spring-security入门10---图形验证码(一)---功能实现

最新推荐文章于 2021-09-07 11:25:55 发布
最新推荐文章于 2021-09-07 11:25:55 发布
阅读量611 收藏 2
点赞数 1
分类专栏: spring-security 文章标签: springsecurity图像验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nrsc272420199/article/details/94780581
版权

文章目录


项目源码地址 https://github.com/nieandsun/security

1. 基本流程介绍

(1)用户进入登陆认证页面时请求服务端生成图形验证码
(2)服务端: 生成验证码—>将验证码写入session—>将生成的验证码返回给浏览器
(3)用户输入用户名,密码,验证码等进行登陆认证请求
(4)让请求在走spring-security封装的用户名+密码认证校验之前先走我们自定义的一个校验图形验证码的Filter,该Filter的校验逻辑为

  • 从session中取出之前放入的验证码—>从请求中取出用户输入的验证码—>对比上面两个验证码,如果一致则再走后面的校验逻辑,否则走校验失败的逻辑.

图形验证码校验Filter在用户名+密码登陆整个spring-security过滤器链中的位置如下:
在这里插入图片描述

2. 代码开发

2.1 前端加入验证码请求和展示相关代码

        <tr>
            <td>图形验证码:</td>
            <td>
                <input type="text" name="imageCode">
                <img src="/code/image">
            </td>
        </tr>

2.2 生成图形验证码功能开发

  • 主体功能
package com.nrsc.security.core.validate.code;

import org.springframework.social.connect.web.HttpSessionSessionStrategy;
import org.springframework.social.connect.web.SessionStrategy;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.request.ServletWebRequest;

import javax.imageio.ImageIO;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.awt.*;
import java.awt.image.BufferedImage;
import java.io.IOException;
import java.util.Random;

/**
 * Created By: Sun Chuan
 * Created Date: 2019/7/4 21:28
 */
@RestController
public class ValidateCodeController {

    public static final String SESSION_KEY = "SESSION_KEY_IMAGE_CODE";
    //session操作工具类
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    /**
     * 生成图形验证码
     *
     * @param request
     * @param response
     */
    @GetMapping("/code/image")
    public void createImageCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        //1.生成ImageCode对象
        ImageCode imageCode = generate(request);
        //2.将ImageCode对象写入到session
        sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY, imageCode);
        //3.将验证码写回到浏览器
        ImageIO.write(imageCode.getImage(), "JPEG", response.getOutputStream());
    }

    /**
     * ImageCode生成代码
     *
     * @param request
     * @return
     */
    private ImageCode generate(HttpServletRequest request) {
        int width = 67;
        int height = 23;
        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

        Graphics g = image.getGraphics();

        Random random = new Random();

        g.setColor(getRandColor(200, 250));
        g.fillRect(0, 0, width, height);
        g.setFont(new Font("Times New Roman", Font.ITALIC, 20));
        g.setColor(getRandColor(160, 200));
        for (int i = 0; i < 155; i++) {
            int x = random.nextInt(width);
            int y = random.nextInt(height);
            int xl = random.nextInt(12);
            int yl = random.nextInt(12);
            g.drawLine(x, y, x + xl, y + yl);
        }

        String sRand = "";
        for (int i = 0; i < 4; i++) {
            String rand = String.valueOf(random.nextInt(10));
            sRand += rand;
            g.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));
            g.drawString(rand, 13 * i + 6, 16);
        }

        g.dispose();

        return new ImageCode(image, sRand, 60);
    }

    private Color getRandColor(int fc, int bc) {
        Random random = new Random();
        if (fc > 255) {
            fc = 255;
        }
        if (bc > 255) {
            bc = 255;
        }
        int r = fc + random.nextInt(bc - fc);
        int g = fc + random.nextInt(bc - fc);
        int b = fc + random.nextInt(bc - fc);
        return new Color(r, g, b);
    }
}
  • ImageCode对象
package com.nrsc.security.core.validate.code;

import lombok.Data;

import java.awt.image.BufferedImage;
import java.time.LocalDateTime;

