/tool http://www.springframework.org/schema/tool/spring-tool-3.1.xsd
			http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"
	default-lazy-init="true">


	<http security="none" pattern="/index.do" />


	<http auto-config='true' access-decision-manager-ref="accessDecisionManager"
		access-denied-page="/index.do">
		<intercept-url pattern="/demo.do*" access="IS_AUTHENTICATED_REMEMBERED" />
		<intercept-url pattern="/**/*.do*" access="HODLE" />
		<logout logout-url="/logout.do" invalidate-session="true"
			logout-success-url="/logout.jsp" />
		<form-login login-page="/index.do" default-target-url="/frame.do"
			always-use-default-target="true" authentication-failure-url="/index.do?login_error=1" />
		<session-management>
			<concurrency-control max-sessions="1" expired-url="/timeout.jsp"/>
		</session-management>
		
		<remember-me key="jbcpPetStore" /> 
	</http>



	<!-- Automatically receives AuthenticationEvent messages -->
	<beans:bean id="loggerListener"
		class="org.springframework.security.authentication.event.LoggerListener" />

	<authentication-manager erase-credentials="false">
		<authentication-provider user-service-ref="userService">
			<password-encoder hash="md5" />
		</authentication-provider>
	</authentication-manager>

	<beans:bean id="userService" class="com.piaoyi.common.security.UserService" />

	<beans:bean id="accessDecisionManager"
		class="org.springframework.security.access.vote.AffirmativeBased">
		<beans:property name="decisionVoters">
			<beans:list>
				<beans:bean class="org.springframework.security.access.vote.RoleVoter" />
				<beans:bean
					class="org.springframework.security.access.vote.AuthenticatedVoter" />
				<beans:bean class="com.piaoyi.common.security.DynamicRoleVoter" />
			</beans:list>
		</beans:property>
	</beans:bean>
</beans:beans>

 效果图如下:

 

 

另外,从网上也看到了类似的解决方案:

