[Spring Security] 图片验证码的实现与校验

最新推荐文章于 2024-04-24 12:39:51 发布
最新推荐文章于 2024-04-24 12:39:51 发布
阅读量2.7k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Spring 文章标签: Spring Security Security Java 后端 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ShotMoon/article/details/80424874
本文介绍如何使用Spring Security实现图片验证码的生成与验证过程,包括定义ImageCode实体类、生成验证码图片、设置验证码过期时间及实现自定义过滤器进行验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

图片验证码是当今使用最广泛的用户验证方式之一,在之前实现了简单的表单登录的基础上,今天用spring security来实现一下图片验证码的实现过程。

1.demo结构

2.实现过程

首先创建ImageCode实体类,定义图片验证码各参数。

ImageCode.java

package com.security.validate.code;

import lombok.Data;

import java.awt.image.BufferedImage;
import java.time.LocalDateTime;

/**
 * @author ShotMoon
 */
@Data
public class ImageCode {
    //验证码图片
    private BufferedImage image;
    //验证码随机数字
    private String code;
    //验证码失效时间
    private LocalDateTime expireTime;
    //验证码过期与否
    public boolean isExpired(){
        return LocalDateTime.now().isAfter(expireTime);
    }

    public ImageCode(BufferedImage image, String code, int expireIn) {
        this.image = image;
        this.code = code;
        this.expireTime = LocalDateTime.now().plusSeconds(expireIn);
    }

    public ImageCode(BufferedImage image, String code, LocalDateTime expireTime) {
        this.image = image;
        this.code = code;
        this.expireTime = expireTime;
    }
}

登录页面添加图片验证码显示

default-loginPage.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>security login</title>
</head>
<body>
    <h3>登录</h3>
    <form action="/authentication/form" method="post">
        <table>
            <tr>
                <td>用户名:</td>
                <td><input type="text" name="username"></td>
            </tr>
            <tr>
                <td>密码:</td>
                <td><input type="password" name="password"></td>
            </tr>
            <tr>
                <td>图形验证码:</td>
                <td>
                    <input type="text" name="imageCode">
                    <img src="/code/image">
                </td>
            </tr>
            <tr>
                <td colspan="2"><button type="submit">登录</button></td>
            </tr>
        </table>
    </form>
</body>
</html>

登录时页面会向"/code/image"发送一个GET请求来获取图片验证码,我们来写一下图片验证码的生成逻辑。

ValidateController.java:

package com.security.validate.code;

import com.security.properties.SecurityProperties;
import org.apache.catalina.servlet4preview.http.HttpServletRequest;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.social.connect.web.HttpSessionSessionStrategy;
import org.springframework.social.connect.web.SessionStrategy;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.request.ServletWebRequest;

import javax.imageio.ImageIO;
import javax.servlet.http.HttpServletResponse;
import java.awt.*;
import java.awt.image.BufferedImage;
import java.io.IOException;
import java.util.Random;

/**
 * @author ShotMoon
 */
@RestController
public class ValidateController {

    public static final String SESSION_KEY = "SESSION_KEY_IMAGE_CODE";//图片验证码存入session时,作为Key

    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    @Autowired
    private SecurityProperties securityProperties;

    @GetMapping("/code/image")
    public void createCode(HttpServletRequest request, HttpServletResponse response) throws IOException {

        ImageCode imageCode = createImageCode(request);

        sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY, imageCode);//将验证码存入session,留验证之用
        ImageIO.write(imageCode.getImage(), "JPEG", response.getOutputStream());//将验证码图片以jpeg格式写入输出流,以在页面显示
    }

    private ImageCode createImageCode(HttpServletRequest request) {
        int width = 65; //验证码图片长度
        int height = 25;//宽

        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

        Graphics g = image.getGraphics();

        Random random = new Random();

        g.setColor(getRandColor(200, 250));
        g.fillRect(0, 0, width, height);
        g.setFont(new Font("Times New Roman", Font.ITALIC, 20));
        g.setColor(getRandColor(160, 200));
        for (int i = 0; i < 155; i++) {
            int x = random.nextInt(width);
            int y = random.nextInt(height);
            int xl = random.nextInt(12);
            int yl = random.nextInt(12);
            g.drawLine(x, y, x + xl, y + yl);
        }

        String sRand = "";
        for (int i = 0; i < securityProperties.getImageCodeProperties().getLength(); i++) {
            String rand = String.valueOf(random.nextInt(10));
            sRand += rand;
            g.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));
            g.drawString(rand, 13 * i + 6, 16);
        }

        g.dispose();

        return new ImageCode(image, sRand, securityProperties.getImageCodeProperties().getExpireIn());
    }