/**
 * Created By: Sun Chuan
 * Created Date: 2019/7/4 21:32
 */
@Data
public class ImageCode {
    /**图片*/
    private BufferedImage image;

    /**生成的随机码*/
    private String code;

    /**本地当前时间*/
    private LocalDateTime expireTime;

    /**
     * 构造-----expireIn 超时时间(单位秒)
     * @param image
     * @param code
     * @param expireIn
     */
    public ImageCode(BufferedImage image, String code, int expireIn){
        this.image = image;
        this.code = code;
        this.expireTime = LocalDateTime.now().plusSeconds(expireIn);
    }

    /**
     * 判断当前时间是否已经超时
     * @return
     */
    public boolean isExpried() {
        return LocalDateTime.now().isAfter(expireTime);
    }
}

2.3 图形验证码校验Filter开发

  • 主体功能
package com.nrsc.security.core.validate.code;

import lombok.Data;
import org.apache.commons.lang.StringUtils;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.social.connect.web.HttpSessionSessionStrategy;
import org.springframework.social.connect.web.SessionStrategy;
import org.springframework.web.bind.ServletRequestBindingException;
import org.springframework.web.bind.ServletRequestUtils;
import org.springframework.web.context.request.ServletWebRequest;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * Created By: Sun Chuan
 * Created Date: 2019/7/4 22:05
 */
@Data
public class ValidateCodeFilter extends OncePerRequestFilter {
    private AuthenticationFailureHandler authenticationFailureHandler;
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //判断是否是登陆且是否为post请求,如果是的话需要进行图形验证码进行校验
        if (StringUtils.equals("/nrsc/signIn", request.getRequestURI())
                && StringUtils.equalsIgnoreCase(request.getMethod(), "post")) {
            try {
                //对输入的图形验证码进行校验
                validate(new ServletWebRequest(request));
            } catch (ValidateCodeException e) {
                //认证失败调用之前写的认证失败的逻辑
                authenticationFailureHandler.onAuthenticationFailure(request, response, e);
                return;
            }
        }
        //走到这里说明已经校验成功,对请求放行
        filterChain.doFilter(request, response);
    }

    /**
     * 对输入的图形验证码的校验逻辑
     *
     * @param request
     * @throws ServletRequestBindingException
     */
    private void validate(ServletWebRequest request) throws ServletRequestBindingException {
        //1.从session中取出ImageCode对象
        ImageCode codeInSession = (ImageCode) sessionStrategy.getAttribute(request,
                ValidateCodeController.SESSION_KEY);
        //2.获取请求中传过来的图形验证码字符串
        String codeInRequest = ServletRequestUtils.getStringParameter(request.getRequest(), "imageCode");

        //3.判断传过来的图形验证码字符串和session中存的是否相同
        if (StringUtils.isBlank(codeInRequest)) {
            throw new ValidateCodeException("验证码的值不能为空");
        }

        if (codeInSession == null) {
            throw new ValidateCodeException("验证码不存在");
        }

        if (codeInSession.isExpried()) {
            sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);
            throw new ValidateCodeException("验证码已过期");
        }

        if (!StringUtils.equals(codeInSession.getCode(), codeInRequest)) {
            throw new ValidateCodeException("验证码不匹配");
        }
        //4.走到这里说明校验已经通过,校验通过后该验证码就没啥用了,所以可以删除session中的ImageCode对象了
        sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);
    }
}
  • ValidateCodeException
package com.nrsc.security.core.validate.code;
import org.springframework.security.core.AuthenticationException;

