2. 程式人生 > >Shiro(3)實現驗證碼認證

Shiro(3)實現驗證碼認證

阿新 發佈:2019-01-09

驗證碼是有效防止暴力破解的一種手段,常用做法是在服務端產生一串隨機字串與當前使用者會話關聯(我們通常說的放入 Session),然後向終端使用者展現一張經過“擾亂”的圖片,只有當用戶輸入的內容與服務端產生的內容相同時才允許進行下一步操作

產生驗證碼

作為演示,我們選擇開源的驗證碼元件 kaptcha。這樣,我們只需要簡單配置一個 Servlet,頁面通過 IMG 標籤就可以展現圖形驗證碼。

	<servlet>
		<servlet-name>kaptcha</servlet-name>
		<servlet-class>
			com.google.code.kaptcha.servlet.KaptchaServlet
		</servlet-class>
	</servlet>
	<servlet-mapping>
		<servlet-name>kaptcha</servlet-name>
		<url-pattern>/images/kaptcha.jpg</url-pattern>
	</servlet-mapping>

擴充套件 UsernamePasswordTokenShiro 表單認證,頁面提交的使用者名稱密碼等資訊,用 UsernamePasswordToken 類來接收,很容易想到,要接收頁面驗證碼的輸入,我們需要擴充套件此類:

package javacommon.shiro;

import org.apache.shiro.authc.UsernamePasswordToken;

public class CaptchaUsernamePasswordToken extends UsernamePasswordToken {
	//驗證碼字串
	private String captcha;

	public CaptchaUsernamePasswordToken(String username, char[] password,
			boolean rememberMe, String host, String captcha) {
		super(username, password, rememberMe, host);
		this.captcha = captcha;
	}

	public String getCaptcha() {
		return captcha;
	}

	public void setCaptcha(String captcha) {
		this.captcha = captcha;
	}
	
}

擴充套件 FormAuthenticationFilter

接下來我們擴充套件 FormAuthenticationFilter 類

package javacommon.shiro;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class CaptchaFormAuthenticationFilter extends FormAuthenticationFilter {
	private static final Logger LOG = LoggerFactory.getLogger(CaptchaFormAuthenticationFilter.class);
	
	public CaptchaFormAuthenticationFilter() {
	}
	@Override
	/**
	 * 登入驗證
	 */
	protected boolean executeLogin(ServletRequest request,
			ServletResponse response) throws Exception {
		CaptchaUsernamePasswordToken token = createToken(request, response);
		try {
			/*圖形驗證碼驗證*/
			doCaptchaValidate((HttpServletRequest) request, token);
			Subject subject = getSubject(request, response);
			subject.login(token);//正常驗證
			LOG.info(token.getUsername()+"登入成功");
			return onLoginSuccess(token, subject, request, response);
		}catch (AuthenticationException e) {
			LOG.info(token.getUsername()+"登入失敗--"+e);
			return onLoginFailure(token, e, request, response);
		}
	}

	// 驗證碼校驗
	protected void doCaptchaValidate(HttpServletRequest request,
			CaptchaUsernamePasswordToken token) {
//session中的圖形碼字串
		String captcha = (String) request.getSession().getAttribute(
				com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY);
//比對
		if (captcha != null && !captcha.equalsIgnoreCase(token.getCaptcha())) {
			throw new IncorrectCaptchaException("驗證碼錯誤!");
		}
	}

	@Override
	protected CaptchaUsernamePasswordToken createToken(ServletRequest request,
			ServletResponse response) {
		String username = getUsername(request);
		String password = getPassword(request);
		String captcha = getCaptcha(request);
		boolean rememberMe = isRememberMe(request);
		String host = getHost(request);

		return new CaptchaUsernamePasswordToken(username,
				password.toCharArray(), rememberMe, host, captcha);
	}

	public static final String DEFAULT_CAPTCHA_PARAM = "captcha";

	private String captchaParam = DEFAULT_CAPTCHA_PARAM;

	public String getCaptchaParam() {
		return captchaParam;
	}

	public void setCaptchaParam(String captchaParam) {
		this.captchaParam = captchaParam;
	}

	protected String getCaptcha(ServletRequest request) {
		return WebUtils.getCleanParam(request, getCaptchaParam());
	}
	
