项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821

(一)验证码

首先login.jsp里增加了获取验证码图片的标签:

<body style="margin-left: 500px">

     <h1 style="margin-left: 30px">登录页面----</h1>

     <form action="<%=basePath%>/login" method="post">

         用户名 : <input type="text" name="email" id="email"/><br>

         密码: <input type="password" name="pswd" id="pswd"/><br>

         验证码:<input type="text" name="gifCode" id="gifCode"/>

         <img alt="验证码" src="<%=basePath%>gif/getGifCode"><br>

         <input type="checkbox" name="rememberMe" />记住我<br>

         <input style="margin-left: 100px" type="submit" value="登录"/><input style="left: 50px" onclick="register()" type="button" value="注册"/>

     </form>

     <h1 style="color: red">${message }</h1>

</body>

获取图片是请求后台,所以需要在shiro配置类中配置该url可以直接匿名访问:

/**

     * 加载ShiroFilter权限控制规则

     */

    private void loadShiroFilterChain(ShiroFilterFactoryBean factoryBean) {

        /**下面这些规则配置最好配置到配置文件中*/

        Map<String, String> filterChainMap = new LinkedHashMap<String, String>();

        //配置记住我或认证通过可以访问的地址

        filterChainMap.put("/index", "user");

        filterChainMap.put("/", "user");

        /** authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器

         * org.apache.shiro.web.filter.authc.FormAuthenticationFilter */

        //filterChainMap.put("/tUser", "authc");//输入http://localhost:8080/myEra/tUser会跳到登录页面

        //filterChainMap.put("/tUser/edit/**", "authc,perms[user:edit]");

        // anon:它对应的过滤器里面是空的,什么都没做,可以理解为不拦截

        //authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问

        filterChainMap.put("/permission/userInsert", "anon");

        filterChainMap.put("/error", "anon");

        filterChainMap.put("/tUser/insert","anon");

        filterChainMap.put("/gif/getGifCode","anon");

        filterChainMap.put("/**", "authc");

        factoryBean.setFilterChainDefinitionMap(filterChainMap);

}

中的filterChainMap.put("/gif/getGifCode","anon");

后台返回验证码前需把该验证码放入session中:

@Controller

@RequestMapping("gif")

public class GifCodeController {

    /**

     * 获取验证码(Gif版本)

     * @param response

     */

    @RequestMapping(value="/getGifCode",method= RequestMethod.GET)

    public void getGifCode(HttpServletResponse response, HttpServletRequest request){

        try {

            response.setHeader("Pragma", "No-cache");

            response.setHeader("Cache-Control", "no-cache");

            response.setDateHeader("Expires", 0);

            response.setContentType("image/gif");

            /**

             * gif格式动画验证码

             * 宽,高,位数。

             */

            Captcha captcha = new GifCaptcha(146,33,4);

            //输出

            captcha.out(response.getOutputStream());

            HttpSession session = request.getSession(true);

            //存入Session

            session.setAttribute("gifCode",captcha.text().toLowerCase());

        } catch (Exception e) {

            System.err.println("获取验证码异常:"+e.getMessage());

        }

    }

}

这里生成验证码的类可以在我的项目里找到。

进入后台登录方法后,直接传入String类型的参数,需要把输入的验证码和session中保存的验证码对比:

@RequestMapping(value="/login",method=RequestMethod.POST)

    public String login(@Valid User user, boolean rememberMe,String gifCode,

                        BindingResult bindingResult, RedirectAttributes redirectAttributes){

        if(bindingResult.hasErrors()){

            return "redirect:login";

        }

        String email = user.getEmail();

        if(StringUtils.isBlank(user.getEmail()) || StringUtils.isBlank(user.getPswd())){

            logger.info("用户名或密码为空! ");

            redirectAttributes.addFlashAttribute("message", "用户名或密码为空!");

            return "redirect:login";

        }

        //判断验证码

        if(StringUtils.isBlank(gifCode)){

            logger.info("验证码为空了!");

            redirectAttributes.addFlashAttribute("message", "验证码不能为空!");

            return "redirect:login";

        }

        Session session = SecurityUtils.getSubject().getSession();

