【Spring Security OAuth2】- spring security - 图片验证码

smart哥

于 2024-10-12 08:01:14 发布

阅读量514

点赞数 6

本文链接：https://blog.csdn.net/smart_an/article/details/142867793

版权

Spring Security OAuth2专题专栏收录该内容

41 篇文章 0 订阅

订阅专栏

作者简介：大家好，我是smart哥，前中兴通讯、美团架构师，现某互联网公司CTO

联系qq：184480602，加我进群，大家一起学习，一起进步，一起对抗互联网寒冬

学习必须往深处挖，挖的越深，基础越扎实！

阶段1、深入多线程

 阶段2、深入多线程设计模式

 阶段3、深入juc源码解析

阶段4、深入jdk其余源码解析

阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦！炸雷啦！黄光头他终于跑路啦！】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作？】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了！】

码哥讲源码【谁再说Spring不支持多线程事务，你给我抽他！】

终结B站没人能讲清楚红黑树的历史，不服等你来踢馆！

打脸系列【020-3小时讲解MESI协议和volatile之间的关系，那些将x86下的验证结果当作最终结果的水货们请闭嘴】

图片验证码

在登录界面图形添加验证码

开发生成图像验证码接口
在认证流程中加入图像验证码校验
重构代码

开发生成图像验证码接口

思路：
* 根据随机数生成图片
* 将随机数存到session中
* 将生成的图片写入响应中

这里相当于功能，生成图片什么的不记录了。网上一大堆，记录下这里的一些代码思路

由于是公用的，把该服务写在core中

图片验证码信息类

    package cn.mrcode.imooc.springsecurity.securitycore.validate.code;
    
    import java.awt.image.BufferedImage;
    import java.time.LocalDateTime;
    
    /**
     * 图形验证码
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/3 22:44
     */
    public class ImageCode {
        private BufferedImage image;
        private String code;
        private LocalDateTime expireTime; // 过期时间
    
        /**
         * @param image
         * @param code
         * @param expireIn 过期时间，单位秒
         */
        public ImageCode(BufferedImage image, String code, int expireIn) {
            this.image = image;
            this.code = code;
            this.expireTime = LocalDateTime.now().plusSeconds(expireIn);
        }
        // 是否过期
        public boolean isExpried() {
          return this.expireTime.isBefore(LocalDateTime.now());
      }

验证码服务

    package cn.mrcode.imooc.springsecurity.securitycore.validate.code;
    /**
     * 验证码服务
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/3 22:48
     */
    @RestController
    public class ValidateCodeController {
        private static final String SESSION_KEY = "SESSION_KEY_IMAGE_CODE";
        // 这里又使用了spring的工具类来操作session
        private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
    
        @GetMapping("/code/image")
        public void createCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
            ImageCode imageCode = createImageCode(request);
            sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY, imageCode);
            response.setContentType("image/jpeg");
            //禁止图像缓存。
            response.setHeader("Pragma", "no-cache");
            response.setHeader("Cache-Control", "no-cache");
            ImageIO.write(imageCode.getImage(), "JPEG", response.getOutputStream());
        }
    
        private ImageCode createImageCode(HttpServletRequest request) throws IOException {
            String code = RandomStringUtils.randomAlphanumeric(4);
            BufferedImage image = createImageCode(80, 40, code);
            return new ImageCode(image, code, 60);
        }

需要把该服务路径在 cn.mrcode.imooc.springsecurity.securitybrowser.BrowserSecurityConfig 中配置放行。

