Spring Security、实现图形验证码功能、实现"记住我"功能

最新推荐文章于 2022-03-23 18:35:25 发布
最新推荐文章于 2022-03-23 18:35:25 发布
阅读量541 收藏 1
点赞数
分类专栏: Java springboot 项目开发
Java 同时被 3 个专栏收录
90 篇文章 0 订阅
订阅专栏
项目开发
21 篇文章 0 订阅
订阅专栏
springboot
9 篇文章 0 订阅
订阅专栏
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/tryandfight/article/details/80461315

说在前面

博主最近会有很多项目跟大家一起分享,做完后会上传github上的,希望读友们能给博主提提意见哈哈

这个项目是第三方登录和安全方面的,关于后台与app和网站的登录连接操作的实战项目

github已经上传:https://github.com/13652493839/TiHom-Security

各位如果可以就给我star哈哈谢谢啦

Spring Boot+Spring Security+Spring Social项目开发(九):Spring Security授权表达式、重构配置方面的内容、数据库RBAC数据模型控制权限
Spring Boot+Spring Security+Spring Social项目开发(八):Spring Security 控制授权、源码解析
Spring Boot+Spring Security+Spring Social项目开发(七):使用JWT替换默认Token、JWT实现SSO单点登录
Spring Boot+Spring Security+Spring Social项目开发(六):开发APP认证框架、Spring Security OAuth核心源码、重构三种登录方式、重构社交登录
Spring Boot+Spring Security+Spring Social项目开发(五):微信开发、绑定与解绑、Session管理、退出登录
Spring Boot+Spring Security+Spring Social项目开发(四):使用Spring Social开发第三方登录、QQ登录开发
Spring Boot+Spring Security项目开发(三):实现短信验证码登录
Spring Boot+Spring Security项目开发(一):RESTful API介绍

Spring Security

使用Spring Security开发基于表单的认证

核心功能:
  • 认证(你是谁)
  • 授权(你能干什么)
  • 攻击防护(防止伪造身份)

SpringSecurity基本原理

第一步:请求提交
第二步:过滤器链去认证
第三步:到达FilterSecurityInterceptor进行最后一层验证(这里可以作VIP和普通用户的认证,如果这里认证失败,则抛出异常,传递到ExecptionTranslationFilter进行解析)
第四步:ExecptionTranslationFilter解析出认证失败的地方,传回过滤器链中对应的Filter进行认证处理
第五步:认证成功的话调用服务端的REST API

自定义用户认证逻辑

处理用户信息获取逻辑
处理用户校验逻辑
  • UserDetailsService
处理密码加密解密
  • PasswordEncoder
  • 同样的密码每次加密出来的结果都是不一样的
  • 处理流程:注册时进行passwordEncoder.encode(密码)加密->存入数据库->登录时认证->取出数据库里的密码(加密过的)->比较,加密串中含随机生成的盐,判断的时候通过随机生成的盐反推回去

个性化用户认证流程

自定义登录页面
  • http.formLogin().loginPage(“/tihom-signIn.html”)
  • 在application中做配置跳转页面,如果没有配置则跳转到默认的登录页面
  • 定义一个系统配置项SecurityProperties,它里面包含BrowserProperties这个配置项,与browser有关的属性都会配置在这个BrowserProperties中
  • 在SecurityProperties上配置@ConfigurationProperties(prefix = “tihom.security”),意思是这个类会读取整个系统中以tihom.security开头的配置
  • 定义一个SecurityCoreConfig核心配置类,在它上面配置@Configuration和@EnableConfigurationProperties(SecurityProperties.class),配置配置读取器,让这些类生效

这里写图片描述
这里写图片描述

自定义登录成功处理
  • 实现接口AuthenticationSuccessHandler,定义为组件
  • 在BrowserSecurityConfig中配置successHandler()处理器
  • 每日签到
  • 积分记录
自定义登录失败处理
  • 同理

认证流程源码级详解

认证处理流程说明
  • 1.进入UsernamePasswordAuthenticationFilter
    这里写图片描述
    这里写图片描述
    这里写图片描述
  • 2.AuthenticationManager,这是管理AuthenticationProvider的,拿到上一步传入的token后,遍历AuthenticationProvider去找到合适的认证逻辑,挨个询问是否支持这个token所需求的登录方式
  • 3.进入xxxAuthenticationProvider(继承AbstractUserDetailsAuthenticationProvider)去处理认证->retrieveUser()方法->UserDetailsService->UserDetails(数据库中拿出来的用户信息)->preAuthenticationChecks(预检查),检查用户是否锁定、检查用户是否过期->additionalAuthenticationChecks(附加的检查),如校验密码是否匹配等->postAuthenticationChecks(后检查)
  • 4.createSuccessAuthentication->new UsernamePasswordAuthenticationToken(三个参数的构造函数,因为此时已经认证了,setAuthenticated(true))

