springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 9.添加验证码

最新推荐文章于 2024-09-12 15:12:57 发布
最新推荐文章于 2024-09-12 15:12:57 发布
阅读量307 收藏 10
点赞数 5
文章标签: kotlin java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liygheart/article/details/140971956
版权

来给登录页添加一个验证码,并实现登录前自定义校验

生成验证码

使用BufferedImage将随机字符串画出来,然后再用ImageIO将图输出

@GetMapping("/captcha")
fun captcha(req: HttpServletRequest, resp: HttpServletResponse) {
    // 设置响应的内容类型为图像
    resp.contentType = "image/jpeg"

    // 确保浏览器不会缓存图像
    resp.setHeader("Cache-Control", "no-cache, no-store")
    resp.setHeader("Pragma", "no-cache")

    // 创建图像缓冲区
    val width = 102
    val height = 42
    val bufferedImage = BufferedImage(width, height, BufferedImage.TYPE_INT_RGB)
    val graphics = bufferedImage.graphics

    // 设置图像的背景色
    graphics.color = Color.WHITE
    graphics.fillRect(0, 0, width, height)

    // 设置图像的边框
    graphics.color = Color.GRAY
    graphics.drawRect(0, 0, width - 1, height - 1)

    // 生成随机验证码
    val captcha = generateCaptcha(4)

    // 将验证码存入SESSION,以便验证时使用
    req.session.setAttribute("captcha", captcha)

    // 将验证码绘制到图像上
    graphics.color = Color.BLACK
    graphics.font = Font("Arial", Font.BOLD, 24)
    graphics.drawString(captcha, 15, 30)

    // 释放资源
    graphics.dispose()

    // 将图像写入响应
    ImageIO.write(bufferedImage, "jpeg", resp.outputStream)
}

/**
 * 生成指定长度的数字验证码
 *
 * @param length 验证码的长度
 * @return 生成的验证码
 */
fun generateCaptcha(length: Int): String {
    val chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
    val sb = StringBuilder()
    val random = Random()
    for (i in 0 until length) {
        val c = chars[random.nextInt(chars.length)]
        sb.append(c)
    }
    return sb.toString()
}

效果如下
在这里插入图片描述

自定义过滤器

springsecurity底层就是一层又一层的过滤器,所以验证登录表单也是个servlet过滤器

package com.example.springsecuritydemo.security

import jakarta.servlet.Filter
import jakarta.servlet.FilterChain
import jakarta.servlet.ServletRequest
import jakarta.servlet.ServletResponse
import jakarta.servlet.http.HttpServletRequest
import jakarta.servlet.http.HttpServletResponse
import org.springframework.stereotype.Component
import org.springframework.util.StringUtils

@Component
class MyCheckParamsFilter : Filter {

    override fun doFilter(request: ServletRequest, response: ServletResponse, filterChain: FilterChain) {
        val request: HttpServletRequest = request as HttpServletRequest
        val response: HttpServletResponse = response as HttpServletResponse
        // 仅对登录提交做参数验证
        if (request.method.equals("post", ignoreCase = true) && request.servletPath.equals("/loginpost", ignoreCase = true)) {
            val username: String = request.getParameter("username")
            val password: String = request.getParameter("password")
            val code: String = request.getParameter("code")
            val captcha: String = request.session.getAttribute("captcha") as String

            val errorMsgs: MutableList<String> = mutableListOf()
            if (!StringUtils.hasText(username)) errorMsgs.add("用户名不能为空")
            if (!StringUtils.hasText(password)) errorMsgs.add("密码不能为空")
            if (!StringUtils.hasText(code)) errorMsgs.add("验证码不能为空")
            if (!StringUtils.hasText(captcha) || (StringUtils.hasText(code) && !code.equals(captcha, ignoreCase = true))) errorMsgs.add("验证码不正确")

            if (errorMsgs.isNotEmpty()) {
                response.contentType = "text/html;charset=UTF-8"
                request.session.setAttribute("loginpost_errors", errorMsgs)
                response.sendRedirect("/login")
                return
            } else {
                filterChain.doFilter(request, response)
            }
        } else {
            filterChain.doFilter(request, response)
        }
    }
}

