SpringSecurity图片验证码java

最新推荐文章于 2022-12-15 10:32:13 发布
最新推荐文章于 2022-12-15 10:32:13 发布
阅读量2.6k 收藏 2
点赞数 3
分类专栏: 不知道气什么名字 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46100556/article/details/106377975
版权

SpringSecurity的图片验证码。
   实现图形验证码功能要有两个步骤:

  1. 开发生成图形验证码接口
  2. 在认证流程中加入图形验证码校验

1.开发生成图形验证码接口
1.1验证码信息封装类
验证码要包含图片,code,还有超时时间3个要素,考虑到我们的browser模块和APP模块都会用到验证码信息,所以我们把这块代码放入到core模块中

public class ImageCode {

    private BufferedImage image;

    private String code;

    private LocalDateTime expireTime;

    public ImageCode(BufferedImage image, String code, int expireIn) {
        this.image = image;
        this.code = code;
        this.expireTime = LocalDateTime.now().plusSeconds(expireIn);
    }

    public ImageCode(BufferedImage image, String code, LocalDateTime expireTime) {
        this.image = image;
        this.code = code;
        this.expireTime = expireTime;
    }

    public boolean isExpired() {
        return LocalDateTime.now().isAfter(expireTime);
    }

    public BufferedImage getImage() {
        return image;
    }

    public void setImage(BufferedImage image) {
        this.image = image;
    }

    public String getCode() {
        return code;
    }

    public void setCode(String code) {
        this.code = code;
    }

    public LocalDateTime getExpireTime() {
        return expireTime;
    }

    public void setExpireTime(LocalDateTime expireTime) {
        this.expireTime = expireTime;
    }

}

1.2验证码生成器接口

public interface ValidateCodeGenerator {
    ImageCode generate(ServletWebRequest request);
}

就一个验证码生成方法,这里为什么要定义接口呢,因为本章节中我们只讲解图形验证码,后面我们可能还有短信验证码,所以这里必须要以接口的形式提供。

1.3验证码生成器实现类

public class ImageCodeGenerator implements ValidateCodeGenerator {
    @Autowired
    private SecurityProperties securityProperties;

    @Override
    public ImageCode generate(ServletWebRequest request) {

        int width = ServletRequestUtils.getIntParameter(request.getRequest(), "width",
                securityProperties.getCode().getImage().getLength());
        int height = ServletRequestUtils.getIntParameter(request.getRequest(), "height",
                securityProperties.getCode().getImage().getHeight());
        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

        Graphics g = image.getGraphics();

        Random random = new Random();

        g.setColor(getRandColor(200, 250));
        g.fillRect(0, 0, width, height);
        g.setFont(new Font("Times New Roman", Font.ITALIC, 20));
        g.setColor(getRandColor(160, 200));
        for (int i = 0; i < 155; i++) {
            int x = random.nextInt(width);
            int y = random.nextInt(height);
            int xl = random.nextInt(12);
            int yl = random.nextInt(12);
            g.drawLine(x, y, x + xl, y + yl);
        }

        String sRand = "";
        for (int i = 0; i < securityProperties.getCode().getImage().getLength(); i++) {
            String rand = String.valueOf(random.nextInt(10));
            sRand += rand;
            g.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));
            g.drawString(rand, 13 * i + 6, 16);
        }

        g.dispose();

        return new ImageCode(image, sRand, securityProperties.getCode().getImage().getExpireIn());

    }

    /**
     * 生成随机背景条纹
     * 
     * @param fc
     * @param bc
     * @return
     */
    private Color getRandColor(int fc, int bc) {
        Random random = new Random();
        if (fc > 255) {
            fc = 255;
        }
        if (bc > 255) {
            bc = 255;
        }
        int r = fc + random.nextInt(bc - fc);
        int g = fc + random.nextInt(bc - fc);
        int b = fc + random.nextInt(bc - fc);
        return new Color(r, g, b);
    }

    public SecurityProperties getSecurityProperties() {
        return securityProperties;
    }

    public void setSecurityProperties(SecurityProperties securityProperties) {
        this.securityProperties = securityProperties;
    }

