SpringBoot进阶教程(八十二)Spring Security图形验证码

在之前的博文《SpringBoot进阶教程(八十)Spring Security》中，已经介绍了在Spring Security中如何基于formLogin认证、基于HttpBasic认证和自定义用户名和暗码。这篇文章，我们将介绍自定义登录界面的登录验证方式。在上一篇博文《SpringBoot进阶教程(八十一)Spring Security自定义认证》中，已经介绍了如何实现Spring Security自定义认证。

v生成图形验证码

添加maven依赖

1.         <dependency>
2.             <groupId>org.springframework.social</groupId>
3.             <artifactId>spring-social-config</artifactId>
4.             <version>1.1.6.RELEASE</version>
5.         </dependency>

复制代码

创建验证码对象

1. /**
2. * @Author chen bo
3. * @Date 2023/12
4. * @Des
5. */
6. @Data
7. public class ImageCode {
8.     /**
9.      * image图片
10.      */
11.     private BufferedImage image;
12.     /**
13.      * 验证码
14.      */
15.     private String code;
16.     /**
17.      * 过期时间
18.      */
19.     private LocalDateTime expireTime;
21.     public ImageCode(BufferedImage image, String code, int expireIn) {
22.         this.image = image;
23.         this.code = code;
24.         this.expireTime = LocalDateTime.now().plusSeconds(expireIn);
25.     }
27.     /**
28.      * 判断验证码是否已过期
29.      * @return
30.      */
31.     public boolean isExpire() {
32.         return LocalDateTime.now().isAfter(expireTime);
33.     }
34. }

复制代码

创建ImageController 编写接口，返回图形验证码：

1. /**
2. * @Author chen bo
3. * @Date 2023/12
4. * @Des
5. */
6. @RestController
7. public class ImageController {
8.     public final static String SESSION_KEY_IMAGE_CODE = "SESSION_VERIFICATION_CODE";
10.     private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
12.     @GetMapping("https://www.cnblogs.com/code/image")
13.     public void createCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
14.         ImageCode imageCode = createImageCode();
15.         sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY_IMAGE_CODE, imageCode);
16.         ImageIO.write(imageCode.getImage(), "jpeg", response.getOutputStream());
17.     }
19.     private ImageCode createImageCode() {
20.         // 验证码图片宽度
21.         int width = 100;
22.         // 验证码图片长度
23.         int height = 36;
24.         // 验证码位数
25.         int length = 4;
26.         // 验证码有效时间 60s
27.         int expireIn = 60;
29.         BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
31.         Graphics graphics = image.getGraphics();
33.         Random random = new Random();
35.         graphics.setColor(getRandColor(200, 500));
36.         graphics.fillRect(0, 0, width, height);
37.         graphics.setFont(new Font("Times New Roman", Font.ITALIC, 20));
38.         graphics.setColor(getRandColor(160, 200));
39.         for (int i = 0; i < 155; i++) {
40.             int x = random.nextInt(width);
41.             int y = random.nextInt(height);
42.             int xl = random.nextInt(12);
43.             int yl = random.nextInt(12);
44.             graphics.drawLine(x, y, x + xl, y + yl);
45.         }
46.         StringBuilder sRand = new StringBuilder();
47.         for (int i = 0; i < length; i++) {
48.             String rand = String.valueOf(random.nextInt(10));
49.             sRand.append(rand);
50.             graphics.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));
51.             graphics.drawString(rand, 13 * i + 6, 16);
52.         }
54.         graphics.dispose();
56.         return new ImageCode(image, sRand.toString(), expireIn);
57.     }
59.     private Color getRandColor(int fc, int bc) {
60.         Random random = new Random();
61.         if (fc > 255)
62.             fc = 255;
64.         if (bc > 255)
65.             bc = 255;
66.         int r = fc + random.nextInt(bc - fc);
67.         int g = fc + random.nextInt(bc - fc);
68.         int b = fc + random.nextInt(bc - fc);
69.         return new Color(r, g, b);
70.     }
71. }

复制代码

org.springframework.social.connect.web.HttpSessionSessionStrategy对象封装了一些处置惩罚Session的方法，包罗了setAttribute、getAttribute和removeAttribute方法，具体可以查看该类的源码。使用sessionStrategy将生成的验证码对象存储到Session中，并通过IO流将生成的图片输出到登录页面上。
v改造登录页面

添加验证码控件 在上一篇博文《SpringBoot进阶教程(八十一)Spring Security自定义认证》中的"重写form登录页"，已经创建了login.html，在login.html中添加如下代码：

1.         <span style="display: inline">
2.             <input type="text" name="请输入验证码" placeholder="验证码" required="required"/>
3.             <img src="https://www.cnblogs.com/code/image"/>
4.         </span>

复制代码

img标签的src属性对应ImageController的createImageCode方法。
v认证流程添加验证码效验

定义异常类 在校验验证码的过程中，可能会抛出各种验证码范例的异常，比如“验证码错误”、“验证码已过期”等，所以我们定义一个验证码范例的异常类：

1. /**
2. * @Author chen bo
3. * @Date 2023/12
4. * @Des
5. */
6. public class ValidateCodeException extends AuthenticationException {
8.     private static final long serialVersionUID = 1715361291615299823L;
10.     public ValidateCodeException(String explanation) {
11.         super(explanation);
12.     }
13. }

