若依框架-Shiro验证码校验过滤器源码分析

已于 2023-06-08 11:19:52 修改
阅读量2.3k 收藏 4
点赞数 1
文章标签: java servlet 前端
于 2022-08-09 15:49:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31856061/article/details/126248714
版权
本文介绍了一个基于若依框架的管理平台项目迁移过程中遇到的问题,即登录接口仅接收用户名和密码,未集成验证码验证。文章详细解析了如何利用Shiro框架的自定义过滤器来实现验证码的功能,并展示了具体的代码实现。
摘要由CSDN通过智能技术生成

引入

在将公司一个管理平台项目迁移到若依框架时,发现了其登录接口只接收 username 和 password 两个参数,并无验证码。

	@PostMapping("/login")
    @ResponseBody
    public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            return success();
        } catch (AuthenticationException e) {
            String msg = "用户或密码错误";
            if (StringUtils.isNotEmpty(e.getMessage())) {
                msg = e.getMessage();
            }
            return error(msg);
        }
    }

查看源码发现 shiro 单独用了个过滤器处理验证码

// 登录相关
filterChainDefinitionMap.put("/login", "anon,captchaValidate");    // echoo mark: 登录、注册使用验证码校验过滤器
// 注册相关
filterChainDefinitionMap.put("/register", "anon,captchaValidate");
filters.put("captchaValidate", captchaValidateFilter());           // echoo mark: 验证码校验过滤器 加入 滤池映射

验证码过滤器

/**
 * 验证码过滤器
 */
public class CaptchaValidateFilter extends AccessControlFilter {
    /**
     * 是否开启验证码
     */
    private boolean captchaEnabled = true;

    /**
     * 验证码类型
     */
    private String captchaType = "math";

    public void setCaptchaEnabled(boolean captchaEnabled) {
        this.captchaEnabled = captchaEnabled;
    }

    public void setCaptchaType(String captchaType) {
        this.captchaType = captchaType;
    }

    // echoo mark: 验证码校验逻辑
    @Override
    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { // 校验逻辑
        request.setAttribute(ShiroConstants.CURRENT_ENABLED, captchaEnabled);
        request.setAttribute(ShiroConstants.CURRENT_TYPE, captchaType);
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        System.out.println("httpServletRequest.getRequestURI() = " + httpServletRequest.getRequestURI());
        // 调用父类的 onPreHandle 方法,
        // isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue)
        // 因为 isAccessAllowed onAccessDenied 都是抽象方法,且在此过滤器实现,所以父类调用的是此过滤器实现的两个判断方法
        // isAccessAllowed 返回 true 则直接通过校验,放行
        // isAccessAllowed 返回 false 则执行 onAccessDenied 的判断逻辑决定是否通过放行
        return super.onPreHandle(request, response, mappedValue);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
            throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        // 验证码禁用 或不是表单提交 允许访问
        // 只校验 Post 请求,Get 请求为转接登录页面请求
        if (captchaEnabled == false || !"post".equals(httpServletRequest.getMethod().toLowerCase())) { 
            return true;
        }
        // 取出请求中参数 validateCode 的值作为验证码
        return validateResponse(httpServletRequest, 
        httpServletRequest.getParameter(ShiroConstants.CURRENT_VALIDATECODE));
    }

    public boolean validateResponse(HttpServletRequest request, String validateCode) {
        Session session1 = ShiroUtils.getSession();
        System.out.println("shiro中的会话对象 = " + session1);
        // 取出当前会话 KAPTCHA_SESSION_KEY 的值
        Object obj = ShiroUtils.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY); 
        String code = String.valueOf(obj != null ? obj : "");
        // 验证码清除,防止多次使用。
        HttpSession session = request.getSession();
        System.out.println("请求中的会话对象 = " + session);
        // 移除请求中 会话对象的的 KAPTCHA_SESSION_KEY 字段
        session.removeAttribute(Constants.KAPTCHA_SESSION_KEY);    
        // 校验会话中的验证码是否与请求表单中的验证码一致          
        if (StringUtils.isEmpty(validateCode) || !validateCode.equalsIgnoreCase(code)) {  
            return false;
        }
        return true;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    	// 设置 captcha 字段值为 captchaError , 在后续的逻辑中通过此字段判断校验结果 
        request.setAttribute(ShiroConstants.CURRENT_CAPTCHA, ShiroConstants.CAPTCHA_ERROR);
        return true;
    }
}

其父类:
1.为抽象类
2.onPreHandle() 方法有默认实现
3.onAccessDenied() 和 isAccessAllowed() 需要自己实现逻辑

public abstract class AccessControlFilter extends PathMatchingFilter {

	public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }

	protected abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;
	