在认证流程中加入图像验证码校验

步骤：
由之前的源码的探索发现，只要把过滤器添加到spring现有的过滤器链上就可以了；

编写验证码过滤器
放在UsernamePasswordAuthenticationFilter过滤器之前

    package cn.mrcode.imooc.springsecurity.securitycore.validate.code;
    
    import org.apache.commons.lang3.StringUtils;
    import org.springframework.security.web.authentication.AuthenticationFailureHandler;
    import org.springframework.social.connect.web.HttpSessionSessionStrategy;
    import org.springframework.social.connect.web.SessionStrategy;
    import org.springframework.web.bind.ServletRequestBindingException;
    import org.springframework.web.bind.ServletRequestUtils;
    import org.springframework.web.context.request.ServletWebRequest;
    import org.springframework.web.filter.OncePerRequestFilter;
    
    import javax.servlet.FilterChain;
    import javax.servlet.ServletException;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    
    /**
     * 图片验证码验证过滤器
     * OncePerRequestFilter spring提供的，保证在一个请求中只会被调用一次
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/3 23:24
     */
    public class ValidateCodeFilter extends OncePerRequestFilter {
        // 在初始化本类的地方进行注入
        // 一般在配置security http的地方进行添加过滤器
        private AuthenticationFailureHandler failureHandler;
        private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
    
        @Override
        protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
            // 为登录请求，并且为post请求
            if (StringUtils.equals("/authentication/form", request.getRequestURI())
                    && StringUtils.equalsAnyIgnoreCase(request.getMethod(), "post")) {
                try {
                    validate(request);
                } catch (ValidateCodeException e) {
                    failureHandler.onAuthenticationFailure(request, response, e);
                    return;
                }
            }
            filterChain.doFilter(request, response);
        }
    
        private void validate(HttpServletRequest request) throws ServletRequestBindingException {
            // 拿到之前存储的imageCode信息
            ServletWebRequest swr = new ServletWebRequest(request);
            ImageCode codeInSession = (ImageCode) sessionStrategy.getAttribute(swr, ValidateCodeController.SESSION_KEY);
            // 又是一个spring中的工具类，
            // 试问一下，如果不看源码怎么可能知道有这些工具类可用？
            String codeInRequest = ServletRequestUtils.getStringParameter(request, "imageCode");
    
            if (StringUtils.isBlank(codeInRequest)) {
                throw new ValidateCodeException("验证码的值不能为空");
            }
            if (codeInSession == null) {
                throw new ValidateCodeException("验证码不存在");
            }
            if (codeInSession.isExpried()) {
                sessionStrategy.removeAttribute(swr, ValidateCodeController.SESSION_KEY);
                throw new ValidateCodeException("验证码已过期");
            }
            if (!StringUtils.equals(codeInSession.getCode(), codeInRequest)) {
                throw new ValidateCodeException("验证码不匹配");
            }
            sessionStrategy.removeAttribute(swr, ValidateCodeController.SESSION_KEY);
        }
    
        public AuthenticationFailureHandler getFailureHandler() {
            return failureHandler;
        }
    
        public void setFailureHandler(AuthenticationFailureHandler failureHandler) {
            this.failureHandler = failureHandler;
        }
    }

把过滤器添加到现有认证流程中

    ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
    validateCodeFilter.setFailureHandler(myAuthenticationFailureHandler);
    http
            // 由源码得知，在最前面的是UsernamePasswordAuthenticationFilter
            .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
            // 定义表单登录 - 身份认证的方式
            .formLogin()
            .loginPage("/authentication/require")
            .loginProcessingUrl("/authentication/form")

还需要注意的一个地方就是myAuthenticationFailureHandler中。因为失败会调用这个处理器;
这里和视频中演示的不一样。不会再把异常信息打印到前段页面了。

后补：视频中不知道什么时候把LoginType变成了json类型，所以会抛出异常

    if (securityProperties.getBrowser().getLoginType() == LoginType.JSON) {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.getWriter().write(objectMapper.writeValueAsString(exception));
    } else {
        // 在这里失败跳转不回去了。而且异常信息也没有打印出来。父类默认打印了死的一句话
        // 在这里就不往上面扔了,这里就先当做 defaultFailureUrl 不存在吧
        // 模拟打印异常信息
        response.setContentType("text/html;charset=UTF-8");
        response.sendError(HttpStatus.UNAUTHORIZED.value(),
                exception.getLocalizedMessage());
    //            super.onAuthenticationFailure(request, response, exception);
    }