Spring Security——添加验证码

最新推荐文章于 2024-07-21 20:57:36 发布
最新推荐文章于 2024-07-21 20:57:36 发布
阅读量801 收藏 6
点赞数 14
分类专栏: 开发框架 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72052233/article/details/139566892
版权

目录

项目总结

新建一个SpringBoot项目

VerifyCode(生成验证码的工具类)

WebSecurityController控制器

VerifyCodeFilter(自定义过滤器)

WebSecurityConfig配置类

login.html登录页面

项目测试

  • 本项目是以上一篇文章的项目为基础,添加了验证码部分的,故此文只贴出添加验证码的核心代码部分,两个项目相同部分代码则省略,详请查阅另一篇文章:http://t.csdnimg.cn/v0vnY
  • 项目的功能要逐个添加,慢慢调试代码,先保证项目能成功使用用户名和密码登录,再添加验证码模块,否则一团上,报错后,不容易找到问题所在
  • 如果实在找不到错误,不妨推翻重来一遍
  • 在Spring Boot项目中添加验证码是一种常见的安全措施,尤其是在登录过程或其他需要身份验证的操作时

项目总结

  • 用户请求页面:用户访问登录页面login.html。
  • 生成验证码:服务器生成验证码并将其展示在登录页面上,同时将验证码存储在用户会话中以便后续验证。
  • 用户提交表单:用户输入用户名、密码以及验证码,并提交登录表单。
  • 验证验证码:服务器接收登录请求,首先验证用户输入的验证码是否正确。
  • 验证用户名和密码:如果验证码正确,则继续验证用户名和密码;如果验证码错误,则返回错误信息并阻止登录过程。
  • 完成认证:如果用户名和密码也正确,则用户登录成功,进入系统;否则,返回错误提示。

新建一个SpringBoot项目

项目结构:

VerifyCode(生成验证码的工具类)

package com.study.security_verifyCode.utils;

import javax.imageio.ImageIO;
import java.awt.*;
import java.awt.image.BufferedImage;
import java.io.IOException;
import java.io.OutputStream;
import java.util.Random;

/**
 * 生成验证码的工具类
 */
public class VerifyCode {
    private int width = 100;// 生成验证码图片的宽度
    private int height = 50;// 生成验证码图片的高度
    private String[] fontNames = { "宋体", "楷体", "隶书", "微软雅黑" };
    private Color bgColor = new Color(255, 255, 255);// 定义验证码图片的背景颜色为白色
    private Random random = new Random();
    private String codes = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
    private String text;// 记录随机字符串

    /**
     * 获取一个随意颜色
     *
     * @return
     */
    private Color randomColor() {
        int red = random.nextInt(150);
        int green = random.nextInt(150);
        int blue = random.nextInt(150);
        return new Color(red, green, blue);
    }

    /**
     * 获取一个随机字体
     *
     * @return
     */
    private Font randomFont() {
        String name = fontNames[random.nextInt(fontNames.length)];
        int style = random.nextInt(4);
        int size = random.nextInt(5) + 24;
        return new Font(name, style, size);
    }

    /**
     * 获取一个随机字符
     *
     * @return
     */
    private char randomChar() {
        return codes.charAt(random.nextInt(codes.length()));
    }

    /**
     * 创建一个空白的BufferedImage对象
     *
     * @return
     */
    private BufferedImage createImage() {
        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
        Graphics2D g2 = (Graphics2D) image.getGraphics();
        g2.setColor(bgColor);// 设置验证码图片的背景颜色
        g2.fillRect(0, 0, width, height);
        return image;
    }

    public BufferedImage getImage() {
        BufferedImage image = createImage();
        Graphics2D g2 = (Graphics2D) image.getGraphics();
        StringBuffer sb = new StringBuffer();
        for (int i = 0; i < 4; i++) {
            String s = randomChar() + "";
            sb.append(s);
            g2.setColor(randomColor());
            g2.setFont(randomFont());
            float x = i * width * 1.0f / 4;
            g2.drawString(s, x, height - 15);
        }
        this.text = sb.toString();
        drawLine(image);
        return image;
    }

    /**
     * 绘制干扰线
     *
     * @param image
     */
    private void drawLine(BufferedImage image) {
        Graphics2D g2 = (Graphics2D) image.getGraphics();
        int num = 5;
        for (int i = 0; i < num; i++) {
            int x1 = random.nextInt(width);
            int y1 = random.nextInt(height);
            int x2 = random.nextInt(width);
            int y2 = random.nextInt(height);
            g2.setColor(randomColor());
            g2.setStroke(new BasicStroke(1.5f));
            g2.drawLine(x1, y1, x2, y2);
        }
    }

    public String getText() {
        return text;
    }

    /**
     * 绘制验证码图片
     */
    public static void output(BufferedImage image, OutputStream out) throws IOException {
        ImageIO.write(image, "JPEG", out);
    }
}