/**
 * Created By: Sun Chuan
 * Created Date: 2019/7/4 22:15
 * Description:继承spring-security异常类的基类
 */
public class ValidateCodeException extends AuthenticationException {
    private static final long serialVersionUID = -75098325592950112L;

    public ValidateCodeException(String msg) {
        super(msg);
    }
}
  • 在配置类中指定自定义的Filter:ValidateCodeFilter 在spring-security的用户名+密码认证校验Filter之前执行(配置类中其他详细代码请自行下载源码查看,源码地址https://github.com/nieandsun/security)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
        validateCodeFilter.setAuthenticationFailureHandler(NRSCAuthenticationFailureHandler);

        //将图形验证码的校验逻辑放在用户名和密码校验逻辑之前
        http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)

3. 简单测试

  • 什么都不填直接点登陆,效果如下

在这里插入图片描述

  • 密码和验证码都正确时,正确返回用户认证成功的信息

在这里插入图片描述

nrsc
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security系列】Spring Security使用自定义认证实现图形验证码
qq_28248897的博客
06-30 501
前面使用过滤器的方式实现了带图形验证码验证功能,属于Servlet层面,简单、易理解。其实,Spring Security还提供了一种更优雅的实现图形验证码的方式,即自定义认证。 1.认识AuthenticationProvider 在学习Spring Security的自定义认证之前,有必要了解Spring Security是如何灵活集成多种认证技术的。 我们所面对的系统中的用户,在Spring Security中被称为主体(principal)。主体包含了所有能够经过验证而获得系统访问权限的
SessionStrategy
m0_37208669的博客
03-20 1983
package com.imooc.security.core.validate.code; import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang.StringUtils; import org.springframework.security.web.authentication.AuthenticationFailu...
Spring Security实现图形验证码功能实现"记住我"功能
qq_43001609的博客
11-03 510
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/tryandfight/article/details/80461315 说在前面 博主最近会有很多项目跟大家一起分享,做完后会上传github上的,希望读友们能给博主...
图形验证码安全
谢公子的博客
01-04 1万+
目录 图形验证码 图形验证码的作用和原理 图形验证码的分类 图形验证码验证过程 图形验证码的安全问题 静态图形验证码的破解 利用Python脚本破解静态图形验证码 图形验证码 我们经常在登录app或者网页的候,都会需要我们输入图形验证码上的内容,以验证登录。有些是纯数字的图形验证码,有些是字母和数字,有些是图案,有些是数学表达式......不同的网站,采用的图形验证码的形式也...
session.setAttribute()方法是做什么用的?
热门推荐
小坏我最爱!
05-26 3万+
session.setAttribute("sessionName",Object); 用来设置session值的,sessionName是名称,object是你要保存的对象。 session.getAttribute("sessionName"); 用来得到对应名称的session值,即得到object对象,注意需要进行类型转换! session.setAttribute("xy
Spring Security入门(二十)-实现图形验证码功能
上千主上-贝库塔
05-22 447
一.导学 开发生成图形验证码接口 根据随机数生成图片 将随机数存到session中 将生成的图片写入响应中 由于不论app还是浏览器 都要用到 所以写到core项目里面去 二.实现图形验证码 图片验证码类一般包含三个属性:图片 随机数 过期间 一般过期间不是直接设置的 而是设置的多少间过期 当前间+多少间过期 public class ImageCode { pri...
SpringSecurity入门3---过滤器实现图形验证码
Anntly的博客
04-06 412
代码地址 思路 后端生成验证码保存在Session中(Redis也可以),当前端输入验证码进行登录,在校验用户名密码之前校验验证码是否正确,不正确就抛出异常,由失败处理器进行处理 实现 使用Kaptcha进行验证码以及图片的生成,先引入依赖 <dependency> <groupId>com.github.penggle</groupId...
