有三中方法可以实现验证码的功能

第一种是自定义一个filter,放在SpringSecurity过滤器之前,在用户登录的时候会先经过这个filter,然后在这个filter中实现对验证码进行验证的功能,这种方法不推荐,因为它已经脱离了SpringSecurity

第二种是自定义一个filter让它继承自UsernamePasswordAuthenticationFilter,然后重写attemptAuthentication方法在这个方法中实现验证码的功能,如果验证码错误就抛出一个继承自AuthenticationException的验证吗错误的异常比如(CaptchaException),然后这个异常就会被SpringSecurity捕获到并将异常信息返回到前台,这种实现起来比较简单

  1. @Override
  2. public Authentication attemptAuthentication(HttpServletRequest request,
  3. HttpServletResponse response) throws AuthenticationException {
  4. String requestCaptcha = request.getParameter(this.getCaptchaFieldName());
  5. String genCaptcha = (String)request.getSession().getAttribute("code");
  6. logger.info("开始校验验证码,生成的验证码为:"+genCaptcha+" ,输入的验证码为:"+requestCaptcha);
  7. if( !genCaptcha.equals(requestCaptcha)){
  8. throw new CaptchaException(
  9. this.messageSource.getMessage("AbstractUserDetailsAuthenticationProvider.badCaptcha",null,"Default",null));
  10. }
  11. return super.attemptAuthentication(request, response);
  12. }

然后在配置文件中配置下

  1. <bean id="loginFilter" class="com.zrhis.system.security.DefaultUsernamePasswordAuthenticationFilter">
  2. <property name="authenticationManager"  ref="authenticationManager"></property>
  3. <property name="authenticationSuccessHandler">
  4. <bean class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
  5. <property name="defaultTargetUrl" value="/index.jsp"></property>
  6. </bean>
  7. </property>
  8. <property name="authenticationFailureHandler">
  9. <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
  10. <property name="defaultFailureUrl" value="/login.jsp"></property>
  11. </bean>
  12. </property>
  13. </bean>

最后在http中加入custom-filter配置,将这个filter放在SpringSecurity的FORM_LOGIN_FILTER之前

  1. <custom-filter ref="loginFilter" before="FORM_LOGIN_FILTER"/>

最后一种是直接替换掉SpringSecurity的UsernamePasswordAuthenticationFilter,这种比较复杂,但是更为合理,也是我现在正在用的。

如果用这种方法那么http 中的auto-config就必须去掉,而form-login配置也必须去掉,因为这个不需要了,里面的属性都需要我们自行注入。

首先需要创建一个EntryPoint

  1. <bean id="authenticationEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
  2. <property name="loginFormUrl" value="/login.jsp" />
  3. </bean>

然后在http中配置下

  1. <sec:http access-decision-manager-ref="accessDecisionManager"
  2. entry-point-ref="authenticationEntryPoint">

然后我们来写CaptchaAuthenticationFilter,同样需要继承自UsernamePasswordAuthenticationFilter

  1. public class CaptchaAuthenticationFilter extends UsernamePasswordAuthenticationFilter{
  2. public static final String SPRING_SECURITY_FORM_CAPTCHA_KEY = "j_captcha";
  3. public static final String SESSION_GENERATED_CAPTCHA_KEY = Constant.SESSION_GENERATED_CAPTCHA_KEY;
  4. private String captchaParameter = SPRING_SECURITY_FORM_CAPTCHA_KEY;
  5. public Authentication attemptAuthentication(HttpServletRequest request,
  6. HttpServletResponse response) throws AuthenticationException {
  7. String genCode = this.obtainGeneratedCaptcha(request);
  8. String inputCode = this.obtainCaptcha(request);
  9. if(genCode == null)
  10. throw new CaptchaException(this.messages.getMessage("LoginAuthentication.captchaInvalid"));
  11. if(!genCode.equalsIgnoreCase(inputCode)){
  12. throw new CaptchaException(this.messages.getMessage("LoginAuthentication.captchaNotEquals"));
  13. }
  14. return super.attemptAuthentication(request, response);
  15. }
  16. protected String obtainCaptcha(HttpServletRequest request){
  17. return request.getParameter(this.captchaParameter);
  18. }
  19. protected String obtainGeneratedCaptcha (HttpServletRequest request){
  20. return (String)request.getSession().getAttribute(SESSION_GENERATED_CAPTCHA_KEY);
  21. }
  22. }

在配置文件中配置CaptchaAuthenticationFilter

  1. <bean id="captchaAuthenticaionFilter" class="com.zrhis.system.security.CaptchaAuthenticationFilter">
  2. <property name="authenticationManager" ref="authenticationManager" />
  3. <property name="authenticationFailureHandler" ref="authenticationFailureHandler" />
  4. <property name="authenticationSuccessHandler" ref="authenticationSuccessHandler" />
  5. <property name="filterProcessesUrl" value="/login.do" />
  6. </bean>
  7. <bean id="authenticationSuccessHandler" class="com.zrhis.system.security.SimpleLoginSuccessHandler">
  8. <property name="defaultTargetUrl" value="/WEB-INF/app.jsp"></property>
  9. <property name="forwardToDestination" value="true"></property>
  10. </bean>
  11. <bean id="authenticationFailureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
  12. <property name="defaultFailureUrl" value="/login.jsp" />
  13. </bean>