这里写图片描述

认证结果如何在多个请求之间共享
  • SecurityContextPersistenceFilter:在整个过滤器链的最前面,请求先经过它,检查session里面是否有SecurityContext,有就把SecurityContext拿出来放到ThreadLocal线程里,没有就空的过去了;当整个请求响应回来之后再次经过的时候,它检查线程,如果线程里面有SecurityContext就拿出来放到session里面去.这样不同的请求就可以同一个session里面拿到相同的用户认证信息,拿到以后放到线程里面,因为整个的请求和响应的过程都在一个线程里完成的,所以在线程的其他位置随时可以通过SecurityContextHolder来拿到用户信息

这里写图片描述

获取认证用户信息
  • 在UserController中
@GetMapping("/me")
    public Object getCurrentUser(@AuthenticationPrincipal UserDetails user/* Authentication authentication*/){
//        return SecurityContextHolder.getContext().getAuthentication();
        //Spring会自动去SecurityContext对象里去找
//        return authentication;
        return user;
    }
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

实现图形验证码功能

开发生成图形验证码接口
  • 根据随机数生成图片
  • 将随机数存到session中
  • 将生成的图片写到接口的响应中
在认证流程中加入图形验证码校验
重构图形验证码接口

这里写图片描述

1.验证码基本参数可配置

应用级配置
* 将验证码的大小等基本参数,定义一个验证码图片配置类和一个验证配置类,前者继承于后者
* 在SecutiryProperties中配置验证配置类
* 这样在application.properties中就可以作全局配置了
请求级的配置
* 在控制器中配置Generator的实现

2.验证码拦截的接口可配置

多个请求都需要验证图形验证码

3.验证码的生成逻辑可配置

把验证码生成的逻辑转移到一个ImageCodeGenerator发生器
在ValidateCodeBeanConfig中配置ValidateCodeGenerator

最后基本逻辑是:ValidateCodeBeanConfig配置类->ValidateCodeGenerator接口->ImageCodeGenerator接口实现类(含SecurityProperties)->ValidateCodeController控制器(调用ValidateCodeGenerator接口,但是使用的是imageCodeGenerator)->生成验证码

实现”记住我”功能

记住我功能的基本原理

这里写图片描述

记住我功能的具体实现

在BrowserProperties中配置过期时间
浏览器配置类中添加persistentTokenRepository
在configure中配置

.rememberMe()
    .tokenRepository(persistentTokenRepository())
    .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())
    .userDetailsService(userDetailsService)
 
 
  • 1
  • 2
  • 3
  • 4
记住我功能SpringSecurity源码解析
进入UsernamePasswordAuthenticationFilter->进入AbstractAuthenticationProcessingFilter(调用rememberMeServices服务)->onLoginSuccess(用tokenRepository创建新的token,添加到cookie中)

->到这里登录完成

下次登录
进入RememberMeAuthenticationFilter(调用rememberMeServices的autoLogin方法)->从请求的cookie中拿到token和series,然后根据series值去数据库里拿token和用户信息->作判断->UserDetailsService调用户信息->SecurityContextHolder.getContext().setAuthentication(rememberMeAuth)把用户信息放入session里
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/tryandfight/article/details/80461315

说在前面

博主最近会有很多项目跟大家一起分享,做完后会上传github上的,希望读友们能给博主提提意见哈哈

这个项目是第三方登录和安全方面的,关于后台与app和网站的登录连接操作的实战项目

github已经上传:https://github.com/13652493839/TiHom-Security

各位如果可以就给我star哈哈谢谢啦

Spring Boot+Spring Security+Spring Social项目开发(九):Spring Security授权表达式、重构配置方面的内容、数据库RBAC数据模型控制权限
Spring Boot+Spring Security+Spring Social项目开发(八):Spring Security 控制授权、源码解析
Spring Boot+Spring Security+Spring Social项目开发(七):使用JWT替换默认Token、JWT实现SSO单点登录
Spring Boot+Spring Security+Spring Social项目开发(六):开发APP认证框架、Spring Security OAuth核心源码、重构三种登录方式、重构社交登录
Spring Boot+Spring Security+Spring Social项目开发(五):微信开发、绑定与解绑、Session管理、退出登录
Spring Boot+Spring Security+Spring Social项目开发(四):使用Spring Social开发第三方登录、QQ登录开发
Spring Boot+Spring Security项目开发(三):实现短信验证码登录
Spring Boot+Spring Security项目开发(一):RESTful API介绍