配置过滤器

过滤器有了,需要将其加入到springsecurity里才能生效。

springsecurity登录时会获取表单的用户名和密码然后封装成一个UsernamePasswordAuthenticationFilter对象。我们要的效果是在进入springsecurity认证流程之前做一次表单校验,那么就需要将 MyCheckParamsFilter 添加到 UsernamePasswordAuthenticationFilter之前

@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
    http {
//            authorizeRequests {
//                authorize("/captcha", permitAll)
//                // 配置 /home 路径需要 ADMIN 权限
//                authorize("/home", hasAuthority("user:delete"))
//                // 配置所有请求地址都需要登录认证才能访问
//                authorize("/**", authenticated)
//            }
        authorizeHttpRequests {}
        formLogin {}
        // 添加自定义的过滤器到UsernamePasswordAuthenticationFilter之前执行
        addFilterBefore<UsernamePasswordAuthenticationFilter>(myCheckParamsFilter)
        logout {}
        csrf { disable() }
    }
    return http.build()
}

登录页面

修改一下登录页面

<form th:action="@{/loginpost}" method="post">
    <fieldset>
        <legend>登录</legend>
        <ul>
            <li th:each="msg : ${#ctx.session.loginpost_errors}" th:text="${msg}"></li>
        </ul>
        <label for="username">用户名</label><br>
        <input type="text" name="username" id="username" placeholder="用户名"> <br>
        <label for="password">密码</label><br>
        <input type="password" name="password" id="password" placeholder="密码"> <br>
        <label for="code">验证码</label><br>
        <input type="text" name="code" id="code" placeholder="验证码"> <img th:src="@{/captcha}" alt="Captcha" id="captchaImg" onclick="updateCaptcha()"><br>
        <button type="submit">登录</button>
    </fieldset>
</form>
<script type="text/javascript">
    //鼠标点击刷新验证码
    function updateCaptcha() {
        var captchaImg = document.querySelector("#captchaImg");
        captchaImg.setAttribute("src", "/captcha?ver=" + Date.now());
    }
</script>

测试

启动服务,打开浏览器,什么都不输入,点击登录,效果如下
在这里插入图片描述
输入正确的用户名和密码但验证码输入错误,效果如下
在这里插入图片描述
MyCheckParamsFilterUsernamePasswordAuthenticationFilter分别断点,点击登录,当表单校验失败的话,UsernamePasswordAuthenticationFilter里的 attemptAuthentication方法是不会进入的,确实被彻底阻断了
在这里插入图片描述