//儲存異常物件到request
	@Override
	protected void setFailureAttribute(ServletRequest request,
			AuthenticationException ae) {
		request.setAttribute(getFailureKeyAttribute(), ae);
	}
}
前面驗證碼校驗不通過,我們丟擲一個異常 IncorrectCaptchaException,此類繼承 AuthenticationException,之所以需要擴充套件一個新的異常類,為的是在頁面能更精準顯示錯誤提示資訊。
 
package javacommon.shiro;

import org.apache.shiro.authc.AuthenticationException;

public class IncorrectCaptchaException extends AuthenticationException {

	public IncorrectCaptchaException() {
		super();
	}

	public IncorrectCaptchaException(String message, Throwable cause) {
		super(message, cause);
	}

	public IncorrectCaptchaException(String message) {
		super(message);
	}

	public IncorrectCaptchaException(Throwable cause) {
		super(cause);
	}
}

Filter的配置及使用 
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
		http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.2.xsd">

	<!-- Shiro Filter 攔截器相關配置 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- securityManager -->
		<property name="securityManager" ref="securityManager" />
		<!-- 登入路徑 -->
		<property name="loginUrl" value="/login.jsp" />
		<!-- 登入成功後跳轉路徑 -->
		<property name="successUrl" value="/pages/index.jsp" />
		<!-- 授權失敗跳轉路徑 -->
		<property name="unauthorizedUrl" value="/login.jsp" />
		<property name="filters">
			<util:map>
				<entry key="authc" value-ref="myAuthenFilter" />
			</util:map>
		</property>
		<!-- 過濾鏈定義 -->
		<property name="filterChainDefinitions">
			<value>
				/login.jsp = authc
				/pages/* = authc
				/index.jsp* = authc
				/logout.do = logout
				<!-- 訪問這些路徑必須擁有某種許可權 /role/edit/* = perms[role:edit] /role/save = perms[role:edit] 
					/role/list = perms[role:view] -->
			</value>
		</property>
	</bean>

	<!-- 自定義驗證攔截器 -->
	<bean id="myAuthenFilter" class="javacommon.shiro.CaptchaFormAuthenticationFilter" />

	<!-- securityManager -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="myRealm" />
	</bean>

	<!-- <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
		<property name="cacheManager" ref="cacheManager" /> </bean> -->

	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

	<!-- 自定義Realm實現 -->
	<bean id="myRealm" class="javacommon.shiro.CustomRealm">
		<!-- <property name="cacheManager" ref="shiroCacheManager" /> -->
	</bean>
</beans>

登入頁面:

<%@page import="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"%>
<%@page import="javacommon.shiro.IncorrectCaptchaException"%>
<%@page import="org.apache.shiro.authc.AuthenticationException"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path + "/";
%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<base href="<%=basePath%>">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
<style type="text/css">
.error {
	color: red;
}
</style>
<script type="text/javascript">
function refreshCaptcha(){
	document.getElementById("img_captcha").src="<%=basePath%>images/kaptcha.jpg?t=" + Math.random();
}
</script>
</head>
<body>

	<%
		Object obj = request
				.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
		String msg = "";
		if (obj != null) {
			if (obj instanceof IncorrectCaptchaException)
				msg = "驗證碼錯誤!";
			else 
				msg = "賬號或密碼錯誤!";
		}
		
		out.println("<div class='error'>" + msg + "</div>");
	%>

	<form action="login.jsp" method="post">
		<input type="hidden" name="rememberMe" value="true" /> <br />
		<table>

			<tr>
				<td>使用者帳號:</td>
				<td><input type="text" name="username" id="username" value="" /></td>
			</tr>
			<tr>
				<td>登入密碼:</td>
				<td><input type="password" name="password" id="password"
					value="" /></td>
			</tr>
			<tr>
				<td>驗證碼:</td>
				<td><input type="text" name="captcha" /></td>
			</tr>
			<tr>
				<td> </td>
				<td><img alt="驗證碼" src="images/kaptcha.jpg" title="點選更換"
					id="img_captcha" onclick="javascript:refreshCaptcha();">(看不清<a href="javascript:void(0)" onclick="javascript:refreshCaptcha()">換一張</a>)</td>
			</tr>
			<tr>
				<td colspan="2"><input value="登入" type="submit"></td>
			</tr>
		</table>

	</form>
</body>
</html>

相關推薦

Shiro(3)實現驗證認證

驗證碼是有效防止暴力破解的一種手段,常用做法是在服務端產生一串隨機字串與當前使用者會話關聯(我們通常說的放入 Session),然後向終端使用者展現一張經過“擾亂”的圖片,只有當用戶輸入的內容與服務端產生的內容相同時才允許進行下一步操作 產生驗證碼 作為演示,我們選擇開源的

基於Python的Selenium自動化(3)— 實現驗證擷取並識別

這些天實在忙的冒煙,一大堆的專案堆在一起,沒日沒夜的加班。加上有些懶惰,學習進度一直沒有太多進展。這篇文章主要介紹前段時間抽空實現的一個功能,希望有需要用到可以得到一點啟發。 基於UI層的自動化,有一些坑在裡面,幾乎幾個每個人都會遇到的,其中之一就是註冊或登入