Spring Security

使用Spring Security开发基于表单的认证

核心功能:
  • 认证(你是谁)
  • 授权(你能干什么)
  • 攻击防护(防止伪造身份)

SpringSecurity基本原理

第一步:请求提交
第二步:过滤器链去认证
第三步:到达FilterSecurityInterceptor进行最后一层验证(这里可以作VIP和普通用户的认证,如果这里认证失败,则抛出异常,传递到ExecptionTranslationFilter进行解析)
第四步:ExecptionTranslationFilter解析出认证失败的地方,传回过滤器链中对应的Filter进行认证处理
第五步:认证成功的话调用服务端的REST API

自定义用户认证逻辑

处理用户信息获取逻辑
处理用户校验逻辑
  • UserDetailsService
处理密码加密解密
  • PasswordEncoder
  • 同样的密码每次加密出来的结果都是不一样的
  • 处理流程:注册时进行passwordEncoder.encode(密码)加密->存入数据库->登录时认证->取出数据库里的密码(加密过的)->比较,加密串中含随机生成的盐,判断的时候通过随机生成的盐反推回去

个性化用户认证流程

自定义登录页面
  • http.formLogin().loginPage(“/tihom-signIn.html”)
  • 在application中做配置跳转页面,如果没有配置则跳转到默认的登录页面
  • 定义一个系统配置项SecurityProperties,它里面包含BrowserProperties这个配置项,与browser有关的属性都会配置在这个BrowserProperties中
  • 在SecurityProperties上配置@ConfigurationProperties(prefix = “tihom.security”),意思是这个类会读取整个系统中以tihom.security开头的配置
  • 定义一个SecurityCoreConfig核心配置类,在它上面配置@Configuration和@EnableConfigurationProperties(SecurityProperties.class),配置配置读取器,让这些类生效

这里写图片描述
这里写图片描述

自定义登录成功处理
  • 实现接口AuthenticationSuccessHandler,定义为组件
  • 在BrowserSecurityConfig中配置successHandler()处理器
  • 每日签到
  • 积分记录
自定义登录失败处理
  • 同理

认证流程源码级详解

认证处理流程说明
  • 1.进入UsernamePasswordAuthenticationFilter
    这里写图片描述
    这里写图片描述
    这里写图片描述
  • 2.AuthenticationManager,这是管理AuthenticationProvider的,拿到上一步传入的token后,遍历AuthenticationProvider去找到合适的认证逻辑,挨个询问是否支持这个token所需求的登录方式
  • 3.进入xxxAuthenticationProvider(继承AbstractUserDetailsAuthenticationProvider)去处理认证->retrieveUser()方法->UserDetailsService->UserDetails(数据库中拿出来的用户信息)->preAuthenticationChecks(预检查),检查用户是否锁定、检查用户是否过期->additionalAuthenticationChecks(附加的检查),如校验密码是否匹配等->postAuthenticationChecks(后检查)
  • 4.createSuccessAuthentication->new UsernamePasswordAuthenticationToken(三个参数的构造函数,因为此时已经认证了,setAuthenticated(true))

这里写图片描述

认证结果如何在多个请求之间共享
  • SecurityContextPersistenceFilter:在整个过滤器链的最前面,请求先经过它,检查session里面是否有SecurityContext,有就把SecurityContext拿出来放到ThreadLocal线程里,没有就空的过去了;当整个请求响应回来之后再次经过的时候,它检查线程,如果线程里面有SecurityContext就拿出来放到session里面去.这样不同的请求就可以同一个session里面拿到相同的用户认证信息,拿到以后放到线程里面,因为整个的请求和响应的过程都在一个线程里完成的,所以在线程的其他位置随时可以通过SecurityContextHolder来拿到用户信息

这里写图片描述

获取认证用户信息
  • 在UserController中
@GetMapping("/me")
    public Object getCurrentUser(@AuthenticationPrincipal UserDetails user/* Authentication authentication*/){
//        return SecurityContextHolder.getContext().getAuthentication();
        //Spring会自动去SecurityContext对象里去找
//        return authentication;
        return user;
    }
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

实现图形验证码功能

开发生成图形验证码接口
  • 根据随机数生成图片
  • 将随机数存到session中
  • 将生成的图片写到接口的响应中
在认证流程中加入图形验证码校验
重构图形验证码接口