WebSecurityController控制器

package com.study.security_verifyCode.controller;

import com.study.security_verifyCode.utils.VerifyCode;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.Mapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.awt.image.BufferedImage;
import java.io.IOException;

/**
 * 1.将configure(HttpSecurity http)方法中设置的不同的URL映射到不同的页面
 * 2.方法返回的是视图名称,需要视图解析器将视图名称解析成实际的HTML文件
 * 然后访问url就可以跳转到HTML页面了,否则返回的只是一个字符串
 * 3.在application.properties配置文件中配置视图解析器,springboot已经默认配置好了,你不用写了
 */
@Controller
public class WebSecurityController {

    /**
     * 登录后跳转到home.html页面
     */
    @GetMapping("/home")
    public String home(){
        return "home";
    }

    /**
     * 登录页面
     */
    @GetMapping("/login")
    public String login(){
        return "login";//login.html
    }

    /**
     * 当访问/resource时,会重定向到/login,登录后才可以访问受保护的页面resource.html
     */
    @GetMapping("/resource")
    public String resource(){
        return "resource";//resource.html
    }

    @GetMapping("/verifyCode")
    public void code(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        // 创建验证码工具类实例
        VerifyCode vc = new VerifyCode();
        // 生成验证码图片
        BufferedImage image = vc.getImage();
        // 获取验证码文本
        String text = vc.getText();
        // 获取当前HTTP会话对象
        HttpSession session = req.getSession();
        // 将验证码文本存储到会话中,用于后续验证
        session.setAttribute("verify_code",text);
        // 将验证码图片写入HTTP响应流,返回给客户端
        VerifyCode.output(image,resp.getOutputStream());
    }
}

VerifyCodeFilter(自定义过滤器)

package com.study.security_verifyCode.filter;

import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * VerifyCodeFilter 是一个自定义过滤器,用于在用户登录时验证验证码的正确性。
 */
@Component
public class VerifyCodeFilter extends GenericFilterBean {

    // 默认处理登录请求的URL
    private String defaultFilterProcessUrl = "/login";

    /**
     * 过滤器的核心方法,用于拦截和处理请求。
     */
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        // 将ServletRequest和ServletResponse转换为HttpServletRequest和HttpServletResponse
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        // 检查请求是否是POST方法,并且请求路径是否匹配登录路径
        if ("POST".equalsIgnoreCase(request.getMethod()) && defaultFilterProcessUrl.equals(request.getServletPath())) {
            // 获取请求中的验证码和会话中生成的验证码
            String requestCaptcha = request.getParameter("code");
            String genCaptcha = (String) request.getSession().getAttribute("verify_code");

            // 验证验证码是否为空
            if (StringUtils.isEmpty(requestCaptcha)) {
                throw new AuthenticationServiceException("验证码不能为空!");
            }

            // 验证验证码是否匹配(忽略大小写)
            if (!genCaptcha.toLowerCase().equals(requestCaptcha.toLowerCase())) {
                throw new AuthenticationServiceException("验证码错误!");
            }
        }

        // 如果验证码正确,则使请求继续往下走
        chain.doFilter(request, response);
    }
}

WebSecurityConfig配置类

package com.study.security_verifyCode.config;

import com.study.security_verifyCode.config.handler.MyAuthenticationFailureHandler;
import com.study.security_verifyCode.config.handler.MyAuthenticationSuccessHandler;
import com.study.security_verifyCode.filter.VerifyCodeFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@EnableWebSecurity//声明这是一个Spring Security安全配置类,无需再另加注解@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationSuccessHandler authenticationSuccessHandler;
    @Autowired
    private MyAuthenticationFailureHandler authenticationFailureHandler;
    @Autowired
    private VerifyCodeFilter verifyCodeFilter;

    //配置当前项目的登录和拦截信息
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //确保在用户尝试进行用户名和密码验证之前,先进行验证码的验证,如果验证码不对,就不需要再验证用户名和密码了
        http.addFilterBefore(verifyCodeFilter, UsernamePasswordAuthenticationFilter.class);
        http.authorizeRequests()
                //允许所有用户访问
                .antMatchers("/home","/login","/verifyCode").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")//指定登录页面
                .loginProcessingUrl("/login")
                .successHandler(authenticationSuccessHandler)//验证成功的处理器
                .failureHandler(authenticationFailureHandler)//验证失败的处理器
                //身份验证成功后默认重定向的页面
                .defaultSuccessUrl("/home",true).permitAll()
                .and()
                .logout().permitAll()
                .and()
                .csrf().disable();
    }