复制代码

注意:这里继承的是AuthenticationException而不是Exception。
创建验证码的校验过滤器 Spring Security实际上是由许多过滤器组成的过滤器链，处置惩罚用户登录逻辑的过滤器为UsernamePasswordAuthenticationFilter，而验证码校验过程应该是在这个过滤器之前的，即只有验证码校验通过后才去校验用户名和暗码。由于Spring Security并没有直接提供验证码校验相关的过滤器接口，所以我们需要自己定义一个验证码校验的过滤器ValidateCodeFilter：

1. /**
2. * @Author chen bo
3. * @Date 2023/12
4. * @Des
5. */
6. @Component
7. public class ValidateCodeFilter extends OncePerRequestFilter {
9.     @Autowired
10.     private MyAuthenticationFailureHandler myAuthenticationFailureHandler;
12.     private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
14.     @Override
15.     protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
16.         if ("/login".equalsIgnoreCase(httpServletRequest.getRequestURI())
17.                 && "post".equalsIgnoreCase(httpServletRequest.getMethod())) {
18.             try {
19.                 validateCode(new ServletWebRequest(httpServletRequest));
20.             } catch (ValidateCodeException e) {
21.                 myAuthenticationFailureHandler.onAuthenticationFailure(httpServletRequest, httpServletResponse, e);
22.                 return;
23.             }
24.         }
25.         filterChain.doFilter(httpServletRequest, httpServletResponse);
26.     }
28.     private void validateCode(ServletWebRequest servletWebRequest) throws ServletRequestBindingException, ValidateCodeException {
29.         ImageCode codeInSession = (ImageCode) sessionStrategy.getAttribute(servletWebRequest, ImageController.SESSION_KEY_IMAGE_CODE);
30.         String codeInRequest = ServletRequestUtils.getStringParameter(servletWebRequest.getRequest(), "imageCode");
32.         if (StringUtils.isEmpty(codeInRequest)) {
33.             throw new ValidateCodeException("验证码不能为空！");
34.         }
35.         if (codeInSession == null) {
36.             throw new ValidateCodeException("验证码不存在！");
37.         }
38.         if (codeInSession.isExpire()) {
39.             sessionStrategy.removeAttribute(servletWebRequest, ImageController.SESSION_KEY_IMAGE_CODE);
40.             throw new ValidateCodeException("验证码已过期！");
41.         }
42.         if (!codeInRequest.equalsIgnoreCase(codeInSession.getCode())) {
43.             throw new ValidateCodeException("验证码不正确！");
44.         }
46.         sessionStrategy.removeAttribute(servletWebRequest, ImageController.SESSION_KEY_IMAGE_CODE);
47.     }
48. }

复制代码

ValidateCodeFilter继承了org.springframework.web.filter.OncePerRequestFilter，该过滤器只会实验一次。ValidateCodeFilter继承了org.springframework.web.filter.OncePerRequestFilter，该过滤器只会实验一次。
在doFilterInternal方法中我们判定了请求URL是否为/login，该路径对应登录form表单的action路径，请求的方法是否为POST，是的话举行验证码校验逻辑，否则直接实验filterChain.doFilter让代码往下走。当在验证码校验的过程中捕获到异常时，调用Spring Security的校验失败处置惩罚器AuthenticationFailureHandler举行处置惩罚。
我们分别从Session中获取了ImageCode对象和请求参数imageCode（对应登录页面的验证码input框name属性）,然后举行了各种判定并抛出相应的异常。当验证码过期或者验证码校验通过期，我们便可以删除Session中的ImageCode属性了。
v更新配置类

验证码校验过滤器定义好了，怎么才气将其添加到UsernamePasswordAuthenticationFilter前面呢？很简单，只需要在BrowserSecurityConfig的configure方法中添加些许配置即可，顺便配置验证码请求不配拦截： "https://www.cnblogs.com/code/image"。

1. /**
2. * @Author chen bo
3. * @Date 2023/12
4. * @Des
5. */
6. @Configuration
7. public class SecurityConfig extends WebSecurityConfigurerAdapter {
9.     @Override
10.     protected void configure(HttpSecurity http) throws Exception {
11.         http.addFilterBefore(new ValidateCodeFilter(), UsernamePasswordAuthenticationFilter.class) //添加验证码效验过滤器
12.                 .formLogin() // 表单登录
13.                 .loginPage("/login.html")       // 登录跳转url
14. //                .loginPage("/authentication/require")
15.                 .loginProcessingUrl("/login")   // 处理表单登录url
16. //                .successHandler(authenticationSuccessHandler)
17.                 .failureHandler(new MyAuthenticationFailureHandler())
18.                 .and()
19.                 .authorizeRequests()            // 授权配置
20.                 .antMatchers("/login.html", "/css/**", "/authentication/require", "https://www.cnblogs.com/code/image").permitAll()  // 无需认证
21.                 .anyRequest()                   // 所有请求
22.                 .authenticated()                // 都需要认证
23.                 .and().csrf().disable();
25.     }
27.     @Bean
28.     public PasswordEncoder passwordEncoder() {
29.         return new BCryptPasswordEncoder();
30.     }
31. }

复制代码

上面代码中，我们注入了ValidateCodeFilter，然后通过addFilterBefore方法将ValidateCodeFilter验证码校验过滤器添加到了UsernamePasswordAuthenticationFilter前面。
v运行效果图

其他参考/学习资料：

• https://www.cnblogs.com/kikochz/p/12895842.html
  
• https://www.cnblogs.com/fanqisoft/p/10630556.html
  
• https://www.jianshu.com/p/5a83e364869c
  

v源码地址

https://github.com/toutouge/javademosecond/tree/master/security-demo

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。