	protected abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;
}
Echoo华地
关注
若依shiro非前后端分离项目集群化改造
weixin_50989469的博客
09-21 1063
若依前后端不分离基础项目,使用shiro框架作为授权和认证的安全框架。对比前后端分离项目的token验证机制,不分离项目仍然采用的是cookie + session的组合,浏览器存储的cookie与服务端的session进行校验。项目集群方案,前后端分离项目有着天然的优势,前后端不分离项目就要考虑session共享的问题了。因为session机制对于单机应用是没问题的,在集群环境下,当请求被分配到另一台服务器时,新的服务器无法通过浏览器传入的cookie值取到session,这样登录状态就会验证失败。
若依之权限处理
最新发布
wsb_2526的博客
06-04 2331
shiro认证和授权。
java用户登录验证码 filter过滤
08-08
login登录界面,出现验证码验证码servlet后台生成的, 有一个验证码生成bean供大家使用。 filter过滤验证验证码是否正确
【若依】开源框架学习笔记 03 - 过滤器
MichelleChung的星球
05-13 1868
文章目录WebAsyncManagerIntegrationFilterSecurityContextPersistenceFilterHeaderWriterFilterCorsFilterLogoutFilterJwtAuthenticationTokenFilterRequestCacheAwareFilterSecurityContextHolderAwareRequestFilterAnonymousAuthenticationFilterSessionManagementFilterExcept
jsp过滤器验证码
Keeping
10-21 270
[size=medium] TestFilter filter.TestFilter TestFilter /* img filter.TestImg img /imgCode package filter; import java.io.*; import java.util.*...
Day_51 验证码和Filter 过滤器
qq_26942049的博客
12-05 1185
一、表单重复提交之-----验证码 表单重复提交有三种常见的情况: 一:提交完表单。服务器使用请求转来进行页面跳转。这个时候,用户按下功能键 F5,就会发起最后一次的请求。 造成表单重复提交问题。解决方法:使用重定向来进行跳转 二:用户正常提交服务器,但是由于网络延迟等原因,迟迟未收到服务器的响应,这个时候,用户以为提交失败, 就会着急,然后多点了几次提交操作,也会造成表单重复提交。 三:用户正常提交服务器。服务器也没有延迟,但是提交完成后,用户回退浏览器。重新提交。也会造成表单重复
Spring Security(二)图形验证码过滤器
core815的专栏
10-09 561
1.添加依赖 <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>2.3.2</version> </dependency> 2.配置kaptcha @B...
手把手教你玩转Shiro(2)
Cs_hnu_scw的博客
01-13 2214
如果没有看第一篇关于Shiro的,可以先看看这篇文章哦,因为是一个前导知识  Shiro前导知识 ,,对于深层次理解会有很好的效果呢!而且本篇也有利用到前面写的知识点哦。~ 一:Shiro的认识        Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安
Shiro权限管理
ycfxhsw的博客
04-25 735
Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
SpringBoot整合Shiro学习(中)
qq_461491877的博客
11-21 957
SpringBoot整合Shiro(中) 基于【编程不良人】2020最新版Shiro教程,整合SpringBoot项目实战教程 哔哩哔哩链接:https://www.bilibili.com/video/BV1uz4y197Zm?p=1 上篇我们简单介绍了shiro的基本原理和认证和授权的实现,接下来我们将进行Shiro与jsp页面的整合开发。 六、Shrio整合JSP实战 6.1 整合思路 6.2 配置环境 1.创建项目 我们新建一个springboot项目, 配置项目信息, 引入依赖, 命名项目
servlet验证码制作和过滤器
10-14
在做网站的时候经常会遇到一些问题,比如乱码问题和验证码问题,在这里有几个封装好的,做网站经常用到的东西
java过滤器验证码
08-27
java过滤器验证码
掌握SpringSecurity认证授权全流程源码解读
Spring Security通过一系列的过滤器链来拦截和处理HTTP请求,这些过滤器处理了认证、权限验证等核心功能。开发者可以通过编写配置类或Java配置文件来启用和定制Spring Security。此外,Spring Security也支持扩展点...
JavaEE系统架构师学习路线(基础篇)
wu8110448的博客
03-28 827
大纲: 第1阶段(Java程序员) - Java语言基础 第2阶段(Java初级软件工程师) - JSP、Servlet、HTML、CSS、JS、Bootstrap、XML、AJAX、MySQL、SQL Server、Oracle 第3阶段(Java中级软件工程师) - Struts2、Spring、Hibernate、SpringMVC、Mybatis、Shiro、JVM 第4阶段(J...
Shiro验证码
qq_43654581的博客
10-16 2089
账号登录时,根据图片输入验证码校验失败拒绝登录
Springboot +spring security,使用过滤器方式实现验证码功能
weixin_40991408的博客
05-23 739
Springboot +spring security,使用过滤器方式实现验证码功能
图片验证码请求验证filter
weixin_42546729的博客
06-22 640
ValidateFilter继承oncePerRequestFilter 继承调用首先是验证是否是特定的请求,是否post,sessionStrategy进行验证码sessionid校验查看是否是否从在通过servletwebRequset判断信息是否相同,在config中配置,在user 请求配置(接口传递)-》应用配置(某个应用)-》默认配置(core) 1.基本参数可配置 建立参...
登录验证的过滤器Filter
Mr.田的博客
05-09 495
package cn.itcast.web.filter; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * 登录验证的过滤器 */ @WebFilter("/*") public class LoginFilter implements Filter {
JFinal-Shiro-JDBC-Demo:基于JFinal框架与Shiro的安全演示项目
资源摘要信息: "JFinal-Shiro-JDBC-Demo" ### 知识点概述 1. **JFinal框架基础** - **简介**: JFinal是一个Java语言编写的轻量级Web应用框架,基于MVC设计模式,以其简单、快速、灵活、强大等特性在Java开发社区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值