}

这里面包含了验证码的生成逻辑,另外我们看到还引入了SecurityProperties这个类,这个类主要是包含了对图形验证码的一些配置。我们可以在1.4中看看SecurityProperties的一些信息

1.4SecurityProperties
@ConfigurationProperties(prefix = "imooc.security")
public class SecurityProperties {
    private BrowserProperties browser = new BrowserProperties();

    private ValidateCodeProperties code = new ValidateCodeProperties();

    public BrowserProperties getBrowser() {
        return browser;
    }

    public void setBrowser(BrowserProperties browser) {
        this.browser = browser;
    }

    public ValidateCodeProperties getCode() {
        return code;
    }

    public void setCode(ValidateCodeProperties code) {
        this.code = code;
    }

}


> //BrowserProperties是上一章节中讲解的配置了,
> //这里我们还引入了ValidateCodeProperties是验证码的配置信//息,
> //但是刚才我们也提到了验证码有短信验证码,图形验证码之分,
> //所以ValidateCodeProperties里面还会封装一层信息,见1.5

1.5ValidateCodeProperties
public class ValidateCodeProperties {
    
    /**
     * 图片验证码配置
     */
    private ImageCodeProperties image = new ImageCodeProperties();
    

    public ImageCodeProperties getImage() {
        return image; 
    }

    public void setImage(ImageCodeProperties image) {
        this.image = image;
    }
}
1.6ImageCodeProperties
public class ImageCodeProperties {

    /**
     * 图片宽
     */
    private int width = 67;
    /**
     * 图片高
     */
    private int height = 23;

    private int length = 4;

    private int expireIn = 60;

    private String url;

    public int getWidth() {
        return width;
    }

    public void setWidth(int width) {
        this.width = width;
    }

    public int getHeight() {
        return height;
    }

    public void setHeight(int height) {
        this.height = height;
    }

    public int getLength() {
        return length;
    }

    public void setLength(int length) {
        this.length = length;
    }

    public int getExpireIn() {
        return expireIn;
    }

    public void setExpireIn(int expireIn) {
        this.expireIn = expireIn;
    }

    public String getUrl() {
        return url;
    }

    public void setUrl(String url) {
        this.url = url;
    }

}

首先这个配置项包含了验证码图片的宽度、高度,验证码位数,验证码的超时时间,为什么有这么一个配置项,主要是为了让demo用户可以对这些选项做到灵活配置。那么它和1.1中的ImageCode又有什么区别呢?区别在于ImageCodeGenerator会根据ImageCodeProperties配置来生成ImageCode信息!!

1.7ValidateBeanConfig
@Configuration
public class ValidateBeanConfig {
    @Autowired
    private SecurityProperties securityProperties;

    @Bean
    @ConditionalOnMissingBean(name = "imageCodeGenertor")
    public ValidateCodeGenerator imageCodeGenerator() {
        ImageCodeGenerator codeGenerator = new ImageCodeGenerator();
        codeGenerator.setSecurityProperties(securityProperties);
        return codeGenerator;
    }
}

这个类主要是验证码生成的配置类,为什么要做这么一想配置,是因为有时候我们希望让用户在demo里面建立自己的验证码生成器。只要它把生成器的名字命名为imageCodeGenertor。这么做的好处是什么呢?当我们想拥有新的验证码生成器的时候可以不用改旧的代码,而是让用户自己重写即可,可以做到代码的无污染和改动,一个好的架构就是这样形成滴~~

1.8ValidateCodeController

我们的html页面在初始化的时候必须访问Controller来生成图形验证码,此时我们需要提供一个Controller来完成这段逻辑,Controller会用到ValidateCodeGenerator来生成验证码,代码如下:

@RestController
public class ValidateCodeController {

    public static final String SESSION_KEY = "SESSION_KEY_IMAGE_CODE";
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
    @Autowired
    private ValidateCodeGenerator imageCodeGenerator;

