shiro访问html没有验证码,Shiro在web应用中实现验证码、回显登录失败信息

最新推荐文章于 2023-02-20 13:56:00 发布
最新推荐文章于 2023-02-20 13:56:00 发布
阅读量286 收藏
点赞数
文章标签: shiro访问html没有验证码

目录结构:

概述

扩展shiro认证

验证码工具

验证码servlet

配置文件修改

修改登录页面

测试验证

[一]、概述

本文简单讲述在web应用整合shiro后,如何实现登录验证码认证的功能。

[二]、扩展shiro的认证

创建验证码异常类:CaptchaException.java

package com.micmiu.modules.support.shiro;

import org.apache.shiro.authc.AuthenticationException;

/**

*

* @author Michael Sun

*/

public class CaptchaException extends AuthenticationException {

private static final long serialVersionUID = 1L;

public CaptchaException() {

super();

}

public CaptchaException(String message, Throwable cause) {

super(message, cause);

}

public CaptchaException(String message) {

super(message);

}

public CaptchaException(Throwable cause) {

super(cause);

}

}扩展默认的用户认证的bean为:

UsernamePasswordCaptchaToken.java

package com.micmiu.modules.support.shiro;

import org.apache.shiro.authc.UsernamePasswordToken;

/**

* extends UsernamePasswordToken for captcha

*

* @author Michael Sun

*/

public class UsernamePasswordCaptchaToken extends UsernamePasswordToken {

private static final long serialVersionUID = 1L;

private String captcha;

public String getCaptcha() {

return captcha;

}

public void setCaptcha(String captcha) {

this.captcha = captcha;

}

public UsernamePasswordCaptchaToken() {

super();

}

public UsernamePasswordCaptchaToken(String username, char[] password,

boolean rememberMe, String host, String captcha) {

super(username, password, rememberMe, host);

this.captcha = captcha;

}

}扩展原始默认的过滤为:

FormAuthenticationCaptchaFilter.java

此过滤器继承FormAuthenticationFilter,FormAuthenticationFilter中在request范围类保存了用户登录失败时的错误信息:

0818b9ca8b590ca3270a3433284dd417.png

由于在ShiroDbRealm(下文会提到)中登录认证时,如果验证失败,方法都是抛出:AuthenticationException 异常(父类异常),所以在页面获取request返回错误信息时,使用jstl无法区分异常类型,所以在新的FormAuthenticationCaptchaFilter中重写了保存异常信息到request范围的方法,使其返回准确的异常信息。

package com.micmiu.modules.support.shiro;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import org.apache.shiro.web.util.WebUtils;

/**

*

* @author Michael Sun

*/

public class FormAuthenticationCaptchaFilter extends FormAuthenticationFilter {

public static final String DEFAULT_CAPTCHA_PARAM = "captcha";

private String captchaParam = DEFAULT_CAPTCHA_PARAM;

public String getCaptchaParam() {

return captchaParam;

}

protected String getCaptcha(ServletRequest request) {

return WebUtils.getCleanParam(request, getCaptchaParam());

}

protected AuthenticationToken createToken(

ServletRequest request, ServletResponse response) {

String username = getUsername(request);

String password = getPassword(request);

String captcha = getCaptcha(request);

boolean rememberMe = isRememberMe(request);

String host = getHost(request);

return new UsernamePasswordCaptchaToken(username,

password.toCharArray(), rememberMe, host, captcha);

}

/**

* 重写父类FormAuthenticationFilter的方法,返回登录验证异常对应真实异常子类信息

* 目的:用于登录失败时,在登陆页面返显错误信息,提示用户

*/

@Override

protected void setFailureAttribute(ServletRequest request,

AuthenticationException ae) {

String className ="";

if(ae instanceof LockedAccountException){

className=LockedAccountException.class.getName();

}else if(ae instanceof UnknownAccountException){

className=UnknownAccountException.class.getName();

}else if(ae instanceof CaptchaException){

className=CaptchaException.class.getName();

}else if(ae instanceof DisabledAccountException){

className=DisabledAccountException.class.getName();

}else if(ae instanceof IncorrectCredentialsException){

className=IncorrectCredentialsException.class.getName();

}else {

className = ae.getClass().getName();