    /**
     * 密码编码器
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

login.html登录页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
    <script>
        //点击图片就能更新验证码
        function updateVerifyCode() {
            // 获取当前时间戳,防止浏览器缓存
            const timestamp = new Date().getTime();

            // 获取验证码图片元素
            const vcImage = document.getElementById('vcImage');

            // 更新图片的 src 属性,添加时间戳参数
            vcImage.src = `/verifyCode?time=${timestamp}`;
        }
    </script>
</head>
<body>

<div>
    <!-- 当Spring Security验证失败时,会在URL上附加error查询参数,形式为:http://localhost:8080/login?error -->
    <div class="error" th:if="${param.error}">用户名或密码错误</div>
    <form th:action="@{/login}" method="post">
        <div class="form-group">
            <label for="username">用户名:</label>
            <input
                    id="username"
                    name="username"
                    placeholder="请输入用户名"
                    type="text"
                    required
            />
        </div>

        <div class="form-group">
            <label for="password">密码:</label>
            <input
                    id="password"
                    name="password"
                    placeholder="请输入密码"
                    type="password"
                    required
            />
        </div>

        <div class="form-group">
            <label for="code">验证码:</label>
            <input
                    id="code"
                    name="code"
                    type="text"
                    placeholder="点击图片更换验证码"
                    required
            />
            <img
                    id="vcImage"
                    src="/verifyCode?time="
                    alt="验证码"
                    onclick="updateVerifyCode()"
            >
        </div>

        <div class="submit">
            <input type="submit" value="登录"/>
        </div>
    </form>
</div>
</body>
</html>

