有三中方法可以实现验证码的功能

第一种是自定义一个filter,放在SpringSecurity过滤器之前,在用户登录的时候会先经过这个filter,然后在这个filter中实现对验证码进行验证的功能,这种方法不推荐,因为它已经脱离了SpringSecurity

第二种是自定义一个filter让它继承自UsernamePasswordAuthenticationFilter,然后重写attemptAuthentication方法在这个方法中实现验证码的功能,如果验证码错误就抛出一个继承自AuthenticationException的验证吗错误的异常比如(CaptchaException),然后这个异常就会被SpringSecurity捕获到并将异常信息返回到前台,这种实现起来比较简单

  1. @Override
  2. public Authentication attemptAuthentication(HttpServletRequest request,
  3. HttpServletResponse response) throws AuthenticationException {
  4. String requestCaptcha = request.getParameter(this.getCaptchaFieldName());
  5. String genCaptcha = (String)request.getSession().getAttribute("code");
  6. logger.info("开始校验验证码,生成的验证码为:"+genCaptcha+" ,输入的验证码为:"+requestCaptcha);
  7. if( !genCaptcha.equals(requestCaptcha)){
  8. throw new CaptchaException(
  9. this.messageSource.getMessage("AbstractUserDetailsAuthenticationProvider.badCaptcha",null,"Default",null));
  10. }
  11. return super.attemptAuthentication(request, response);
  12. }

然后在配置文件中配置下

  1. <bean id="loginFilter" class="com.zrhis.system.security.DefaultUsernamePasswordAuthenticationFilter">
  2. <property name="authenticationManager"  ref="authenticationManager"></property>
  3. <property name="authenticationSuccessHandler">
  4. <bean class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
  5. <property name="defaultTargetUrl" value="/index.jsp"></property>
  6. </bean>
  7. </property>
  8. <property name="authenticationFailureHandler">
  9. <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
  10. <property name="defaultFailureUrl" value="/login.jsp"></property>
  11. </bean>
  12. </property>
  13. </bean>

最后在http中加入custom-filter配置,将这个filter放在SpringSecurity的FORM_LOGIN_FILTER之前

  1. <custom-filter ref="loginFilter" before="FORM_LOGIN_FILTER"/>

最后一种是直接替换掉SpringSecurity的UsernamePasswordAuthenticationFilter,这种比较复杂,但是更为合理,也是我现在正在用的。

如果用这种方法那么http 中的auto-config就必须去掉,而form-login配置也必须去掉,因为这个不需要了,里面的属性都需要我们自行注入。

首先需要创建一个EntryPoint

  1. <bean id="authenticationEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
  2. <property name="loginFormUrl" value="/login.jsp" />
  3. </bean>

然后在http中配置下

  1. <sec:http access-decision-manager-ref="accessDecisionManager"
  2. entry-point-ref="authenticationEntryPoint">

然后我们来写CaptchaAuthenticationFilter,同样需要继承自UsernamePasswordAuthenticationFilter

  1. public class CaptchaAuthenticationFilter extends UsernamePasswordAuthenticationFilter{
  2. public static final String SPRING_SECURITY_FORM_CAPTCHA_KEY = "j_captcha";
  3. public static final String SESSION_GENERATED_CAPTCHA_KEY = Constant.SESSION_GENERATED_CAPTCHA_KEY;
  4. private String captchaParameter = SPRING_SECURITY_FORM_CAPTCHA_KEY;
  5. public Authentication attemptAuthentication(HttpServletRequest request,
  6. HttpServletResponse response) throws AuthenticationException {
  7. String genCode = this.obtainGeneratedCaptcha(request);
  8. String inputCode = this.obtainCaptcha(request);
  9. if(genCode == null)
  10. throw new CaptchaException(this.messages.getMessage("LoginAuthentication.captchaInvalid"));
  11. if(!genCode.equalsIgnoreCase(inputCode)){
  12. throw new CaptchaException(this.messages.getMessage("LoginAuthentication.captchaNotEquals"));
  13. }
  14. return super.attemptAuthentication(request, response);
  15. }
  16. protected String obtainCaptcha(HttpServletRequest request){
  17. return request.getParameter(this.captchaParameter);
  18. }
  19. protected String obtainGeneratedCaptcha (HttpServletRequest request){
  20. return (String)request.getSession().getAttribute(SESSION_GENERATED_CAPTCHA_KEY);
  21. }
  22. }