}

request.setAttribute(getFailureKeyAttribute(), className);

/* String className = ae.getClass().getName();

request.setAttribute(getFailureKeyAttribute(), className);*/

}

}

修改shiro认证逻辑:

ShiroDbRealm.java

package com.micmiu.framework.web.v1.system.service;

import java.io.Serializable;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.AccountException;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.cache.Cache;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.subject.SimplePrincipalCollection;

import org.springframework.beans.factory.annotation.Autowired;

import com.micmiu.framework.web.v1.system.entity.Role;

import com.micmiu.framework.web.v1.system.entity.User;

import com.micmiu.modules.captcha.CaptchaServlet;

import com.micmiu.modules.support.shiro.CaptchaException;

import com.micmiu.modules.support.shiro.UsernamePasswordCaptchaToken;

/**

* 演示用户和权限的认证,使用默认 的SimpleCredentialsMatcher

*

* @author Michael Sun

*/

public class ShiroDbRealm extends AuthorizingRealm {

private UserService userService;

/**

* 认证回调函数, 登录时调用.

*/

@Override

protected AuthenticationInfo doGetAuthenticationInfo(

AuthenticationToken authcToken) throws AuthenticationException {

UsernamePasswordCaptchaToken token = (UsernamePasswordCaptchaToken) authcToken;

String username = token.getUsername();

if (username == null) {

throw new AccountException(

"Null usernames are not allowed by this realm.");

}

// 增加判断验证码逻辑

String captcha = token.getCaptcha();

String exitCode = (String) SecurityUtils.getSubject().getSession()

.getAttribute(CaptchaServlet.KEY_CAPTCHA);

if (null == captcha || !captcha.equalsIgnoreCase(exitCode)) {

throw new CaptchaException("验证码错误");

}

User user = userService.getUserByLoginName(username);

if (null == user) {

throw new UnknownAccountException("No account found for user ["

+ username + "]");

}

return new SimpleAuthenticationInfo(new ShiroUser(user.getLoginName(),

user.getName()), user.getPassword(), getName());

}

/**

* 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用.

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(

PrincipalCollection principals) {

ShiroUser shiroUser = (ShiroUser) principals.fromRealm(getName())

.iterator().next();

User user = userService.getUserByLoginName(shiroUser.getLoginName());

if (user != null) {

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

for (Role role : user.getRoleList()) {

// 基于Permission的权限信息

info.addStringPermissions(role.getAuthList());

}

return info;

} else {

return null;

}

}

/**

* 更新用户授权信息缓存.

*/

public void clearCachedAuthorizationInfo(String principal) {

SimplePrincipalCollection principals = new SimplePrincipalCollection(

principal, getName());

clearCachedAuthorizationInfo(principals);

}

/**

* 清除所有用户授权信息缓存.

*/

public void clearAllCachedAuthorizationInfo() {

Cache cache = getAuthorizationCache();

if (cache != null) {

for (Object key : cache.keys()) {

cache.remove(key);

}

}

}

@Autowired

public void setUserService(UserService userService) {

this.userService = userService;

}

/**

* 自定义Authentication对象,使得Subject除了携带用户的登录名外还可以携带更多信息.

*/

public static class ShiroUser implements Serializable {

private static final long serialVersionUID = -1748602382963711884L;

private String loginName;

private String name;

public ShiroUser(String loginName, String name) {

this.loginName = loginName;

this.name = name;

}

public String getLoginName() {

return loginName;

}

/**

* 本函数输出将作为默认的输出.

*/

@Override

public String toString() {

return loginName;

}

public String getName() {

return name;

}

}

}

[三]、验证码工具类

CaptchaUtil.java:此工具类和servlet可以使用自己的定义

package com.micmiu.modules.captcha;

import java.awt.Color;

import java.awt.Font;

import java.awt.Graphics;

import java.awt.image.BufferedImage;

import java.io.File;

import java.io.FileOutputStream;

import java.util.Random;

import javax.imageio.ImageIO;