5分鐘教你3實現驗證功能

<script type="text/javascript" src="js/jquery-3.3.1.min.js" ></script> <script> $(function(){ var show_num = []; dra

SSM+Shiro系統登入驗證實現

1、驗證碼生成類: import java.util.Random; import java.awt.image.BufferedImage; import java.awt.Graphics; import java.awt.Font; import java.awt.Color; /** * 驗證碼

Java Swing 圖形界面實現驗證驗證可動態刷新)

string ble urn repaint xtend efault event adapt 內容 import java.awt.Color;import java.awt.Font;import java.awt.Graphics;import java.awt.To

Python3.4 12306 2015年3驗證識別

like target bottom edr ocr extra spl apple creat import ssl import json from PIL import Image import requests import re import urllib.r

Java實現驗證(上)

ins check dom 後臺 類繼承 訪問 and text 出錯   眾所周知,現在登錄註冊各種網站賬號很多都要求輸入驗證碼。設置驗證碼,毫無疑問降低了用戶體驗,但為什麽各種網站還仍然使用驗證碼呢?   很明顯,驗證碼有其特殊的作用:驗證碼是一種區分用戶是計算機還是人

PHP實現驗證制作

php 驗證碼 captcha.php(PHP產生驗證碼並儲存Session):<?php //開啟Session session_start(); //繪制底圖 $image = imagecreatetruecolor(100, 30);//返回資源型的值 $bgcolor =

Thinkphp 3.2 驗證圖片顯示錯誤解決方法

try bsp () func class 問題 其他 解決方法 ont 在調用驗證碼之前加上 ob_clean(); 不顯示驗證碼的代碼: public function verify(){ $verify = new \Think\

Servlet案例3驗證功能

font des esp https src method imp err 用戶 這裏介紹簡單的驗證碼功能 動態生成圖片 一個簡單的頁面: <!DOCTYPE html> <html> <head> <meta charse

關於豆瓣登錄,並實現驗證輸入的方法

保持 學習 gen index token 如果 抓取 with open comment 最近想把模擬登錄的知識學習下,所以就進行了豆瓣賬號的簡單登錄,以下是代碼: # -*- coding:utf-8 -*- ‘‘‘豆瓣模擬登陸,並實現發一條狀態‘‘‘ impor

Python使用Timer實現驗證功能

input thread sel def AC check cache IT imp from threading import Timer import random class Code: def __init__(self): s

PHP實現驗證

channels echo img -type order pos 函數返回 個數 body (1)常見的驗證碼哪些? 圖像類型、語音類型、視頻類型、短信類型等 (2)使用驗證碼的好處在哪裏? ①防止惡意的破解密碼如一些黑客為了獲取到用戶信息,通過不同的手段向服務器

Spring中整合Cage,實現驗證功能

ger 類型 body match exce sub pom esp rec 1.pom.xml中添加Cage依賴。 <dependency> <groupId>com.github.cage</groupId

shop--6.店鋪註冊--使用kaptcha實現驗證

ssa p s request ava edi eth ring formdata input 1.引入jar包 https://mvnrepository.com/中搜索com.github.penggle 找到kaptcha,將其dependency拷貝到pom.xml

PHP JS CSS session實現驗證功能

驗證碼 ges ron oss art tex lse 個數 bcd PHP JS CSS session實現驗證碼功能 頁面<?php//校驗驗證碼if (isset($_POST["authcode"])) {session_start();

網頁登陸註冊(jsp實現)驗證

cte exp .com tran cti version height 一個 dog 這是一個登陸頁面,有登陸驗證和驗證碼的功能(1)生成驗證碼的servlet:import javax.imageio.ImageIO;import javax.servlet.Servl

基於SVM的python簡單實現驗證識別

save def lse highlight pro imp bubuko uac 如果 1. 爬取驗證碼圖片 from urllib import request def download_pics(pic_name): url = ‘http://wsbs

SpringMVC實現驗證功能

yui eat cat import inpu expires 否則 void pos 下面是一張項目結構圖,實現功能前需要先搭建好SpringMVC框架。 RandomValidateCode.java——是生成驗證碼的類 Constants.java——定義了一個常量

canvas實現驗證功能

code 區分大小寫 font num type move style lower 輸入 我們在做一些後臺系統登錄功能的時候,一般都會用到驗證碼,最多的就是後臺生成的驗證碼圖片返回給前端的。也可以不調用後端接口,前端使用canvas直接生成驗證碼。 由於功能過於簡單,不需要