从配置文件中就可以看出来authenticationManager、authenticationFailureHandler、authenticationSuccessHandler、filterProcessesUrl等都需要我们自行注入了。

filterProcessesUrl定义的是登录验证的地址,默认的是j_spring_security_check这里我们改成login.do

authenticationSuccessHandler中的defaultTargetUrl定义的是登录成功后跳转到的页面

authenticationFailureHandler中的defaultTargetUrl定义的是登录失败后跳转到的页面

我们的首页app.jsp在/WEB-INF下所以需要使用服务器跳转,所以需要将forwardToDestination设为true,因为客户端跳转是不能直接访问WEB-INF下的内容的。

最后在http中将FORM_LOGIN_FILTER替换掉,最终http中完整的配置就变成了下面的内容

  1. <sec:http access-decision-manager-ref="accessDecisionManager"
  2. entry-point-ref="authenticationEntryPoint">
  3. <sec:access-denied-handler ref="accessDeniedHandler"/>
  4. <sec:session-management invalid-session-url="/login.jsp" />
  5. <sec:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
  6. <sec:custom-filter ref="captchaAuthenticaionFilter" position="FORM_LOGIN_FILTER"/>
  7. </sec:http>

custom-filter中before是在这个filter之前,after是之后,position是替换。

这样就可以实现对验证码的验证了,效果如下

Spring Security教程 ---- 验证码功能的实现的更多相关文章

  1. Spring Security教程(五):自定义过滤器从数据库从获取资源信息

    在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资 ...

  2. 临远的spring security教程

    为啥选择Spring Security 欢迎阅读咱们写的Spring Security教程,咱们既不想写一个简单的入门教程,也不想翻译已有的国外教程.咱们这个教程就是建立在咱们自己做的OA的基础上,一 ...

  3. Spring Security 教程 大牛的教程

    https://www.iteye.com/blog/elim-2247073 Spring Security 教程 Spring Security(20)——整合Cas Spring Securit ...

  4. Spring Security教程(八):用户认证流程源码详解

    本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一.用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求 ...

  5. Spring Security教程(三):自定义表结构

    在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项 ...

  6. Spring Security教程(二):通过数据库获得用户权限信息

    上一篇博客中,Spring Security教程(一):初识Spring Security,我把用户信息和权限信息放到了xml文件中,这是为了演示如何使用最小的配置就可以使用Spring Securi ...

  7. [转载]spring security 的 logout 功能

    原文地址:security 的 logout 功能">spring security 的 logout 功能作者:sumnny 转载自:http://lengyun3566.iteye ...

  8. Spring Security教程(三)

    在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项 ...

  9. Spring Security教程(二)

    上一篇博客中,Spring Security教程(一),我把用户信息和权限信息放到了xml文件中,这是为了演示如何使用最小的配置就可以使用Spring Security,而实际开发中,用户信息和权限信 ...

随机推荐

  1. spring-jmx.xml

    <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.sp ...

  2. cocos2d-JS (二)Cocos Creater

    我觉得我们开发使用最新的工具.这对于我们非常有帮助. 由于新的工具有着新的功能,简化了我们开发的模式. 站在巨人的肩膀上~~~~~~~~~~~~~ CocosCreator.最大的两个特点   组件化 ...

  3. 转载:ffmpeg 音视频合成分割

    http://blog.csdn.net/jixiuffff/article/details/5709976 当然先安装了 gentoo 下一条命令搞定 emerge  ffmpeg 格式转换 (将f ...

  4. mysql查询条件字段值末尾有空格的问题

    mark MYSQL的binary解决mysql数据大小写敏感问题的方法

  5. Java Web应用服务器Resin 国内下载

    在做 PHP On Jvm的测试,发现Resin很难下,速度太慢. 下载地址:http://pan.baidu.com/s/1qWyffnY

  6. makefile的选项LDFLAGS和LIBS的区别

    LDFLAGS是选项,LIBS是要链接的库.都是喂给ld的,只不过一个是告诉ld怎么吃,一个是告诉ld要吃什么. 网上不难搜索到上面这段话.不过“告诉ld怎么吃”是什么意思呢? 看看如下选项: LDF ...

  7. ubuntu text mode和图形界面切换

    Ctrl+Alt+F1(或者F2~F6总共可以同时开6个text mode界面并行工作) Ctrl+Alt+F7切换到图形界面

  8. linux中的etc目录

    etc不是什么缩写,是and so on的意思 来源于 法语的 et cetera 翻译成中文就是 等等 的意思. 至于为什么在/etc下面存放配置文件, 按照原始的UNIX的说法(linux文件结构 ...

  9. oralce 术语

    §2.1 术语 l 数据库块(BLOCK) ORACLE 数据库中的最小存储和处理单位,包含块本身的头信息数据或PL/SQL代码. ORACLE 块的大小是可以在安装时选择“自定义安装”来指定,也可以 ...

  10. 文件夹进行MD5校验的实现算法

    每份相同数据(文件夹)都可以生成一份唯一的md5校验文件,我们可以通过直接校验整个数据文件夹的方法来确定数据是否有误. 1.针对整个文件夹生成md5校验文件方法: 以data文件夹为例,我们需要得到d ...