Shiro学习（22）集成验证码

在做用户登录功能时，非常多时候都须要验证码支持，验证码的目的是为了防止机器人模拟真有用户登录而恶意訪问，如暴力破解用户password/恶意评论等。

眼下也有一些验证码比較简单，通过一些OCR工具就能够解析出来。另外另一些验证码比較复杂（一般通过如扭曲、加线条/噪点等干扰）防止OCR工具识别。可是在中国就是人多。机器干不了的能够交给人来完毕，所以在中国就有非常多打码平台。人工识别验证码；因此即使比較复杂的如填字、算数等类型的验证码还是能识别的。所以验证码也不是绝对可靠的，眼下比較可靠还是手机验证码，可是对于用户来说相对于验证码还是比較麻烦的。

对于验证码图片的生成。能够自己通过如Java提供的图像API自己去生成，也能够借助如JCaptcha这样的开源Java类库生成验证码图片；JCaptcha提供了常见的如扭曲、加噪点等干扰支持。本章代码基于《第十六章 综合实例》。

一、加入JCaptcha依赖

Java代码  

1. </version>
2. </version>
3. <exclusions>
4. <exclusion>
5. <artifactId>servlet-api</artifactId>
6. <groupId>javax.servlet</groupId>
7. </exclusion>
8. </exclusions>
9. </dependency>

com.octo.captcha . jcaptcha 提供了jcaptcha 核心；而jcaptcha-integration-simple-servlet提供了与Servlet集成。

二、GMailEngine

来自https://code.google.com/p/musicvalley/source/browse/trunk/musicvalley/doc/springSecurity/springSecurityIII/src/main/java/com/spring/security/jcaptcha/GMailEngine.java?spec=svn447&r=447（眼下无法訪问了），仿照JCaptcha2.0编写类似GMail验证码的样式；详细请參考com.github.zhangkaitao.shiro.chapter22.jcaptcha.GMailEngine。

三、MyManageableImageCaptchaService

提供了推断仓库中是否有对应的验证码存在。

Java代码  

1. public class MyManageableImageCaptchaService extends
2. DefaultManageableImageCaptchaService {
3. public MyManageableImageCaptchaService(
4. com.octo.captcha.service.captchastore.CaptchaStore captchaStore,
5. com.octo.captcha.engine.CaptchaEngine captchaEngine,
6. int minGuarantedStorageDelayInSeconds,
7. int maxCaptchaStoreSize,
8. int captchaStoreLoadBeforeGarbageCollection) {
9. super(captchaStore, captchaEngine, minGuarantedStorageDelayInSeconds,
10. maxCaptchaStoreSize, captchaStoreLoadBeforeGarbageCollection);
11. }
12. public boolean hasCapcha(String id, String userCaptchaResponse) {
13. return store.getCaptcha(id).validateResponse(userCaptchaResponse);
14. }
15. }

四、JCaptcha工具类

提供对应的API来验证当前请求输入的验证码是否正确。

Java代码  

1. , , );
2. public static boolean validateResponse(
3. HttpServletRequest request, String userCaptchaResponse) {
4. if (request.getSession(false) == null) return false;
5. boolean validated = false;
6. try {
7. String id = request.getSession().getId();
8. validated =
9. captchaService.validateResponseForID(id, userCaptchaResponse)
10. .booleanValue();
11. } catch (CaptchaServiceException e) {
12. e.printStackTrace();
13. }
14. return validated;
15. }
16. public static boolean hasCaptcha(
17. HttpServletRequest request, String userCaptchaResponse) {
18. if (request.getSession(false) == null) return false;
19. boolean validated = false;
20. try {
21. String id = request.getSession().getId();
22. validated = captchaService.hasCapcha(id, userCaptchaResponse);
23. } catch (CaptchaServiceException e) {
24. e.printStackTrace();
25. }
26. return validated;
27. }
28. }

validateResponse()：验证当前请求输入的验证码否正确；并从CaptchaService中删除已经生成的验证码；

hasCaptcha()：验证当前请求输入的验证码是否正确；但不从CaptchaService中删除已经生成的验证码（比方Ajax验证时能够使用。防止多次生成验证码）；

五、JCaptchaFilter

用于生成验证码图片的过滤器。

Java代码  

1. public class JCaptchaFilter extends OncePerRequestFilter {
2. protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
3. response.setDateHeader("Expires", 0L);
4. response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate");
5. response.addHeader("Cache-Control", "post-check=0, pre-check=0");
6. response.setHeader("Pragma", "no-cache");
7. response.setContentType("image/jpeg");
8. String id = request.getRequestedSessionId();
9. BufferedImage bi = JCaptcha.captchaService.getImageChallengeForID(id);
10. ServletOutputStream out = response.getOutputStream();
11. ImageIO.write(bi, "jpg", out);
12. try {
13. out.flush();
14. } finally {
15. out.close();
16. }
17. }
18. }