Spring Security系列教程01--Spring Security系列教程简介
一一哥
09-07 1925
Author:一一哥@IT私塾 Version:1.0.0 [TOC] 前言 Spring Security 是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权功能。其前身是Acegi Security,在被收纳为Spring的子项目后更名为SpringSecurity。 目前Spring Security 最新版本是 5.5.0 版本,新增了原生OAuth框架,并支持更加现代化的密码加密方式。随着SpringBoot的普及,在Java安全应用领域,Spring Secu
JavaWeb开发之Spring+SpringMVC+MyBatis+SpringSecurity+EhCache+JCaptcha 完整Web基础框架
08-31
JCaptcha是一个简单的图形验证码生成框架,用于防止恶意自动化的机器人程序进行用户验证。它生成验证码图像具有一定的扭曲,使得机器难以识别,而人类用户可以相对容易地识别并输入。 这些组件的整合能够构建出...
SpringBoot+Mybaits+vue3+elementplus通用管理系统实例(前端+后端)
最新发布
12-30
搭建通用管理系统后台,实现管理系统常用的功能,比如日志管理、登录、找回密码、权限管理、用户管理、角色管理、系统配置、数据字典、系统消息、全局搜索、验证码、实体配置。 配合通用管理系统前端,实现管理系统...
SpringAll_wuyouzhuguli.tar.gz
10-20
Spring Security添加图形验证码 Spring Security添加记住我功能 Spring Security短信验证码登录 Spring Security Session管理 Spring Security退出登录 Spring Security权限控制 Spring Security OAuth2入门 Spring ...
SSM整合shiro入门
08-15
- 使用第三方库生成验证图形验证码,提高登录安全性,防止恶意登录。 - 将验证码与用户的登录请求关联,验证进行比对。 5. **并发登录控制**: - Shiro提供SessionManager和Subject监听器来实现并发登录控制...
java开源包10
06-28
GWT Advanced Table 是一个基于 GWT 框架的网页表格组件,可实现分页数据显示、数据排序和过滤等功能! Google Tag Library 该标记库和 Google 有关。使用该标记库,利用 Google 为你的网站提供网站查询,并且可以...
springboot/springsecurity】session超间设置
nrsc
09-21 2万+
文章目录1 springboot项目session超间设置2 springsecurity下如何通知用户session超2.1 在配置文件BrowserSecurityConfig里加上session超跳向的url2.2 在配置文件BrowserSecurityConfig里为指定session超跳向的url授权2.3 写一个controller方法来处理session超的提示逻辑2....
spring-security退出登陆
nrsc
09-22 6808
项目源码地址https://github.com/nieandsun/security
从cookie/session和token的角度来认识一下spring security oauth
nrsc
10-10 4817
项目源码地址https://github.com/nieandsun/security
springsocial/oauth2---第三方登陆之QQ登陆2【springboot2.X没有SocialAutoConfigurerAdapter、SocialProperties的问题】
nrsc
08-18 3160
文章目录1 开发流程简介2 ApiAdapter对象的开发3 利用ApiAdapter对象+ServiceProvider对象构建ConnectionFactory对象3.1 构建ConnectionFactory对象--继承OAuth2ConnectionFactory的方式3.2 将 ConnectionFactory对象交给spring容器3.2.1 springboot为1.5.6.REL...
springsecurity中session的并发控制
nrsc
09-21 2684
文章目录1 是什么?2 超过最大并发数量,踢掉前面的登陆3 超过最大并发数量,阻止后面的登陆 项目源码地址https://github.com/nieandsun/security 1 是什么? 以腾讯视频会员为例,假如我的账号买了会员,则我可以享受看视频免广告,某些热门电视剧提前看等福利。若我的朋友也想享受这些福利又不想花钱买会员,则我可以让他用我的号登陆。但是假如我有很多很多的朋友都不想买...
Spring-Security框架详解:安全访问控制
"Spring-Security应用-Spring-security学习ppt" Spring Security是一个强大的且高度可定制的安全框架,用于构建安全的Java企业级应用。该框架源于2003年的Acegi Security项目,并在2007年更名为Spring Security,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值