        String code = (String) session.getAttribute("gifCode");

        if(!gifCode.equalsIgnoreCase(code)){

            logger.info("验证码错误!");

            redirectAttributes.addFlashAttribute("message", "验证码错误!");

            return "redirect:login";

        }

        //对密码进行加密后验证

        UsernamePasswordToken token = new UsernamePasswordToken(user.getEmail(), CommonUtils.encrypt(user.getPswd()),rememberMe);

        //获取当前的Subject

        Subject currentUser = SecurityUtils.getSubject();

        try {

            //在调用了login方法后,SecurityManager会收到AuthenticationToken,并将其发送给已配置的Realm执行必须的认证检查

            //每个Realm都能在必要时对提交的AuthenticationTokens作出反应

            //所以这一步在调用login(token)方法时,它会走到MyRealm.doGetAuthenticationInfo()方法中,具体验证方式详见此方法

            logger.info("对用户[" + email + "]进行登录验证..验证开始");

            currentUser.login(token);

            logger.info("对用户[" + email + "]进行登录验证..验证通过");

        }catch(UnknownAccountException uae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,未知账户");

            redirectAttributes.addFlashAttribute("message", "未知账户");

        }catch(IncorrectCredentialsException ice){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,错误的凭证");

            redirectAttributes.addFlashAttribute("message", "密码不正确");

        }catch(LockedAccountException lae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,账户已锁定");

            redirectAttributes.addFlashAttribute("message", "账户已锁定");

        }catch(ExcessiveAttemptsException eae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,错误次数大于5次,账户已锁定");

            redirectAttributes.addFlashAttribute("message", "用户名或密码错误次数大于5次,账户已锁定");

        }catch (DisabledAccountException sae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,帐号已经禁止登录");

            redirectAttributes.addFlashAttribute("message", "帐号已经禁止登录");

        }catch(AuthenticationException ae){

            //通过处理Shiro的运行时AuthenticationException就可以控制用户登录失败或密码错误时的情景

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,堆栈轨迹如下");

            ae.printStackTrace();

            redirectAttributes.addFlashAttribute("message", "用户名或密码不正确");

        }

        //验证是否登录成功

        if(currentUser.isAuthenticated()){

            logger.info("用户[" + email + "]登录认证通过(这里可以进行一些认证通过后的一些系统参数初始化操作)");

            //把当前用户放入session

            User tUser = permissionService.findByUserEmail(email);

            session.setAttribute("currentUser",tUser);

            return "/welcome";

        }else{

            token.clear();

            return "redirect:login";

        }

        // 此方法不处理登陆成功(认证成功),shiro认证成功会自动跳转到上一个请求路径

        // 登陆失败还到login页面

       // return "login";

}

页面展示:

当用户验证码输错提示:

(二)登录次数限制
使用redis缓存存储登录的次数,当用户成功登录后,清空该次数:

@Autowired

    private StringRedisTemplate stringRedisTemplate;

    //用户登录次数计数  redisKey 前缀

    private String SHIRO_LOGIN_COUNT = "shiro_login_count_";

    //用户登录是否被锁定    一小时 redisKey 前缀

    private String SHIRO_IS_LOCK = "shiro_is_lock_";

    @RequestMapping(value="/login",method=RequestMethod.POST)

    public String login(@Valid User user, boolean rememberMe,String gifCode,

                        BindingResult bindingResult, RedirectAttributes redirectAttributes){

        if(bindingResult.hasErrors()){

            return "redirect:login";

        }

        String email = user.getEmail();

        if(StringUtils.isBlank(user.getEmail()) || StringUtils.isBlank(user.getPswd())){

            logger.info("用户名或密码为空! ");

            redirectAttributes.addFlashAttribute("message", "用户名或密码为空!");

            return "redirect:login";

        }

        //判断验证码

        if(StringUtils.isBlank(gifCode)){

            logger.info("验证码为空了!");

            redirectAttributes.addFlashAttribute("message", "验证码不能为空!");

            return "redirect:login";

        }

        Session session = SecurityUtils.getSubject().getSession();

        String code = (String) session.getAttribute("gifCode");

        if(!gifCode.equalsIgnoreCase(code)){

            logger.info("验证码错误!");

            redirectAttributes.addFlashAttribute("message", "验证码错误!");

            return "redirect:login";