这里写图片描述

1.验证码基本参数可配置

应用级配置
* 将验证码的大小等基本参数,定义一个验证码图片配置类和一个验证配置类,前者继承于后者
* 在SecutiryProperties中配置验证配置类
* 这样在application.properties中就可以作全局配置了
请求级的配置
* 在控制器中配置Generator的实现

2.验证码拦截的接口可配置

多个请求都需要验证图形验证码

3.验证码的生成逻辑可配置

把验证码生成的逻辑转移到一个ImageCodeGenerator发生器
在ValidateCodeBeanConfig中配置ValidateCodeGenerator

最后基本逻辑是:ValidateCodeBeanConfig配置类->ValidateCodeGenerator接口->ImageCodeGenerator接口实现类(含SecurityProperties)->ValidateCodeController控制器(调用ValidateCodeGenerator接口,但是使用的是imageCodeGenerator)->生成验证码

实现”记住我”功能

记住我功能的基本原理

这里写图片描述

记住我功能的具体实现

在BrowserProperties中配置过期时间
浏览器配置类中添加persistentTokenRepository
在configure中配置

.rememberMe()
    .tokenRepository(persistentTokenRepository())
    .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())
    .userDetailsService(userDetailsService)
 
 
  • 1
  • 2
  • 3
  • 4
记住我功能SpringSecurity源码解析
进入UsernamePasswordAuthenticationFilter->进入AbstractAuthenticationProcessingFilter(调用rememberMeServices服务)->onLoginSuccess(用tokenRepository创建新的token,添加到cookie中)

