9-SpringSecurity:登录时的图片验证码

简介: 9-SpringSecurity:登录时的图片验证码

背景


本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。


实际项目中,为防止一般的恶意攻击,在认证时除了用户名、密码之外,我们还会要求用户输入验证码,今天我们就在 SpringSecurity 用户名-密码认证前,强行进行图形验证码的核验。


Note:当前数字、文本、图片验证码均已不安全,人机交互、短信验证码相对安全。

新建一个 SpringBoot 项目,起名 springboot-security-captcha ,核心依赖为 Web , SpringSecurity , Thymeleafeasy-captcha

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>com.github.whvcse</groupId>
        <artifactId>easy-captcha</artifactId>
        <version>1.6.2</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-devtools</artifactId>
        <scope>runtime</scope>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>


效果演示


image.png

image.png


登录接口及验证码核验


除了基本的资源资源接口: /user/add/user/query ,以及默认的home路径 / ,用以展示登录用户信息; 增加 /login 接口返回带验证码的登录页面,另外,登录接口改为 /signin ,完成验证码、用户信息的核验。


这里采用EasyCaptcha,支持gif、中文、算术等类型。

image.png

@Controller
@Slf4j
public class LoginController {
    // 模拟数据库或缓存,存储验证码
    private Map<String, String> captchaStore = new ConcurrentHashMap<>();
    private final AuthenticationManagerBuilder authenticationManagerBuilder;
    public LoginController(AuthenticationManagerBuilder authenticationManagerBuilder) {
        this.authenticationManagerBuilder = authenticationManagerBuilder;
    }
    @GetMapping("/login")
    public String loginPage(Model model) {
        // gif类型
//        GifCaptcha captcha = new GifCaptcha(130, 48);
        // 中文类型
//        ChineseCaptcha captcha = new ChineseCaptcha(130, 48);
        // 中文gif类型
//        ChineseGifCaptcha captcha = new ChineseGifCaptcha(130, 48);
        // 算术类型
        ArithmeticCaptcha captcha = new ArithmeticCaptcha(130, 48);
        // 几位数运算(默认是两位)
        captcha.setLen(2);
        // 获取生成的文本
        String code = captcha.text().equals("0.0") ? "0" : captcha.text();
        // 验证码对应的UUID
        String uuid = UUID.randomUUID().toString();
        log.info("Captcha generated: {}, UUID generated:{}", code, uuid);
        // 保存生成的验证码信息
        captchaStore.put(uuid, code);
        // 返回验证码信息
        model.addAttribute("img", captcha.toBase64());
        model.addAttribute("uuid", uuid);
        return "login";
    }
    @PostMapping("/signin")
    @ResponseBody
    public String signin(FormUser formUser, HttpServletRequest request) throws Exception {
        log.info("formUser: {}", formUser);
        // 查询验证码
        String code = (String) captchaStore.get(formUser.getUuid());
        // 清除验证码
        captchaStore.remove(formUser.getUuid());
        // 核验验证码
        if (StringUtils.isEmptyOrWhitespace(code)) {
            throw new Exception("EXPIRED");
        }
        if (StringUtils.isEmptyOrWhitespace(formUser.getCode()) || !formUser.getCode().equalsIgnoreCase(code)) {
            throw new Exception("INVALID");
        }
        // 核验用户名密码
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(formUser.getUsername(), formUser.getPassword());
        Authentication authentication = authenticationManagerBuilder.getObject().authenticate(authenticationToken);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        log.info("authentication: {}", authentication);
        return SecurityContextHolder.getContext().getAuthentication().getPrincipal().toString();
    }
    @RequestMapping(value = "/")
    @ResponseBody
    public String loginSuccess() {
        log.info(SecurityContextHolder.getContext().getAuthentication().toString());
        return SecurityContextHolder.getContext().getAuthentication().toString();
    }
    @GetMapping(value = "/user/add")
    @ResponseBody
    public String accessResource1() {
        return " Access Resource 1: Add User";
    }
    @GetMapping(value = "/user/query")
    @ResponseBody
    public String accessResource2() {
        return " Access Resource 2: Query User";
    }
}