/**

* 验证码工具类

*

* @author Michael Sun

*/

public class CaptchaUtil {

// 随机产生的字符串

private static final String RANDOM_STRS = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";

private static final String FONT_NAME = "Fixedsys";

private static final int FONT_SIZE = 18;

private Random random = new Random();

private int width = 80;// 图片宽

private int height = 25;// 图片高

private int lineNum = 50;// 干扰线数量

private int strNum = 4;// 随机产生字符数量

/**

* 生成随机图片

*/

public BufferedImage genRandomCodeImage(StringBuffer randomCode) {

// BufferedImage类是具有缓冲区的Image类

BufferedImage image = new BufferedImage(width, height,

BufferedImage.TYPE_INT_BGR);

// 获取Graphics对象,便于对图像进行各种绘制操作

Graphics g = image.getGraphics();

// 设置背景色

g.setColor(getRandColor(200, 250));

g.fillRect(0, 0, width, height);

// 设置干扰线的颜色

g.setColor(getRandColor(110, 120));

// 绘制干扰线

for (int i = 0; i <= lineNum; i++) {

drowLine(g);

}

// 绘制随机字符

g.setFont(new Font(FONT_NAME, Font.ROMAN_BASELINE, FONT_SIZE));

for (int i = 1; i <= strNum; i++) {

randomCode.append(drowString(g, i));

}

g.dispose();

return image;

}

/**

* 给定范围获得随机颜色

*/

private Color getRandColor(int fc, int bc) {

if (fc > 255)

fc = 255;

if (bc > 255)

bc = 255;

int r = fc + random.nextInt(bc - fc);

int g = fc + random.nextInt(bc - fc);

int b = fc + random.nextInt(bc - fc);

return new Color(r, g, b);

}

/**

* 绘制字符串

*/

private String drowString(Graphics g, int i) {

g.setColor(new Color(random.nextInt(101), random.nextInt(111), random

.nextInt(121)));

String rand = String.valueOf(getRandomString(random.nextInt(RANDOM_STRS

.length())));

g.translate(random.nextInt(3), random.nextInt(3));

g.drawString(rand, 13 * i, 16);

return rand;

}

/**

* 绘制干扰线

*/

private void drowLine(Graphics g) {

int x = random.nextInt(width);

int y = random.nextInt(height);

int x0 = random.nextInt(16);

int y0 = random.nextInt(16);

g.drawLine(x, y, x + x0, y + y0);

}

/**

* 获取随机的字符

*/

private String getRandomString(int num) {

return String.valueOf(RANDOM_STRS.charAt(num));

}

public static void main(String[] args) {

CaptchaUtil tool = new CaptchaUtil();

StringBuffer code = new StringBuffer();

BufferedImage image = tool.genRandomCodeImage(code);

System.out.println(">>> random code =: " + code);

try {

// 将内存中的图片通过流动形式输出到客户端

ImageIO.write(image, "JPEG", new FileOutputStream(new File(

"random-code.jpg")));

} catch (Exception e) {

e.printStackTrace();

}

}

}

[四]、创建验证码的servlet

CaptchaServlet.java

package com.micmiu.modules.captcha;

import java.awt.image.BufferedImage;

import java.io.IOException;

import javax.imageio.ImageIO;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

/**

*

* @author Michael Sun

*/

public class CaptchaServlet extends HttpServlet {

private static final long serialVersionUID = -124247581620199710L;

public static final String KEY_CAPTCHA = "SE_KEY_MM_CODE";

@Override

protected void doGet(HttpServletRequest req, HttpServletResponse resp)

throws ServletException, IOException {

// 设置相应类型,告诉浏览器输出的内容为图片

resp.setContentType("image/jpeg");

// 不缓存此内容

resp.setHeader("Pragma", "No-cache");

resp.setHeader("Cache-Control", "no-cache");

resp.setDateHeader("Expire", 0);

try {

HttpSession session = req.getSession();

CaptchaUtil tool = new CaptchaUtil();

StringBuffer code = new StringBuffer();

BufferedImage image = tool.genRandomCodeImage(code);

session.removeAttribute(KEY_CAPTCHA);

session.setAttribute(KEY_CAPTCHA, code.toString());

// 将内存中的图片通过流动形式输出到客户端

ImageIO.write(image, "JPEG", resp.getOutputStream());

} catch (Exception e) {

e.printStackTrace();

}

}

@Override

protected void doPost(HttpServletRequest req, HttpServletResponse resp)

throws ServletException, IOException {

doGet(req, resp);