总结

  • 我们可以自己定义过滤器并添加到springsecurity框架的过滤器链里,用来执行更加灵活的自定义逻辑
  • 在搜索资料过程中发现有直接继承UsernamePasswordAuthenticationFilter类并重写attemptAuthentication的做法,然后再将其添加到 UsernamePasswordAuthenticationFilter之前,这种方法会封装两遍 UsernamePasswordAuthenticationToken 对象,不推荐
cshe
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 18springsecurity整合jwt
ha
08-12 810
在每次请求都会去查一遍数据库,这块代码可以做个缓存优化一下。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 6.登出
ha
08-06 357
登出功能跟csrf防护有关,如果开启了csrf,那么配置的登出地址就需要 post 请求禁掉csrf防护后,配置的登出地址就可以使用 get 请求了。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 4.自定义登录页
ha
08-06 404
开启了后,配置文件()里的相关配置就失效了如果HttpSecurity无法使用 kotlin 的Dsl语法,查看一下是否导入了formLogin里配置的loginPage和是可以一样的,但强烈不建议保持一致,后面自定义异常处理时会有莫名其妙的问题formLogin里配置的loginPage是需要提供一个controller的 而就只需要与登录表单里的action的值保持一致即可csrf防护 security会自动在form表单中添加hidden表单,所以无需再次手动添加
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 5.代码配置权限
ha
08-06 846
目前配置的认证仅有一个,即所有链接都需要登录认证才能访问下面来配置一下不同url需要不同权限。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 1.创建项目
ha
08-06 189
项目名: springsecurity-demo。剩下就是等待gradle构建项目完成了。文件,将kotlin插件版本改成。项目创建好之后打开根目录下的。里添加一些能快速构建的源。构建工具:gradle。开发语言:kotlin。项目中各框架的版本号。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 12.记住我
ha
08-08 382
如果是服务端渲染的页面,那么这个记住我的功能就很实用了。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 17.jwt加密解密
ha
08-09 210
java实现有好几个开源项目,我这选的是。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 2.默认用户名密码
ha
08-06 178
可以看到链接已经变成了 localhost:8080?continue 了。错误信息404是因为没有首页的控制器,在项目中添加一个。会打开一个springsecurity提供的默认登录页。gradle构建好之后什么都不用修改,直接启动。默认密码就是控制台中日志里输出的那串密码。输入后点击登录,成功后会跳到一个新页面。重启服务,重新登录,就会看到正常页面了。在启动日志中可以看到一串密码。默认用户名是:user。
springsecurity6.x+gradle+kotlin+thymelef学习笔记 - 14.整理thymeleaf页面
ha
08-09 243
每个页面都有上面的导航和下面的登出了。修改index.html。修改home.html。
Java核心技术· 卷二(11版)笔记(第 9-12章)
weixin_43647460的博客
11-16 405
Java平台模块系统是Java 9中引入的一个新特性,它可以更好地管理Java应用程序的依赖关系,提高应用程序的可扩展性和安全性。模块系统可以将Java应用程序的代码组织为独立的模块,每个模块都有自己的接口和实现。模块可以声明自己的依赖关系,并且只会导出需要公开的API,从而减少了依赖项的耦合性和可能出现的命名冲突。同时,模块系统还提供了更好的可见性和访问控制,允许开发人员更好地控制代码的复杂性和安全性。在Java 9的模块系统中,一个模块是一个可以进行依赖管理和版本控制的独立单元。每个模块都有自己的名称、
Java 互联网面试必问 Spring 源码?拿定 Spring 源码,“吃透”这篇成功上岸
m0_73256420的博客
09-07 361
将会指导我们如何保护应用,包括如何使用基本 HTTP 认证保护 RESTful API,以及如何保护登录页之后的 Web 页面,它阐述了如何通过 Twitter 进行登录以及如何将会话保存在 Redis 中,从而允许我们的应用进行扩展。详细介绍了让我们更具生产效益的工具,如 Spring Tool Suite 和 Git,还会帮助我们搭建应用的主体框架,并见识 Spring Boot 背后的魔力。它讨论了测试与 TDD,介绍了如何对控制器进行单元测试,如何使用现代的库设计端到端的测试。
SpringBoot (一) 入门、配置、自动配置源码剖析理解
Hello_ZhangCL的博客
04-26 1154
文章目录0 Spring Boot1 Overview1.1 Introduce**Spring**SpringBoot微服务1.2 快速上手Hello Worldpom.xmlstarters 场景启动器1.3 自动配置-原理1**@SpringBootApplication**内部结构结合资料1.4 快速创建项目1.5 单元测试1.6 添加组件2 Configuration2.0 配置文件加载...
最新版SpringBoot开发实战:阿里技术官从基础到项目综合实战pdf
A1867350的博客
04-22 982
通常情况下,我们并不需要重新定义Spring Boot中的默认配置。但是,Spring Boot在提供了一套默认的配置方案值之外,仍然完美支持灵活定制配置我们的应用。在Servlet 3.0之前我们都是使用web.xml进行配置中,需要增加Servlet、Filter或者Listener时都是在web.xml增加相应的配置,使用起来比较烦琐。在Spring Boot中只需使用几个简单的注解即可完成注册Servlet、Filter, Listener,非常极简。
Kotlin 极简小抄 P1(变量与常量、基本数据类型、流程控制)
weixin_52173250的博客
09-12 596
Kotlin 由 JetBrains 开发,是一种在 JVM(Java 虚拟机)上运行的静态类型编程语言
android kotlin 基础复习 class类
花花鱼的专栏
09-08 562
android kotlin class的基本用法
android kotlin 数据类 data class
花花鱼的专栏
09-08 465
android kotlin 数据类 data class
Kotlin 中的 `flatMap` 方法详解
最新发布
jiet_h的博客
09-12 508
`flatMap` 是一种将嵌套集合“展平”的操作。简单来说,`flatMap` 会对集合中的每个元素执行一个映射操作,并返回一个新的集合,然后它会将所有这些子集合合并成一个集合。
spring事务详细讲解-深入浅出
小电玩
09-08 481
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值