用户信息


为了集中焦点在本篇的主题验证码上,避免引入其他复杂性,这里采用内存型用户信息来演示,关于从数据库中获取用户信息,可参考6-SpringSecurity:数据库存储用户信息

@Component
public class CustomUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return User.withUsername("dev").password(new BCryptPasswordEncoder().encode("123")).authorities("p1", "p2").build();
    }
}


安全配置


关于 SpringSecurity 的配置如下,主要是对资源进行保护,完成权限核验:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/user/add").hasAuthority("p1")
                .antMatchers("/user/**").authenticated()
                .anyRequest().permitAll() // Let other request pass
                .and()
                .csrf().disable() // turn off csrf, or will be 403 forbidden
                .formLogin()
                .loginPage("/login");
    }
}


前端页面


<form action="signin" method="post">
    <span>用户名</span><input type="text" name="username" /> <br>
    <span>密码</span><input type="password" name="password" /> <br>
    <span>验证码</span><input type="text" name="code" /> <span><img th:src="${img}"></span><br>
    <span>验证码</span><input type="text" name="uuid" th:value="${uuid}" /> <br>
    <input type="submit" value="登录">
</form>s

Note:


  1. 获取验证码的请求应该放行,这里 .anyRequest().permitAll() 包含了登录页的其他URL。


  1. 以上仅实现了 SpringSecurity 集成验证码的核心逻辑,实际使用时,密码甚至用户名应该密文传输:前端加密,后端解密,再交由 SpringSecurity 进行认证;


  1. 前端页面点击验证码刷新可自行实现;


目录
相关文章
|
4月前
|
存储 NoSQL 数据库
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
这篇文章讲述了在分布式微服务系统中添加用户注册和登录功能的过程,重点介绍了用户注册时通过远程服务调用第三方服务获取短信验证码、使用Redis进行验证码校验、对密码进行MD5加密后存储到数据库,以及用户登录时的远程服务调用和密码匹配校验的实现细节。
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
|
2月前
|
Java
Java 登录输入的验证码
Java 登录输入的验证码
35 1
|
2月前
|
C#
C# 图形验证码实现登录校验代码
C# 图形验证码实现登录校验代码
99 2
|
2月前
|
数据采集 自然语言处理 Python
用 Python 生成并识别图片验证码
用 Python 生成并识别图片验证码
55 1
|
3月前
|
存储 JSON 前端开发
node使用token来实现前端验证码和登录功能详细流程[供参考]=‘很值得‘
本文介绍了在Node.js中使用token实现前端验证码和登录功能的详细流程,包括生成验证码、账号密码验证以及token验证和过期处理。
66 0
node使用token来实现前端验证码和登录功能详细流程[供参考]=‘很值得‘
|
4月前
|
资源调度 JavaScript API
nest.js + sms 实现短信验证码登录
本文介绍了在Nest.js框架中集成短信验证码登录的实现方案,详细阐述了使用阿里云短信服务的配置流程、资质申请、短信模板设置,并提供了API调用示例和工程代码的运行步骤。
nest.js + sms 实现短信验证码登录
|
4月前
|
SQL 前端开发 NoSQL
SpringBoot+Vue 实现图片验证码功能需求
这篇文章介绍了如何在SpringBoot+Vue项目中实现图片验证码功能,包括后端生成与校验验证码的方法以及前端展示验证码的实现步骤。
SpringBoot+Vue 实现图片验证码功能需求
|
4月前
【Azure 环境】中国区Azure B2C 是否支持手机验证码登录呢?
【Azure 环境】中国区Azure B2C 是否支持手机验证码登录呢?
|
5月前
【node】图片验证码(svg-captcha)
【node】图片验证码(svg-captcha)
295 0
|
6月前
|
前端开发 JavaScript 数据库
四. Django项目之电商购物商城 -- 图片验证码生成
四. Django项目之电商购物商城 -- 图片验证码生成