}

}

[五]、修改配置文件

在 web.xml 中增加配置:

CaptchaServlet

com.micmiu.modules.captcha.CaptchaServlet

CaptchaServlet

/servlet/captchaCode

修改applicationContext-shiro.xml 中的配置如下:

/login.do = authc

/logout.do = logout

/servlet/* = anon

/images/** = anon

/js/** = anon

/css/** = anon

/** = user

[六]、修改登录页面

login.jsp

登录页

test="${shiroLoginFailure eq 'com.hx.web.excep.CaptchaException'}">

验证码错误,请重试.

test="${shiroLoginFailure eq 'org.apache.shiro.authc.UnknownAccountException'}">

该用户不存在.

test="${shiroLoginFailure eq 'org.apache.shiro.authc.IncorrectCredentialsException'}">

用户或密码错误.
登录认证错误,请重试.

系统登录

名称:

id="username" name="username" size="25" value="${username}"

class="required" />

密码:

type="password" id="password" name="password" size="25"

class="required" />

验证码:

id="captcha" name="captcha" size="4" maxlength="4"

class="required" />

οnclick="javascript:refreshCaptcha();"

src="servlet/captchaCode">(看不清换一张)

for="rememberMe">记住我

id="submit" class="button" type="submit" value="登录" />

(管理员admin/admin, 普通用户user/user)

$(document).ready(function() {

$("#loginForm").validate();

});

var _captcha_id = "#img_captcha";

function refreshCaptcha() {

$(_captcha_id).attr("src","servlet/captchaCode?t=" + Math.random());

}

或者也可以这样获取异常信息,两种方式本质一样:

String error = (String) request

.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);

%>

test="${fn:contains(exp_type,'IncorrectCredentialsException')}">

test="${fn:contains(exp_type,'LockedAccountException')}">

[七]、验证测试

启动项目后会看到如下页面:

