思路
shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。

需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。

自定义FormAuthenticationFilter

package com.example.config.shiro;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpSession;

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter{

    @Override

    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        // 在这里进行验证码的校验

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        HttpSession session = httpServletRequest.getSession();  

        // 取出验证码

        String validateCode = (String) session.getAttribute("validateCode");

        // 取出页面的验证码

        // 输入的验证和session中的验证进行对比

        String randomcode = httpServletRequest.getParameter("randomcode");

        if (randomcode != null && validateCode != null && !randomcode.equals(validateCode)) {

            // 如果校验失败,将验证码错误失败信息,通过shiroLoginFailure设置到request中

            httpServletRequest.setAttribute("shiroLoginFailure", "kaptchaValidateFailed");//自定义登录异常

            // 拒绝访问,不再校验账号和密码

            return true;

        }

        return super.onAccessDenied(request, response);

    }

}

在ShiroConfiguration.java中的shiroFilter方法注入自定义FormAuthenticationFilter

@Bean

    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

        System.out.println("ShiroConfiguration.shiroFilter()");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();//获取filters

        filters.put("authc", new CustomFormAuthenticationFilter());//将自定义 的FormAuthenticationFilter注入shiroFilter中

        // 必须设置SecuritManager

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 拦截器

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        // 配置退出过滤器,其中的具体代码Shiro已经替我们实现了

        filterChainDefinitionMap.put("/logout", "logout");

        //验证码可以匿名访问

        filterChainDefinitionMap.put("/validatecodeServlet", "anon");

        //配置记住我或认证通过可以访问的地址

        filterChainDefinitionMap.put("/index", "user");

        filterChainDefinitionMap.put("/", "user");

        // <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->

        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面

        shiroFilterFactoryBean.setLoginUrl("/login");

        // 登录成功后要跳转的链接

        shiroFilterFactoryBean.setSuccessUrl("/index");

        // 未授权界面;

        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        shiroFilterFactoryBean

                .setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();//获取filters
filters.put("authc", new CustomFormAuthenticationFilter());//将自定义 的FormAuthenticationFilter注入shiroFilter中

登录方法加入自定义的异常kaptchaValidateFailed

@RequestMapping(value = "/login", method = RequestMethod.POST)

    public String login(HttpServletRequest request, Map<String, Object> map) {

        System.out.println("HomeController.login");

        // 登录失败从request中获取shiro处理的异常信息

        // shiroLoginFailure:就是shiro异常类的全类名

        String exception = (String) request.getAttribute("shiroLoginFailure");

        String msg = "";

        if (exception != null) {

            if (UnknownAccountException.class.getName().equals(exception)) {

                System.out.println("UnknownAccountException -->帐号不存在:");

                msg = "UnknownAccountException -->帐号不存在:";

            } else if (IncorrectCredentialsException.class.getName().equals(exception)) {

                System.out.println("IncorrectCredentialsException -- > 密码不正确:");

                msg = "IncorrectCredentialsException -- > 密码不正确:";

            } else if ("kaptchaValidateFailed".equals(exception)) {

                System.out.println("kaptchaValidateFailed -- > 验证码错误");

                msg = "kaptchaValidateFailed -- > 验证码错误";

            } else {

                msg = "else >> " + exception;

                System.out.println("else -- >" + exception);

            }

        }

        map.put("msg", msg);

        // 此方法不处理登录成功,由shiro进行处理.

        return "/login";

    }

login.html

<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"

      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">

<head>

<meta charset="UTF-8" />

<title>Insert title here</title>

</head>

<body>

            错误信息:<h4 th:text="${msg}"></h4>

       <form action="" method="post">

           <p>账号:<input type="text" name="username" value="admin"/></p>

           <p>密码:<input type="text" name="password" value="123456"/></p>

           <p>验证码:<input type="text" name="randomcode"/>

           <img th:src="@{/validatecodeServlet}" height="20px" width="60px" onclick="random(this)"/></p>

           <P><input type="checkbox" name="rememberMe" />记住我</P>

           <p><input type="submit" value="登录"/></p>

       </form>

       <script th:inline="javascript">

          function random(tmp){

               tmp.src="/validatecodeServlet?rnd="+Math.random();

          }

       </script>

</body>

</html>

验证码Servlet

package com.example.servlet;

import java.awt.Color;

import java.awt.Font;

import java.awt.Graphics;

import java.awt.image.BufferedImage;

import java.io.IOException;

import java.io.OutputStream;

import java.util.Random;

import javax.imageio.ImageIO;

import javax.servlet.ServletException;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

@WebServlet(urlPatterns="/validatecodeServlet")

public class ValidatecodeServlet extends HttpServlet{

     /**

     *

     */

    private static final long serialVersionUID = 1L;

    @Override

        protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

            System.out.println(">>>>>>>>>>doGet()<<<<<<<<<<<");

            doPost(req, resp);

        }  

        @Override

        protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

            System.out.println(">>>>>>>>>>doPost()<<<<<<<<<<<");

            int width = 60;

            int height = 32;

            //create the image

            BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

            Graphics g = image.getGraphics();

            // set the background color

            g.setColor(new Color(0xDCDCDC));

            g.fillRect(0, 0, width, height);

            // draw the border

            g.setColor(Color.black);

            g.drawRect(0, 0, width - 1, height - 1);

            // create a random instance to generate the codes

            Random rdm = new Random();

            String hash1 = Integer.toHexString(rdm.nextInt());