    /**
     * 创建验证码,根据验证码类型不同,调用不同的 {@link ValidateCodeProcessor}接口实现
     * 
     * @param request
     * @param response
     * @param type
     * @throws Exception
     */
    @GetMapping("/code/image")
    public void createCode(HttpServletRequest request, HttpServletResponse response) throws Exception {
        ImageCode imageCode = imageCodeGenerator.generate(new ServletWebRequest(request));
        sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY, imageCode);
        ImageIO.write(imageCode.getImage(), "JPEG", response.getOutputStream());
    }

}

好了验证码的生成接口我们就介绍完成了,那么我们如何用到它呢?

2.在认证流程中加入图形验证码校验
2.1使用过滤器来完成对图形验证码的校验–ValidateCodeFilter

public class ValidateCodeFilter extends OncePerRequestFilter implements InitializingBean {
    private AuthenticationFailureHandler authenticationFailureHandler;
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
    private Set<String> urls = new HashSet<>();
    private SecurityProperties securityProperties;
    private AntPathMatcher pathMatcher = new AntPathMatcher();

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        boolean action = false;
        for (String url : urls) {
            if (pathMatcher.match(url, request.getRequestURI())) {
                action = true;
            }
        }
        if (action) {
            try {
                validate(new ServletWebRequest(request));
            } catch (ValidateCodeException e) {
                authenticationFailureHandler.onAuthenticationFailure(request, response, e);
                return;
            }
        }
        filterChain.doFilter(request, response);

    }

    @Override
    public void afterPropertiesSet() throws ServletException {
        super.afterPropertiesSet();
        String[] configUrls = StringUtils
                .splitByWholeSeparatorPreserveAllTokens(securityProperties.getCode().getImage().getUrl(), ",");
        for (String configUrl : configUrls) {
            urls.add(configUrl);
        }
        urls.add("/authentication/form");
    }

    private void validate(ServletWebRequest request) throws ServletRequestBindingException {

        ImageCode codeInSession = (ImageCode) sessionStrategy.getAttribute(request, ValidateCodeController.SESSION_KEY);

        String codeInRequest = ServletRequestUtils.getStringParameter(request.getRequest(), "imageCode");

        if (StringUtils.isBlank(codeInRequest)) {
            throw new ValidateCodeException("验证码的值不能为空");
        }

        if (codeInSession == null) {
            throw new ValidateCodeException("验证码不存在");
        }

        if (codeInSession.isExpired()) {
            sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);
            throw new ValidateCodeException("验证码已过期");
        }

        if (!StringUtils.equals(codeInSession.getCode(), codeInRequest)) {
            throw new ValidateCodeException("验证码不匹配");
        }

        sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);

    }

    public AuthenticationFailureHandler getAuthenticationFailureHandler() {
        return authenticationFailureHandler;
    }

    public void setAuthenticationFailureHandler(AuthenticationFailureHandler authenticationFailureHandler) {
        this.authenticationFailureHandler = authenticationFailureHandler;
    }

    public SessionStrategy getSessionStrategy() {
        return sessionStrategy;
    }

    public void setSessionStrategy(SessionStrategy sessionStrategy) {
        this.sessionStrategy = sessionStrategy;
    }

    public Set<String> getUrls() {
        return urls;
    }

    public void setUrls(Set<String> urls) {
        this.urls = urls;
    }

    public SecurityProperties getSecurityProperties() {
        return securityProperties;
    }

    public void setSecurityProperties(SecurityProperties securityProperties) {
        this.securityProperties = securityProperties;
    }

}

这个过滤器继承了OncePerRequestFilter,这个Filter里面有这些成员变量:

authenticationFailureHandler
主要用于图形验证码校验失败后的处理逻辑
sessionStrategy
验证码验证完毕后,我们必须将它从session中remove掉
Set urls
定义哪些访问的url必须走验证码逻辑。我们这里设置了对/user和/authentication/form的请求必须带验证码。其余的请求不需要提供验证码。
Filter的验证逻辑有判断前台传递的验证码的值是否为空、Session中是否有验证码、验证码是否过期、验证码是否匹配。如果发生异常则会抛出ValidateCodeException