->到这里登录完成

下次登录
进入RememberMeAuthenticationFilter(调用rememberMeServices的autoLogin方法)->从请求的cookie中拿到token和series,然后根据series值去数据库里拿token和用户信息->作判断->UserDetailsService调用户信息->SecurityContextHolder.getContext().setAuthentication(rememberMeAuth)把用户信息放入session里
liyuanwlly
关注
专栏目录
Spring Security 实现图形验证码
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 150
Spring Security中,实现验证码校验的方式有很多种,最简单的方式就是自定义一个专门处理验证码逻辑的过滤器,将其添加到Spring Security过滤器链的合适位置。当匹配到登录请求,立刻对验证码进行校验,成功则放行,失败则提前结束整个验证请求。说到Spring Security的过滤器,我们先回顾一下前面使用过的配置。//@EnableWebSecurity:开启SpringSecurity 之后会默认注册大量的过滤器servlet filter。
SpringSecurity(2)---记住功能实现
Java76476434341的博客
05-27 285
上一篇博客实现了认证+授权的基本功能,这里在这个基础上,添加一个记住我的功能。 上一篇博客地址:SpringSecurity(1)---认证+授权代码实现 说明:上一遍博客的用户数据和用户关联角色的信息是在代码里写死的,这篇将从mysql数据库中读取。 一、数据库建表 这里建了三种表 一般权限表有四张或者五张,这里有关角色关联资源表没有创建,角色和资源的关系依旧在代码里写死。 建表sql /*创建用户表*/ CREATE TABLE `persistent_logins` ...
Spring Security系列】Spring Security使用自定义认证实现图形验证码
qq_28248897的博客
06-30 535
前面使用过滤器的方式实现了带图形验证码验证功能,属于Servlet层面,简单、易理解。其实,Spring Security还提供了一种更优雅的实现图形验证码的方式,即自定义认证。 1.认识AuthenticationProvider 在学习Spring Security的自定义认证之前,有必要了解Spring Security是如何灵活集成多种认证技术的。 我们所面对的系统中的用户,在Spring Security中被称为主体(principal)。主体包含了所有能够经过验证而获得系统访问权限的
Spring Security教程(13)---- 验证码功能实现
z69183787的专栏
03-16 5245
有三中方法可以实现验证码功能 第一种是自定义一个filter,放在SpringSecurity过滤器之前,在用户登录候会先经过这个filter,然后在这个filter中实现验证码进行验证功能,这种方法不推荐,因为它已经脱离了SpringSecurity 第二种是自定义一个filter让它继承自UsernamePasswordAuthenticationFilter,然后重写a
SpringSecurity实现验证码功能
weixin_41359273的博客
03-23 2550
SpringSecurity实现验证码功能1.pom.xml2.建表语句3. application.properties4.model5.mapper及其对应的xml文件6.UserService7.controller8.验证码配置9.自定义AuthenticationProvider,对验证码进行校验10.security配置11.测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://ma
SpringSecurity学习之路9-实现验证码功能
kevin
06-10 198
步骤: 定义一个封装验证码信息的类,ImageCode。 写一个生成验证码的接口,利用随机数生成验证码,并将生成的验证码信息存储进session。 springsecurity是由一系列filter接口来实现的,自定义一个filter继承OncePerRequestFilter,实现校验验证码的逻辑功能。 将这个自定义的filter添加进入springsecurity链中。 Ima...
Spring Boot实现验证码功能
weixin_45758031的博客
11-01 300
验证码的整体思想就是随机一段字符串,然后让其存储到session里面。 看代码 首先添加一个工具类: package com.example.demo.tool; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.Graphics2D; import java.awt.R...
SpringBoot结合SpringSecurity实现图形验证码功能
08-27
"Spring Boot 结合 Spring Security 实现图形验证码功能" 本文主要介绍了如何使用 Spring Boot 结合 Spring Security 实现图形验证码功能图形验证码是一种常用的防止机器人攻击的方法,它可以防止机器人对网站的...
SpringSecurity实现图形验证码功能实例代码
08-26
Spring Security框架中,实现图形验证码功能主要是为了增强应用程序的安全性,防止自动化脚本或恶意攻击者通过自动填充表单进行非法操作。图形验证码是一种常用的身份验证机制,它要求用户输入图片中显示的一段...
Spring Security实现验证码登录功能
08-25
Spring Security验证码登录功能是基于Java的图形验证码技术实现的。该技术生成一个随机的验证码图片,用户需要输入正确的验证码以完成登录。这样可以防止自动化程序的攻击和恶意攻击。 知识点二:生成验证码的...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
java springmvc实现验证码功能
qq_35572020的博客
11-04 7873
先看效果图: 思路: 首先验证码是一张图片,是一张有着随机字母、数字、图案等组成的图片,所以这图片肯定不是固定不变的,肯定是由后端随机制造出来的,前端用img的src去不断访问这个制造的方法。第一步:前端页面编写 登录使用的是ajax方法,所以使用的是调用点击事件进行,验证码的图片放在a标签中是为了方便点击变换验证码。显示图片用的是img的src属性,因为使用的是s
springboot--14 security图形验证码的开发,代码的重构,记住功能实现
最后的武艺集大成者
09-19 212
1.图形验证码 2. package com.wx.core.validate.code; import java.awt.image.BufferedImage; import java.time.LocalDateTime; public class ImageCode { private String code; priv...
Spring security登录新增图片验证码验证
liuwenjie22的博客
12-05 745
自己写一个类继承AbstractAuthenticationProcessingFilter public class Captcha extends AbstractAuthenticationProcessingFilter{ protected Captcha() { super("/login");//拦截地址 setAuthenticationFailureHandler...
spring boot 编写验证码功能
mistchensz的博客
04-09 334
页面:&lt;p class="input-group input-group"&gt; &lt;span class="index_code_lable"&gt;验证码 :&lt;/span&gt; &lt;input id="index_code" maxlength="4" name="code" type="text"
Spring Security提供的图形验证码
weixin_46007404的博客
07-28 278
Spring Security提供的图形验证码 目的:防机器暴力登陆,动态生成验证码,在登录进行验证码校验。 示例: Kaptcha: kaptcha.border 图片边框,合法值:yes , no kaptcha.border.color 边框颜色,合法值: r,g,b (and optional alpha) 或者 white,black,blue. kaptcha.image.width 图片宽 kaptcha.image.height 图片高 kaptcha.producer.impl 图片实
springboot+springsecurity+jwt实现基于token认证(可能有点详细)
qq_42394044的博客
11-02 1901
准备工作 1、新建一个springboot项目并导入下面依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</gro
spring-security入门10---图形验证码(一)---功能实现
nrsc
07-06 628
项目源码地址https://github.com/nieandsun/security
[Spring Security] 图片验证码实现与校验
ShotMoon的博客
05-23 2672
图片验证码是当今使用最广泛的用户验证方式之一,在之前实现了简单的表单登录的基础上,今天用spring security实现一下图片验证码实现过程。1.demo结构2.实现过程首先创建ImageCode实体类,定义图片验证码各参数。ImageCode.javapackage com.security.validate.code; import lombok.Data; import java...
SpringSecurity实战:集成图形验证码的步骤与代码示例
首先,SpringSecurity图形验证码功能实现涉及以下几个关键步骤: 1. **创建 ImageCode 类**: ImageCode 类封装了图形验证码的相关信息,包括验证码图片(BufferedImage 对象)、验证码字符(字符串)以及有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值