springsecurity3和JCaptcha的整合

里面使用到了jcaptcha的jar包,我整合后发现也很好用,附件中给出jar包。

hanqunfeng
关注
专栏目录
springsecurity5.7.x和springsecurity6.x配置文件对比
程序猿的傻白甜
11-24 930
SecurityConfig配置文件
Spring Security 6.x 系列(5)—— Servlet 认证体系结构介绍
热门推荐
gmHappy
11-25 1万+
安全上下文持有者,存储当前认证用户的。:安全上下文,包含当期认证用户的(认证信息),从中获取。:认证信息,用户提供的用于身份认证的凭据的输入。:授予主体的权限(即角色、作用域等)。:认证管理器,是一个接口,定义过滤器执行身份认证的API。:提供者管理器,是的默认实现。: 认证提供者,由选择,用于执行特定类型的身份认证。: 认证入口点,处理认证过程中的认证异常,比如:重定向登录页面:抽象认证处理过滤器,一个Filter抽象类,是身份验证的基础。
SpringSecurity6.x 多种登录方式配置
qq_32681671的博客
11-29 1604
4. 配置SecurityConfiguration,把上边的两个 登录过滤器加到过滤器链中。在编写多种登录方式的时候,网上大多是5.x的,很多类都没了。以下是SpringSecurity6.x多种登录方式的写法。SpringSecurity6.x变了很多写法。2. 编写第二种登录方式-手机验证码登录。3. 编写验证码登录处理器。
Spring Security 6.x 系列【15】认证篇之实现短信验证码登录功能
记录知识、锤炼自我
04-07 8801
我们也了解过**用户名密码**表单登录流程,我们可以完全按照表单登录流程,自定义**短信验证码登录**的**过滤器、认证提供者**等,即可实现该功能。
Spring Security 6.x 系列【14】认证篇之添加登录验证码功能
记录知识、锤炼自我
04-06 1504
验证码(全自动区分计算机和人类的图灵测试)。验证码可以防止恶意破解密码刷票论坛灌水限制网络爬虫恶意注册等功能,是目前程序比较常用的功能之一,一般账号密码登录时,都需要添加验证码功能。接下来演示前后端分离环境下,如何实现登录验证码功能。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 18springsecurity整合jwt
ha
08-12 841
在每次请求都会去查一遍数据库,这块代码可以做个缓存优化一下。
springboot3.x+springsecurity6.x多种方式登录验证
程序猿的傻白甜
11-24 1530
最新的 Spring Security 5.7 及以上版本,更新了不少内容,之前的 WebSecurityConfigurerAdapter 已经被废弃了,而且,要同时实现用户名密码登录、手机验证码登录、邮箱、微信小程序等登录方式,跟之前的配置方式都会有所不同。
SpringSecurity 6.X新版】自定义过滤器登录方式
qq_25746193的博客
04-16 2202
适用于5.7.5及6.X版本,以密码账号登录方式通过过滤器验证方式实现
SpringSecurity6.x整合手机短信登录授权
m0_64787068的博客
09-18 918
SpringSecurity6.2.4整合手机登录授权1.UsernamePasswordAuthenticationToken UsernamePasswordAuthenticationToken首先我们需要了解这哥们是干嘛用的,我们看下官网是怎么解释的上图中我们发现循环了AuthenticationProvider provider,说明我们可能出现多个provider,那么AuthenticationProvider是个接口所以主要用于认证的是ProviderManager 子类,如果我们有多种认证
SpringMVC入门详解
ning的博客
11-02 766
SpringMVC是一个基于Java的实现了MVC设计模式的Web框架,它通过将Web层进行模块化,使得Web应用程序的开发变得更加灵活和可维护。简化开发:通过注解的方式简化了配置,减少了代码量。强大的集成能力:可以很容易地与其他Spring模块集成。灵活的配置:支持零配置启动,也支持通过XML或Java配置进行详细配置。可重用性高:可以轻松地将一个项目中的代码重用到另一个项目中。
SpEL(Spring Expression Language)入门指南
kersixy的博客
11-05 590
SpEL(Spring Expression Language)是 Spring 框架提供的一个强大的表达式语言,用于在运行时查询和操作对象图。它类似于 JSP EL(JavaServer Pages Expression Language)和 OGNL(Object-Graph Navigation Language),但在功能上更为丰富和强大。
后端SpringBoot及vue proxyTable解决跨域
qq_42059717的博客
11-06 123
昨天上线项目遇到了一个奇怪的问题,本来服务实在腾讯云的轻量应用服务器的,但是迁移到一个香港的服务器之后就出现了各种各样的问题。Nginx 开启Https Springboot开启Https,先后出现了噔噔蹬蹬但是我其实已经部署了一个项目了的,那个用的proxyTable,新部署的这个用的是里边的env控制的。后来改成proxyTable就好了。
【FL0013】基于SpringBoot和微信小程序的机电公司管理信息系统
Wo_Hui12138的博客
11-03 760
如今社会上各行各业,都喜欢用自己行业的专属软件工作,互联网发展到这个时候,人们已经发现离不开了互联网。新技术的产生,往往能解决一些老技术的弊端问题。因为传统机电公司管理信息系统信息管理难度大,容错率低,管理人员处理数据费工费时,所以专门为解决这个难题开发了一个机电公司管理信息系统管理系统,可以解决许多问题。 机电公司管理信息系统管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、公告管理、考勤管理、客户管理、机电零件管理、机电零件订单管理、请假管理、机电设备管理、机电设备订单管理、用户管理、管理
Spring中@Autowired@Resource和@Inject注解区别
2401_87333857的博客
11-06 146
同时,它默认是采用byType装配,当指定了1SR-330规范中的@Named注解之后,变成byName装配。它也可以出现在方法上,构造函数上和字段上但是需要注意的是:因为IRE无法决定构造方法注入的优先级,所以规范中规定类中只能有一个构造方法带@Inject注解。@Autowired:来源于spring框架自身默认是byType自动装配,当配合了@Qualifier注解之后,在没有指定name属性时是byType自动装配,当指定了name属性之后,采用byName方式自动装配。
Java项目:164 springboot校园资产管理
舒克日记的博客
11-04 378
人事管理系统分为管理员和用户两部分操作角色主要的功能有资产报废管理、用户管理、入库管理、资产借用管理、校园资产管理、个人信息管理。
spring 学习路线梳理(三)AOP
xiweihao的博客
11-02 910
通知类:定义一个类为切面类通知方法:需要在那个方法里面做增强需求描述:在每个实现方法执行前打印当前的系统时间连接点和切入点的理解: 在接口里面定义的方法是连接点,需要在哪些方法里面增强功能是切入点//定义实现类@Slf4j@Service@Autowired@Override!!@Override@Override@Component 将通知类交由spirng来管理@Aspect 将此类定义为切面类。
springboot-starter 整合feignClient
cqscf的博客
11-01 255
resource下建META-INF.spring.factories文件。
基于 SpringBoot 实现QQ邮箱验证码注册功能
最新发布
2301_79201049的博客
11-06 269
找到并开通以下的邮件协议服务,而且服务开启也较为简单,需要我们发送一个短信到指定的号码,开启后平台会提供一个授权码,一定要记住这个授权码,发邮件的时候需要这个。host 是根据服务主机区分,网易邮箱是 smtp.163.com, qq邮箱是 smtp.qq.com。其中的 username 是你第一步中操作的邮箱账号,nickname 是接收者收到邮件中显示的发件人。发送邮件的核心依赖是 mail ,由于该项目还涉及其他依赖就全都导进来了。(1)首先打开QQ邮箱,点击设置并来到账号页面。
SpringSecurity3.x实战:企业级安全解决方案
"SpringSecurity3.X 中文官方文档" Spring Security 是一个强大且高度可定制的权限访问控制框架,主要用于解决企业级应用的安全问题。在3.x版本中,它提供了多种功能来增强Java EE应用程序的安全性,弥补了传统安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值