2.2ValidateCodeException

public class ValidateCodeException extends AuthenticationException {

    /**
     * 
     */
    private static final long serialVersionUID = -7285211528095468156L;

    public ValidateCodeException(String msg) {
        super(msg);
    }

}

这个异常继承了AuthenticationException,这样的话可以被失败处理器处理

2.3BrowserSecurityConfig

这个配置里面将验证码的Filter设置在了用户名密码FIlter的前面,另外也排除了/code/image路径的拦截

2.4signIn.html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>
<body>
    <h2>标准登录页面</h2>
    <h3>表单登录</h3>
    <form action="/authentication/form" method="post">
        <table>
            <tr>
                <td>用户名:</td>
                <td><input type="text" name="username"></td>
            </tr>
            <tr>
                <td>密码:</td>
                <td><input type="password" name="password"></td>
            </tr>
            <tr>
                <td>图形验证码:</td>
                <td><input type="text" name="imageCode"> <img
                    src="/code/image?width=200"></td>
            </tr>
            <tr>
                <td colspan="2"><button type="submit">登录</button></td>
            </tr>
        </table>
    </form>
</body>
</html>

2.5验证访问

输入完验证码后,成功实现了跳转

大熊claims
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security 图片验证码功能的实例代码
08-27
spring security是一系列的过滤器链,所以在这里验证码也声明为过滤器,加在过滤器链的 登录过滤器之前,然后自定义一个异常类,来响应验证码的错误信息.这篇文章主要介绍了Spring Security 图片验证码,需要的朋友可以参考下
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全性框架,...Spring Security验证码登录功能是Spring Security框架中的一个重要组件,提供了一个安全、可靠的身份验证和访问控制解决方案。
Spring全家桶-Spring Security之图片验证
HQ DevJ的专栏
05-23 371
Spring全家桶-Spring Security之图片验证码 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之图片验证码为什么需要验证码?一
springsecurity实现图片验证码功能
qq_43750656的博客
02-03 261
文章挺长,希望同学们耐心看,有觉得写的不对的地方,请评论,会加以改正。 图片验证码是我们在做登录的时候需求很多的一个功能,其可以帮我们防止恶意登录,保护账户安全。 第一步:maven引入相关依赖 <!-- https://mvnrepository.com/artifact/com.github.penggle/kaptcha --> <dependency> &lt...
SpringSecurity图形验证码认证
qq_29860591的博客
05-08 336
图形验证码认证 1.添加过滤器认证 1.1 生成一张图形验证码 Kaptcha 是谷歌提供的一个生成图形验证码的 jar 包, 只要简单配置属性就可以生成。 参考 :https://github.com/penggle/kaptcha 添加Kaptcha依赖 <!--短信验证码--> <dependency> <groupId>com...
Spring Security 实现图形验证码(一)
快乐的小三菊的博客
04-02 1163
验证用户名和密码之前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行之有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。 一、使用过滤器实现图形验证验证码(CAPTCHA)的全称是 Completely Automated Public Turing test to tell Computers and Humans Apart,翻译过来就是 “全自动区分计算机和人类的图灵测试”。通俗地讲,验证码就是为了防止恶意用户暴力重试而设...
SpringBoot结合SpringSecurity实现图形验证码功能
08-27
"Spring Boot 结合 Spring Security 实现图形验证码功能" 本文主要介绍了如何使用 Spring Boot 结合 Spring Security 实现图形验证码功能。图形验证码是一种常用的防止机器人攻击的方法,它可以防止机器人对网站的...