在配置文件中配置CaptchaAuthenticationFilter

  1. <bean id="captchaAuthenticaionFilter" class="com.zrhis.system.security.CaptchaAuthenticationFilter">
  2. <property name="authenticationManager" ref="authenticationManager" />
  3. <property name="authenticationFailureHandler" ref="authenticationFailureHandler" />
  4. <property name="authenticationSuccessHandler" ref="authenticationSuccessHandler" />
  5. <property name="filterProcessesUrl" value="/login.do" />
  6. </bean>
  7. <bean id="authenticationSuccessHandler" class="com.zrhis.system.security.SimpleLoginSuccessHandler">
  8. <property name="defaultTargetUrl" value="/WEB-INF/app.jsp"></property>
  9. <property name="forwardToDestination" value="true"></property>
  10. </bean>
  11. <bean id="authenticationFailureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
  12. <property name="defaultFailureUrl" value="/login.jsp" />
  13. </bean>

从配置文件中就可以看出来authenticationManager、authenticationFailureHandler、authenticationSuccessHandler、filterProcessesUrl等都需要我们自行注入了。

filterProcessesUrl定义的是登录验证的地址,默认的是j_spring_security_check这里我们改成login.do

authenticationSuccessHandler中的defaultTargetUrl定义的是登录成功后跳转到的页面

authenticationFailureHandler中的defaultTargetUrl定义的是登录失败后跳转到的页面

我们的首页app.jsp在/WEB-INF下所以需要使用服务器跳转,所以需要将forwardToDestination设为true,因为客户端跳转是不能直接访问WEB-INF下的内容的。

最后在http中将FORM_LOGIN_FILTER替换掉,最终http中完整的配置就变成了下面的内容

  1. <sec:http access-decision-manager-ref="accessDecisionManager"
  2. entry-point-ref="authenticationEntryPoint">
  3. <sec:access-denied-handler ref="accessDeniedHandler"/>
  4. <sec:session-management invalid-session-url="/login.jsp" />
  5. <sec:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
  6. <sec:custom-filter ref="captchaAuthenticaionFilter" position="FORM_LOGIN_FILTER"/>
  7. </sec:http>

custom-filter中before是在这个filter之前,after是之后,position是替换。

这样就可以实现对验证码的验证了,效果如下

最新文章

  1. MySQL详解--锁
  2. Javascript技巧
  3. MYSQL EXPLAIN 很慢的原因
  4. VB操作Excel
  5. 一秒钟速算(WINFORM)
  6. C# WPF 建立渐隐窗口
  7. Jafka来源分析——Processor
  8. angular2+webpack的搭建过程遇到的问题记录
  9. AlloyFinger.js 源码 学习笔记及原理说明
  10. hdu4027 开方,记录
  11. Python自学笔记-with详解
  12. 使用JS实现图片轮播滚动跑马灯效果
  13. Pandora 生成 Token
  14. 记一次eureka客户端注册失败的问题
  15. PL/SQL修改数据之后,程序查到的还是原来的数据怎么办?
  16. hibernate一级缓存和快照
  17. 从YOLOv1到YOLOv3,目标检测的进化之路
  18. 包--json 与 pickle 模块
  19. learning scala ide tools install
  20. HTTP的请求报文与响应报文

热门文章

  1. openssl之BIO系列之18---接受(accept)类型BIO
  2. shell常用的判断条件
  3. UITextField小结
  4. hdu6060 RXD and dividing 贪心
  5. MapReduce实战(六)共同粉丝
  6. shiro添加注解@RequiresPermissions无效
  7. 蓝桥杯 第三届C/C++预赛真题(7) 放棋子(水题)
  8. Python中xlrd和xlwt模块使用方法 (python对excel文件的操作)
  9. Store update, insert, or delete statement affected an unexpected number of rows (0). Entities may have been modified or deleted since entities were loaded.
  10. label 两次点击 事件冒泡 使用时间戳的解决方案