项目测试

  • 访问网址:http://localhost:8080/login
  • 正确登录:
  • 验证码错误,控制台会打印出错误信息
戏拈秃笔
关注
  • 14
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot+security+mybatis-plus实现自定义认证用户数据源的接口开发
05-12
通过在`pom.xml`或`build.gradle`中引入相关依赖,我们可以轻松地在项目中引入Spring Boot的安全模块——Spring SecuritySpring SecuritySpring生态中的安全框架,它提供了全面的身份验证和授权机制。在这个...
security图片验证重构源码终极版
11-02
本资源聚焦于`Spring Security`的一个特定应用场景——图片验证的重构源码,这通常指的是验证码功能。验证码是防止自动化机器人或恶意攻击者进行非法操作的一种有效手段。 验证码的重构可能涉及到以下几点: 1. **...
SpringSecurity(03)——图形验证码和短信验证码
peng_gx的博客
01-14 822
SpringSecurity图形验证码和短信验证码
spring security——短信验证码登录(四)
随笔记
09-12 1976
一、导读 短信登录和用户名密码登录的逻辑是不同的,Spring Security 框架中实现的是用户名密码的登录方式。现在我们就模仿它的原理来加入短信登录的认证(注意不是验证),实现右边的。 之前写的图形验证码是在 UsernamePasswordAuthenticationFilter前增加了我们自己的图形验证过滤器,验证成功之后再交给用户名和密码进行认证,调用userD...
spring security——集成验证码(三 )
随笔记
08-23 2703
一、图片验证码 我们知道在登录界面往往要添加图形验证码来进行人机验证,这里我们就来在之前的认证流程中加入图形验证码校验功能。 1、开发生成图型验证码接口 流程其实很简单,首先根据随机数生成图片,然后将随机数存到session中,最后将生成的图片写入响应中,没了。这里生成图片什么的就不说了。网上一大堆,记录下这里的一些代码思路。首先是图片验证码信息类 /**...
SpringSecurity——基本原理
小志的博客
09-22 2954
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
ops-ucenter:基于SpringBoot+SpringSecurity实现的安全认证解决方案,提供登录、注册、密码找回、图形验证码、短信验证码、退出以及第三方登录如QQ、微信、支付宝等相关接口实现,可轻松接入你的微服务架构中
04-29
是一套基于spring boot+spring security实现的微服务安全认证解决方案。 本项目将集成以下解决方案: 基础服务 用户登录认证(可自定义页面) 用户注册认证(可自定义页面) 用户密码找回(可自定义页面) 图形...
一个简单的Spring验证登录示例
03-21
这里我们将深入探讨Spring的安全组件——Spring Security,以及它如何帮助开发者构建安全的Web应用程序。 首先,Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,它提供了全面的安全解决方案,...
Java WEB——人事管理系统
10-11
此外,为了实现用户认证和授权,可以利用Spring Security框架,它提供了强大的访问控制功能,可以根据角色、URL或特定条件来限制用户的访问权限。对于登录注册,通常会有Session管理和验证码机制,防止非法用户入侵...
使用AOP优化Spring Boot Controller参数:自动填充常用字段的技巧
最新发布
todoitbo的博客
07-21 491
本篇博客将深入介绍如何利用AOP技术,在Spring Boot应用中实现对Controller保存方法参数的重写。我们将重点讨论如何利用AOP切面,自动填充常用字段(如创建时间、修改时间、创建人、修改人),以提高代码的重用性和可维护性。
Spring Boot配置文件的语法规则
2301_77053417的博客
07-21 638
名字是很固定的,必须是:application.properties或者application.yml,这两个都是配置文件的格式,一般我们使用其中一个即可(一般yml使用的较多)。(3)当项目中properties和yml都存在,并且里面的内容冲突时,会以properties中的为配置项,也就是其优先级更高。一般双引号里面的东西不会被被转义,单引号里面的会被转义,也就是\n在单引号下就只是一个串,在双引号下是换行。=左边的就是key,=右边的是value,在获取配置文件时,需要填入完整的key。
Spring Boot中的404错误:原因、影响及处理策略
德乐懿的博客
07-18 458
设置自定义的404页面,向用户提供友好的提示信息,同时提供相关链接以帮助用户找到需要的内容。这不仅可以提升用户体验,还可以增强搜索引擎对网站的友好性。
Spring Boot集成ShardingSphere详解
德乐懿的博客
07-17 853
Apache ShardingSphere是一套开源的分布式数据库中间件解决方案,由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(规划中)三款相互独立但可混合部署的产品组成。ShardingSphere旨在充分利用关系型数据库的计算和存储能力,在分布式场景下提供标准化的数据分片、分布式事务和数据库治理功能。:作为JDBC驱动的增强版,在客户端完成数据库分库分表相关的路由和操作,以jar包形式提供服务,无需额外部署和依赖。
Spring boot 整合spring ai
lxp199741的博客
07-19 263
springboot选中pom文件配置文件示例代码及其访问方式 ps:响应会有一定延迟 或异常第一次已挂 一般免费api有每月免费额度。
Spring Boot集成syslog快速入门Demo
HBLOG
07-18 772
Syslog-ng是由Balabit IT Security Ltd.维护的一套开源的Unix和类Unix系统的日志服务套件。它是一个灵活的、可伸缩的系统日志记录程序。对于服务器日志集中收集,使用它是一个不错的解决方案。syslog-ng (syslog-Next generation) 是syslog的升级版。实现将springboot应用日志发送到syslog-ng。以上只是一些关键代码,所有代码请参见下面代码仓库。
Spring Boot中的 6 种API请求参数读取方式
恒安软件
07-13 561
使用Spring Boot开发API的时候,读取请求参数是服务端编码中最基本的一项操作,Spring Boot中也提供了多种机制来满足不同的API设计要求。接下来,就通过本文,为大家总结6种常用的请求参数读取方式。如果你发现自己知道的不到6种,那么赶紧来查漏补缺一下。如果你知道的不止6种,那么告诉大家,一起互相学习一下吧~
ChatGPT:Spring Boot 怎么配置上下文路径?
XRT_knives的博客
07-21 205
ChatGPT:Spring Boot 怎么配置上下文路径?
springsecurity 用户登陆验证码
12-31
以下是使用Spring Security实现用户登录验证码的两种方式: 方式一(自定义AuthenticationProvider): 1. 在pom.xml文件中添加依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建验证码表的建表语句。 3. 在application.properties文件中配置数据库连接信息。 4. 创建User实体类和对应的mapper及其xml文件。 5. 创建UserService类,实现用户相关的逻辑。 6. 创建controller类,处理用户登录请求。 7. 配置验证码相关的配置,例如验证码的长度、宽度等。 8. 自定义AuthenticationProvider类,对验证码进行校验。 9. 在security配置类中配置AuthenticationProvider。 10. 进行测试。 方式二(自定义WebAuthenticationDetails): 1. 自定义WebAuthenticationDetails类,继承自WebAuthenticationDetails。 2. 自定义AuthenticationDetailsSource类,实现buildDetails方法,将自定义的WebAuthenticationDetails对象传递给AuthenticationProvider。 3. 自定义AuthenticationProvider类,对验证码进行校验。 4. 在security配置类中配置AuthenticationProvider。 5. 除了上面的几个类外,其他类同方式一。 6. 进行测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戏拈秃笔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值