            System.out.print(hash1);

            // make some confusion

            for (int i = 0; i < 50; i++) {

                int x = rdm.nextInt(width);

                int y = rdm.nextInt(height);

                g.drawOval(x, y, 0, 0);

            }

            // generate a random code

            String capstr = hash1.substring(0, 4);

            HttpSession session = req.getSession(true);

            //将生成的验证码存入session

            session.setAttribute("validateCode", capstr);

            g.setColor(new Color(0, 100, 0));

            g.setFont(new Font("Candara", Font.BOLD, 24));

            g.drawString(capstr, 8, 24);

            g.dispose();

            //输出图片

            resp.setContentType("image/jpeg");

            OutputStream strm = resp.getOutputStream();

            ImageIO.write(image, "jpeg", strm);

            strm.close();   

        }

}

Application.java

package com.example;  

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan

@SpringBootApplication

public class Application {

     public static void main(String[] args) {

        SpringApplication.run(Application.class, args);

    }

}

Spring Boot Shiro权限管理--自定义 FormAuthenticationFilter验证码整合的更多相关文章

  1. (39.2). Spring Boot Shiro权限管理【从零开始学Spring Boot】

    (本节提供源代码,在最下面可以下载) (4). 集成Shiro 进行用户授权 在看此小节前,您可能需要先看: http://412887952-qq-com.iteye.com/blog/229973 ...

  2. (39.1) Spring Boot Shiro权限管理【从零开始学Spring Boot】

    (本节提供源代码,在最下面可以下载)距上一个章节过了二个星期了,最近时间也是比较紧,一直没有时间可以写博客,今天难得有点时间,就说说Spring Boot如何集成Shiro吧.这个章节会比较复杂,牵涉 ...

  3. Spring Boot Shiro 权限管理

    Spring Boot Shiro 权限管理 标签: springshiro 2016-01-14 23:44 94587人阅读 评论(60) 收藏 举报 .embody{ padding:10px ...

  4. (39.4) Spring Boot Shiro权限管理【从零开始学Spring Boot】

    在读此文章之前您还可能需要先了解: (39.1) Spring Boot Shiro权限管理[从零开始学Spring Boot] http://412887952-qq-com.iteye.com/b ...

  5. (39.3) Spring Boot Shiro权限管理【从零开始学Spring Boot】

    在学习此小节之前您可能还需要学习: (39.1) Spring Boot Shiro权限管理[从零开始学Spring Boot] http://412887952-qq-com.iteye.com/b ...

  6. Spring Boot Shiro 权限管理 【转】

    http://blog.csdn.net/catoop/article/details/50520958 主要用于备忘 本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro ...

  7. 十、 Spring Boot Shiro 权限管理

    使用Shiro之前用在spring MVC中,是通过XML文件进行配置. 将Shiro应用到Spring Boot中,本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下. 先简 ...

  8. 19. Spring Boot Shiro 权限管理

    转自:https://blog.csdn.net/catoop/article/details/50520958

  9. Spring boot security权限管理集成cas单点登录

    挣扎了两周,Spring security的cas终于搞出来了,废话不多说,开篇! Spring boot集成Spring security本篇是使用spring security集成cas,因此,先 ...

随机推荐

  1. Windows Server 2008下的FTP服务器设置

    今天刚在新服务器上部署好Windows Server 2008,同时安装好了SQL,基本上还算顺利.没想到在设置FTP服务器的时候遇到了麻烦.按照以往的经验,安装好Serv-U以后,同时在防火墙设置里 ...

  2. Zend Optimizer安装、配置

    Zend Optimizer用优化代码的方法来提高php应用程序的执行速度.实现的原理是对那些在被最终执行之前由运行编译器(Run-Time Compiler)产生的代码进行优化.这里,我们下载最新版 ...

  3. [转]ASP.NET Core集成微信登录

    本文转自:http://www.cnblogs.com/early-moon/p/5819760.html 工具: Visual Studio 2015 update 3 Asp.Net Core 1 ...

  4. 斗鱼扩展--notifications提示(十二)

    来说下 桌面通知 Notification,HTML5支持 Web Notifications 的实例,但是要经过用户允许,  chrome://settings/content/notificati ...

  5. JS获取前一个页面

    document.referrer 可以得到上一个点击超连接进来的页面URL注意:只能访问服务器上页面使用,打开本地文件无效(为空字符串)

  6. jQuery 判断文本输入框的事件

    1.实现以下需求: 输入框中输入内容,发表按钮变为蓝色背景,删除为空则变为原来的颜色 代码实现:通过判断event.target.value是否为空 2.input事件:文本输入框正在输入时生效  f ...

  7. array_map()关于回调函数的总结

    array_map()函数的第一个参数可以是匿名函数,系统函数,也可以是自己自定义的函!在全局空间下,这些函数的调用都很简单 在这里就不多说了!我们主要讨论的是该函数调用类中的方法和静态方法的区别 摘 ...

  8. 有意思的jsonp

    <style> body{margin: 0;} ul{margin: 0;padding: 0;list-style: none;} a{color:inherit;text-decor ...

  9. 选择、循环与函数结构:MATLAB VS Python

    选择.循环与函数结构:MATLAB VS Python 整理基本的程序控制结构,主要是选择 和 循环. 1.MATLAB选择结构 (1)单分支if语句格式: if 条件 语句组 end (2)双分支i ...

  10. C# 对XML操作-实例

    using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using Sy ...