    /**
     * 生成随机背景条纹
     *
     */
    private Color getRandColor(int fc, int bc) {
        Random random = new Random();
        if (fc > 255) {
            fc = 255;
        }
        if (bc > 255) {
            bc = 255;
        }
        int r = fc + random.nextInt(bc - fc);
        int g = fc + random.nextInt(bc - fc);
        int b = fc + random.nextInt(bc - fc);
        return new Color(r, g, b);
    }
}

经上述步骤,我们的验证码已经可以在页面显示了,效果如下图,

接下来是校验的逻辑,还记得我们之前说过,spring security的本质是一系列的过滤器组成的过滤器链吗,我们只需要自定义一个过滤器并将其插入到spring security的过滤器链上,就可以执行我们自定义的认证逻辑了。


ValidateCodeFilter.java:

package com.security.validate.code;

import lombok.Data;
import org.apache.commons.lang.StringUtils;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.social.connect.web.HttpSessionSessionStrategy;
import org.springframework.social.connect.web.SessionStrategy;
import org.springframework.web.bind.ServletRequestBindingException;
import org.springframework.web.bind.ServletRequestUtils;
import org.springframework.web.context.request.ServletWebRequest;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author ShotMoon
 */
@Data
public class ValidateCodeFilter extends OncePerRequestFilter {  //保证过滤器每次请求只会被调用一次

    private AuthenticationFailureHandler authenticationFailureHandler;

    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //当请求路径为/authentication/form,且请求为POST请求时,才执行验证。(对应登录页面发送的请求)
        if (StringUtils.equals("/authentication/form", request.getRequestURI())
                && StringUtils.equals(request.getMethod(), "POST")) {

            try {
                validate(new ServletWebRequest((request)));
            } catch (ValidateCodeException e) {
                authenticationFailureHandler.onAuthenticationFailure(request, response, e);
            }
        }

        filterChain.doFilter(request, response);
    }

    private void validate(ServletWebRequest request) throws ServletRequestBindingException, ValidateCodeException {
        //从请求中取出之前存入session的验证码
        ImageCode codeInSession = (ImageCode) sessionStrategy.getAttribute(request,
                ValidateController.SESSION_KEY);
        //获取form表单中用户输入的验证码
        String codeInRequest = ServletRequestUtils.getStringParameter(request.getRequest(), "imageCode");  //对应form表单中图片name

        if (StringUtils.isBlank(codeInRequest)) {
            throw new ValidateCodeException("验证码不能为空");
        }
        if (codeInSession == null) {
            throw new ValidateCodeException("验证码不存在");
        }
        if (codeInSession.isExpired()) {
            sessionStrategy.removeAttribute(request, ValidateController.SESSION_KEY);
            throw new ValidateCodeException("验证码已过期");
        }
        if (!StringUtils.equals(codeInSession.getCode(), codeInRequest)) {
            throw new ValidateCodeException("验证码不匹配");
        }

        sessionStrategy.removeAttribute(request, ValidateController.SESSION_KEY);
    }
}

ValidateCodeException.java:

package com.security.validate.code;


import org.springframework.security.core.AuthenticationException;

/**
 * @author ShotMoon
 */
public class ValidateCodeException extends AuthenticationException {

    public ValidateCodeException(String msg) {
        super(msg);
    }
}

然后,我们将定义好的过滤器插入到UsernamePasswordAuthenticationFilter前面,来验证图片验证码

SecurityConfig.java:

package com.security.config;

import com.security.authentication.MyAuthenticationFailureHandler;
import com.security.authentication.MyAuthenticationSuccessHandler;
import com.security.validate.code.ValidateCodeFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * @author ShotMoon
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Autowired
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Autowired
    private MyAuthenticationFailureHandler myAuthenticationFailureHandler;

    /**
     * @description :
     * @param : [http]
     * @return : void
     * @date : 2018/5/13 13:41
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
        validateCodeFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);

        http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class) //插入目标过滤器之前
                .formLogin()
                .loginPage("/authentication/require")
                .loginProcessingUrl("/authentication/form")
                .successHandler(myAuthenticationSuccessHandler)
                .failureHandler(myAuthenticationFailureHandler)
                .and()
                .authorizeRequests()
                .antMatchers(    //不需验证的请求路径,防止出现redirect too many times死循环
                        "/default-loginPage.html",
                        "/customized-loginPage.html",
                        "/authentication/require",
                        "/code/image"

                ).permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .csrf().disable();
    }
}

为了增强程序的可定义性,我们同样增加了配置验证码相关选项的功能:

ImageCodeProperties.java:

package com.security.properties;

import lombok.Data;