Spring Security登录添加验证码的实现过程
08-25
Spring Security 登录添加验证码的实现过程 在本文中,我们将学习如何在 Spring Security 框架中添加验证码功能。验证码是登录系统中常见的需求,网上也有非常成熟的解决方案。为了在 Spring Security 框架中实现这...
springsecurity验证码登录.rar
12-09
这个压缩包“springsecurity验证码登录.rar”显然是为了演示如何在SpringSecurity中集成验证码功能,以增强用户登录的安全性。验证码是防止恶意自动登录尝试(如机器人或脚本)的有效手段,它要求用户在登录时输入...
Spring Security 图形验证
qq_42126105的博客
08-30 351
Spring security自定义过滤器校验图形验证
SpringSecurity实现图形验证码功能实例代码
08-26
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。这篇文章主要介绍了SpringSecurity实现图形验证码功能,需要的朋友可以参考下
9-SpringSecurity:登录时的图片验证
Heartsuit的博客
01-02 440
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 实际项目中,为防止一般的恶意攻击,在认证时除了用户名、密码之外,我们还会要求用户输入验证码,今天我们就在 SpringSecurity 用户名-密码认证前,强行进行图形验证码的核验。 Note:当前数字、文本、图片验证码均已不安全,人机交互、短信验证码相对安全。 新建一个 SpringBoot 项目,起名 springboot-security-captcha ,核心依赖为 Web
[Spring Security] 图片验证码的实现与校验
ShotMoon的博客
05-23 2640
图片验证码是当今使用最广泛的用户验证方式之一,在之前实现了简单的表单登录的基础上,今天用spring security来实现一下图片验证码的实现过程。1.demo结构2.实现过程首先创建ImageCode实体类,定义图片验证码各参数。ImageCode.javapackage com.security.validate.code; import lombok.Data; import java...
java spring boot生成图片验证
weixin_43285931的博客
09-18 330
@ApiOperation("生成验证码") @GetMapping("/getVerifyCode") public void getVerificationCode(@RequestParam String id, HttpServletResponse response) { try { int width=200; int height=69; BufferedImage verifyIm
spring security 图片验证
weixin_43931625的博客
05-31 250
springsecurity图片验证
Spring Security自定义认证逻辑实现图片验证码登录
BASK2312的博客
12-15 826
相信大家在网上冲浪都遇到过登录时输入图片验证码的情况,既然我们已经学习了 Spring Security,也上手实现过几个案例,那不妨来研究一下如何实现这一功能。首先需要明确的是,登录时输入图片验证码,属于认证功能的一部分,所以本文不涉及授权功能。我们复用之前的项目 springboot-security-inmemory,通过 postman 进行测试,不需要额外构建 html 页面。
04 SpringSecurity实现图形验证
01-17 2525
验证用户名和密码前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行有效的一种辅助验证方式。 一、使用过滤器实现 1.SpringSecurity的过滤器 之前的配置: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //以下资源允许访问 .antM
spring-security-oauth2(四) 图片验证
codeing-tiger
12-11 5670
图片验证图片验证码生成接口 认证流程加入图片验证码校验 图片验证码重构 1.图片验证码生成接口 调用com.google.code.kaptcha.Producer生成图片验证码 将随机数存到session缓存中 将生成的图片写到响应流中 图片验证码封装类  ImageCaptchaVo package com.rui.tiger.auth.core.captcha; imp...
Spring security的图片验证码方案一
Dave's Blog
09-05 2998
在项目中使用spring security做用户登录的身份认证,配置完spring security,点击登录按钮spring直接帮我们验证用户身份。于是当我想给登录页面添加图片验证码时,spring security的“自作主张”让我遇到了麻烦。 本想在处理表单请求的controller中获取并验证用户输入的验证码,验证通过了再交给spring security验证用户身份。但是配置了spri
spring security 手机验证码登录
最新发布
08-20
对于Spring Security的手机验证码登录,你可以按照以下步骤进行设置: 1. 首先,你需要添加Spring Security的依赖到你的项目中。在pom.xml文件中,添加以下依赖项: ```xml <groupId>org.springframework.boot ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值