0818b9ca8b590ca3270a3433284dd417.png

weixin_39830906
关注
【Windows】基于curl命令的Shell上线姿势--解决shiro命令执行工具命令回显拉胯的问题
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-07 1146
基于curl命令的Shell上线姿势--解决shiro命令执行漏洞命令回显拉胯的问题
ShiroShiro登录验证失败问题
哈哈哈哈哈哈哈
07-02 6210
shiro登录验证一直失败: 原因: 在用户注册时,采用如下加密方法: /** * md5加密工具 * @param var * 要加密的字符串 * @param iterations * 加密次数 * @return */ public static String encrypt(String var,int iterations){ return new Sim...
解决springboot+shiro+Google验证码,在nginx部署环境下无法获取到session验证码的问题
weixin_43421537的博客
08-13 815
【现象】 前后端分离项目,在nginx环境下部署。依靠shirosession存储验证码,前台发送请求校验验证码时,发现拿到的不是同一个session,因此取验证码时一直为null。 【解决:更改nginx配置】 proxy_cookie_path 前面是项目路径,后面是配置文件代理的路径 例如后台配置是:server.context-path=/api 且nginx的路径为 location /pathname{......} 则,需要配置proxy_cookie_path形如下: loca.
shiro-redis缓存存入验证吗Captcha总是第一次取不到
rui276933335的专栏
04-18 494
一、问题说明 项目主要技术: SpringBoot 2.5+ MybatisPlus 3.4.2 在启动项目后再第次打开登录页面登录总是报验证错误
shiro ajax 验证码,关于Shiro登录验证码错误的问题
weixin_29210727的博客
08-06 535
1、doGetAuthenticationInfo和doGetAuthorizationInfo方法仍旧未被调用过?2、第一次访问http://127.0.0.1:8888/alumni/login/login,默认GET方式,跳转到WEB-INF\jsp\login\login.jsp的登录页面,输入用户名、密码和验证码后,通过ajax使用POST方式提交${ctx}/login/login,总...
Shiro会话管理器与验证码实现(十四)
qq_35222843的博客
05-14 248
shiro整合后,使用shiro的session管理,shiro提供sessionDao操作 会话数据。 配置sessionManager 注入到securityManager ----------------------------------------验证码(自定义验证器)--------------------------------- 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticatio.
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --&...
半自动化挖掘request实现多种间件回显1
08-03
【标题】: "Java Web应用利用反射技术实现请求回显的通用方法" 【描述】: "本文将探讨如何在各种Web间件和框架下,通过半自动化的方式挖掘request对象,实现请求回显,以应对如Shiro反序列化漏洞等场景。" ...
shiro回显方式有哪些
最新发布
06-01
4. Web页面回显:在Web页面上回显信息,可以使用JSP、Thymeleaf等模板引擎实现。 5. Ajax回显:在Web页面上使用Ajax技术实现异步回显信息。 6. 消息队列回显:使用消息队列技术,将信息发送到消息队列,再通过...
智能商贸-实现shiro加密登录信息和角色权限关联
weixin_44636439的博客
03-29 161
编码规范:常量尽量使用全部大写(快捷键:Ctrl+shift+y,全部大写) 修改密码,将密码修改为和用户名一样。 //设置加密的方法 public class MD5Utils { //设置盐值 public static String SALT="itsource"; // 设置加密次数 public static int hashIterations=10; // 定...
Caused by: com.octo.captcha.CaptchaException: word is too tall:
angtacha5412的博客
04-22 980
com.octo.captcha.CaptchaException: word is too tall: try to use less letters, smaller font or bigger background: text bounds = {text=294 java.awt.geom.Rectangle2D$Float[x=0.0,y=-25.134277...
Shiro认证框架下,加入图形验证码
mark0614的专栏
02-21 2390
目录结构: 概述创建验证码异常类:CaptchaException.java扩展shiro认证验证码工具验证码servlet配置文件修改修改登录页面测试验证 [一]、概述 本文简单讲述在web应用整合shiro后,如何实现登录验证码认证的功能。 [二]、扩展shiro的认证 创建验证码异常类:CaptchaException.java package com.micmiu.modu
shiro1.10.0 升级排坑日志
冰剑的专栏
10-16 3083
shiro1.10.0 升级排坑日志
Shiro(3)实现验证码认证
QJKT7777777的专栏
03-17 603
验证码是有效防止暴力破解的一种手段,常用做法是在服务端产生一串随机字符串与当前用户会话关联(我们通常说的放入 Session),然后向终端用户展现一张经过“扰乱”的图片,只有当用户输入的内容与服务端产生的内容相同时才允许进行下一步操作 产生验证码 作为演示,我们选择开源的验证码组件 kaptcha。这样,我们只需要简单配置一个 Servlet,页面通过 IMG 标签就可以展现图形验证码
若依框架原理及使用(一)
chaojiyingxiong的博客
11-29 7174
首先进入管网下载项目,执行数据库,adminresources修改数据库、redis 登陆生成验证码 后端生成表达式,1+1=?@2 1+1=?转成图片,传到前端展示 2存入redis通过key,value进行判断,点击登陆在判断 前端页面全在src的views,打开login.vue,找到初始化方法 created() { this.getCode(); this.getCookie(); }, methods: { getCode() { ...
springmvc 全局参数转换器
IT资料中心
07-07 287
     GetRequestInfo.java   /** * web-parent * Created by hfj * on 2017/7/7. */ @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface GetReque...
在使用JCaptcha(验证码)在项目时,在windows没报异常,但移植linux上部署出错。
一名清官
04-21 6717
如果验证码图片是采用背景图片的,在windows下没问题,
[Java安全]—Shiro回显内存马注入
Sentiment的博客
02-20 2395
接上篇[Java安全]—Tomcat反序列化注入回显内存马_,在上篇提到师傅们找到了一种Tomcat注入回显内存马的方法, 但他其实有个不足之处:由于shiro自定义了一个filter,因此无法在shiro注入内存马。所以在后边师傅们又找到了一个基于全局存储的新思路,可以在除tomcat 7以外的其他版本使用。思路仍然为寻找 tomcat 哪个类会存储 Request 和 Response在AbstractProcessor类发现Request 和 Response,并且是final的,这就意味着
Shiro实现登录状态与用户信息查询
在这个提供的代码片段,我们主要关注两个关键方法:`isAuthenticated` 和 `getUserInfo`,它们与用户登录状态和会话的用户信息相关。 1. **isAuthenticated方法**: 此方法用于检查用户是否已经成功登录。它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值