CaptchaService使用当前会话ID当作key获取对应的验证码图片；另外须要设置响应内容不进行浏览器端缓存。

Java代码  

1. <!-- 验证码过滤器须要放到Shiro之后 由于Shiro将包装HttpSession 假设不。可能造成两次的sesison id 不一样 -->
2. <filter>
3. <filter-name>JCaptchaFilter</filter-name>
4. <filter-class>
5. com.github.zhangkaitao.shiro.chapter22.jcaptcha.JCaptchaFilter
6. </filter-class>
7. </filter>
8. <filter-mapping>
9. <filter-name>JCaptchaFilter</filter-name>
10. <url-pattern>/jcaptcha.jpg</url-pattern>
11. </filter-mapping>

这样就能够在页面使用/jcaptcha.jpg地址显示验证码图片。

六、JCaptchaValidateFilter

用于验证码验证的Shiro过滤器。

Java代码  

1. public class JCaptchaValidateFilter extends AccessControlFilter {
2. private boolean jcaptchaEbabled = true;//是否开启验证码支持
3. private String jcaptchaParam = "jcaptchaCode";//前台提交的验证码參数名
4. private String failureKeyAttribute = "shiroLoginFailure"; //验证失败后存储到的属性名
5. public void setJcaptchaEbabled(boolean jcaptchaEbabled) {
6. this.jcaptchaEbabled = jcaptchaEbabled;
7. }
8. public void setJcaptchaParam(String jcaptchaParam) {
9. this.jcaptchaParam = jcaptchaParam;
10. }
11. public void setFailureKeyAttribute(String failureKeyAttribute) {
12. this.failureKeyAttribute = failureKeyAttribute;
13. }
14. protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
15. //1、设置验证码是否开启属性，页面能够依据该属性来决定是否显示验证码
16. request.setAttribute("jcaptchaEbabled", jcaptchaEbabled);
17. HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
18. //2、推断验证码是否禁用 或不是表单提交（同意訪问）
19. if (jcaptchaEbabled == false || !"post".equalsIgnoreCase(httpServletRequest.getMethod())) {
20. return true;
21. }
22. //3、此时是表单提交。验证验证码是否正确
23. return JCaptcha.validateResponse(httpServletRequest, httpServletRequest.getParameter(jcaptchaParam));
24. }
25. protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
26. //假设验证码失败了。存储失败key属性
27. request.setAttribute(failureKeyAttribute, "jCaptcha.error");
28. return true;
29. }
30. }

七、MyFormAuthenticationFilter

用于验证码验证的Shiro拦截器在用于身份认证的拦截器之前执行；可是假设验证码验证拦截器失败了。就不须要进行身份认证拦截器流程了；所以须要改动下如FormAuthenticationFilter身份认证拦截器，当验证码验证失败时不再走身份认证拦截器。

Java代码  

1. public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
2. protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
3. if(request.getAttribute(getFailureKeyAttribute()) != null) {
4. return true;
5. }
6. return super.onAccessDenied(request, response, mappedValue);
7. }
8. }

即假设之前已经错了，那直接跳过就可以。

八、spring-config-shiro.xml

Java代码  

1. <!-- 基于Form表单的身份验证过滤器 -->
2. <bean id="authcFilter"
3. class="com.github.zhangkaitao.shiro.chapter22.jcaptcha.MyFormAuthenticationFilter">
4. <property name="usernameParam" value="username"/>
5. <property name="passwordParam" value="password"/>
6. <property name="rememberMeParam" value="rememberMe"/>
7. <property name="failureKeyAttribute" value="shiroLoginFailure"/>
8. </bean>
9. <bean id="jCaptchaValidateFilter"
10. class="com.github.zhangkaitao.shiro.chapter22.jcaptcha.JCaptchaValidateFilter">
11. <property name="jcaptchaEbabled" value="true"/>
12. <property name="jcaptchaParam" value="jcaptchaCode"/>
13. <property name="failureKeyAttribute" value="shiroLoginFailure"/>
14. </bean>
15. <!-- Shiro的Web过滤器 -->
16. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
17. <property name="securityManager" ref="securityManager"/>
18. <property name="loginUrl" value="/login"/>
19. <property name="filters">
20. <util:map>
21. <entry key="authc" value-ref="authcFilter"/>
22. <entry key="sysUser" value-ref="sysUserFilter"/>
23. <entry key="jCaptchaValidate" value-ref="jCaptchaValidateFilter"/>
24. </util:map>
25. </property>
26. <property name="filterChainDefinitions">
27. <value>
28. /static/** = anon
29. /jcaptcha* = anon
30. /login = jCaptchaValidate,authc
31. /logout = logout
32. /authenticated = authc
33. /** = user,sysUser
34. </value>
35. </property>
36. </bean>

九、login.jsp登录页面

Java代码  

1. <c:if test="${jcaptchaEbabled}">
2. 验证码：
3. <input type="text" name="jcaptchaCode">
4. <img class="jcaptcha-btn jcaptcha-img"
5. src="${pageContext.request.contextPath}/jcaptcha.jpg" title="点击更换验证码">
6. <a class="jcaptcha-btn" href="javascript:;">换一张</a>
7. <br/>
8. </c:if>

依据jcaptchaEbabled来显示验证码图片。

十、測试

输入http://localhost:8080/chapter22将重定向到登录页面。输入正确的username/password/验证码就可以成功登录，假设输入错误的验证码，将显示验证码错误页面：

演示样例源码：https://github.com/zhangkaitao/shiro-example

本文借鉴于：http://jinnianshilongnian.iteye.com/blog/2046041