/**
 * @author ShotMoon
 */
@Data
public class ImageCodeProperties {
    //若application.properties配置了相关参数,则默认数值被覆盖不生效
    private int width = 65;

    private int height = 25;

    private int length = 4;

    private int expireIn = 60;
}

application.properties:

spring.datasource.driver-class-name = com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/security?useUnicode=yes&characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=qwe123

security.basic.enabled=false

spring.session.store-type=none

#shotmoon.security.LoginProperties.loginPage = /customized-loginPage.html

//配置验证码过期时间为120秒
shotmoon.security.ImageCodeProperties.expireIn  = 120

好了,大功告成,经过以上代码,我们已经可以生成校验图片验证码了!(其他代码在上次的博文中,不重复列举了)


测试下


验证码正确:


验证码错误:(输出exception)



SpringSecurity实现验证码功能
weixin_41359273的博客
03-23 2660
SpringSecurity实现验证码功能1.pom.xml2.建表语句3. application.properties4.model5.mapper及其对应的xml文件6.UserService7.controller8.验证码配置9.自定义AuthenticationProvider,对验证码进行校验10.security配置11.测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://ma
Spring Security——添加验证码
最新发布
戏拈秃笔的博客
06-13 1344
通过自定义过滤器给项目添加上登录验证码
Spring Security 验证码
vengu733的博客
10-27 1572
原理、存在问题、解决思路我们知道Spring Security是通过过滤器链来完成了,所以它的解决方案是创建一个过滤器放到Security的过滤器链中,在自定义的过滤器中比较验证码
Spring Security 图形验证码
qq_42126105的博客
08-30 443
Spring security自定义过滤器校验图形验证码
SpringSecurity(03)——图形验证码和短信验证码
peng_gx的博客
01-14 1319
SpringSecurity图形验证码和短信验证码
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
基本实现验证码校验验证码校验短信验证码的功能实现,其实和图形验证码的原理是一样的。只不过一个是返回给前端一个图片,一个是给用户发送短消息,这里只需要去调用一下短信服务商的接口就好了。 Authentication...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
spring-gateway实现登录验证码校验的代码,百分百可用
06-23
在本项目中,我们将探讨如何在 Spring Gateway 中实现登录时的验证码校验功能,确保用户身份的安全性。 验证码是一种防止自动机器人或恶意软件进行非法操作的有效手段,它要求用户输入显示在图像中的随机字符序列。...
SpringBoot整合SpringSecurity实现用户登录(三)生成图片验证码结合Redis实现校验
qq_45607971的博客
04-24 970
结合谷歌验证码生成图片,同时配合redis实现验证码校验
SpringSecurity:整合验证码
拒绝熬夜啊的博客
11-30 1829
SpringSecurity:整合验证码 添加验证码 验证码 Servlet,这里大家不需要关心内部怎么实现的,我也是百度直接copy的 @Component public class VerifyServlet extends HttpServlet { private static final long serialVersionUID = -5051097528828603895L; /** * 验证码图片的宽度。 */ private int widt
SpringSecurity实现图形验证码功能实例代码
08-26
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。这篇文章主要介绍了SpringSecurity实现图形验证码功能,需要的朋友可以参考下
SpringBoot结合SpringSecurity实现图形验证码功能
08-27
主要介绍了SpringBoot + SpringSecurity 实现图形验证码功能,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security3.1 实现验证码自定义登录
03-29
NULL 博文链接:https://jw-long.iteye.com/blog/1291866
Spring Security实现验证码登录功能
08-25
主要介绍了Spring Security实现验证码登录功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security自定义验证码登录
大后生大大大的博客
11-19 2262
验证码登录
9-SpringSecurity:登录时的图片验证码
Heartsuit的博客
01-02 510
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 实际项目中,为防止一般的恶意攻击,在认证时除了用户名、密码之外,我们还会要求用户输入验证码,今天我们就在 SpringSecurity 用户名-密码认证前,强行进行图形验证码的核验。 Note:当前数字、文本、图片验证码均已不安全,人机交互、短信验证码相对安全。 新建一个 SpringBoot 项目,起名 springboot-security-captcha ,核心依赖为 Web
springsecurity实现图片验证码功能
qq_43750656的博客
02-03 330
文章挺长,希望同学们耐心看,有觉得写的不对的地方,请评论,会加以改正。 图片验证码是我们在做登录的时候需求很多的一个功能,其可以帮我们防止恶意登录,保护账户安全。 第一步:maven引入相关依赖 <!-- https://mvnrepository.com/artifact/com.github.penggle/kaptcha --> <dependency> &lt...
9-SpringSecurity:登录时的图片验证码,小白看完都会了
2401_83977554的博客
04-02 1135
分布式技术专题+面试解析+相关的手写和学习的笔记pdf还有更多Java笔记分享如下:程,基本涵盖了95%以上Java开发知识点,真正体系化!**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)[外链图片转存中…(img-B54g3xjL-1712066022808)]分布式技术专题+面试解析+相关的手写和学习的笔记pdf。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值