        }

        logger.info("进行登录次数验证");

        //访问一次,计数一次

        ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();

        if ("LOCK".equals(opsForValue.get(SHIRO_IS_LOCK+email))){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,错误次数大于5次,账户已锁定");

            redirectAttributes.addFlashAttribute("message", "用户名或密码错误次数大于5次,账户已锁定");

            return "redirect:login";

        }

        opsForValue.increment(SHIRO_LOGIN_COUNT+email, 1);

        //计数大于3时,设置用户被锁定一小时

        if(Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT+email))>=5){

            opsForValue.set(SHIRO_IS_LOCK+email, "LOCK");

            stringRedisTemplate.expire(SHIRO_IS_LOCK+email, 1, TimeUnit.HOURS);

        }

        //对密码进行加密后验证

        UsernamePasswordToken token = new UsernamePasswordToken(user.getEmail(), CommonUtils.encrypt(user.getPswd()),rememberMe);

        //获取当前的Subject

        Subject currentUser = SecurityUtils.getSubject();

        try {

            //在调用了login方法后,SecurityManager会收到AuthenticationToken,并将其发送给已配置的Realm执行必须的认证检查

            //每个Realm都能在必要时对提交的AuthenticationTokens作出反应

            //所以这一步在调用login(token)方法时,它会走到MyRealm.doGetAuthenticationInfo()方法中,具体验证方式详见此方法

            logger.info("对用户[" + email + "]进行登录验证..验证开始");

            currentUser.login(token);

            logger.info("对用户[" + email + "]进行登录验证..验证通过");

        }catch(UnknownAccountException uae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,未知账户");

            redirectAttributes.addFlashAttribute("message", "未知账户");

        }catch(IncorrectCredentialsException ice){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,错误的凭证");

            redirectAttributes.addFlashAttribute("message", "密码不正确");

        }catch(LockedAccountException lae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,账户已锁定");

            redirectAttributes.addFlashAttribute("message", "账户已锁定");

        }catch(ExcessiveAttemptsException eae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,错误次数大于5次,账户已锁定");

            redirectAttributes.addFlashAttribute("message", "用户名或密码错误次数大于5次,账户已锁定");

        }catch (DisabledAccountException sae){

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,帐号已经禁止登录");

            redirectAttributes.addFlashAttribute("message", "帐号已经禁止登录");

        }catch(AuthenticationException ae){

            //通过处理Shiro的运行时AuthenticationException就可以控制用户登录失败或密码错误时的情景

            logger.info("对用户[" + email + "]进行登录验证..验证未通过,堆栈轨迹如下");

            ae.printStackTrace();

            redirectAttributes.addFlashAttribute("message", "用户名或密码不正确");

        }

        //验证是否登录成功

        if(currentUser.isAuthenticated()){

            logger.info("用户[" + email + "]登录认证通过(这里可以进行一些认证通过后的一些系统参数初始化操作)");

            //清空登录计数

            opsForValue.set(SHIRO_LOGIN_COUNT+email, "0");

            //设置未锁定状态

            opsForValue.set(SHIRO_IS_LOCK+email,"UNLOCK");

            //把当前用户放入session

            User tUser = permissionService.findByUserEmail(email);

            session.setAttribute("currentUser",tUser);

            return "/welcome";

        }else{

            token.clear();

            return "redirect:login";

        }

        // 此方法不处理登陆成功(认证成功),shiro认证成功会自动跳转到上一个请求路径

        // 登陆失败还到login页面

       // return "login";

}

当用户名或密码输错5次后,提示:

验证码和登录次数功能参考博客:http://z77z.oschina.io/

SpringBoot学习:整合shiro(验证码功能和登录次数限制功能)的更多相关文章

  1. SpringBoot:整合Shiro

    目录 1.Shiro简介 1.1.什么是Shiro? 1.2.有哪些功能 1.3.Shiro架构(外部) 1.4.Shiro架构(内部) 2.HelloWorld 3.Shiro整合Spring Bo ...

  2. springboot学习笔记-5 springboot整合shiro

    shiro是一个权限框架,具体的使用可以查看其官网 http://shiro.apache.org/  它提供了很方便的权限认证和登录的功能. 而springboot作为一个开源框架,必然提供了和sh ...

  3. SpringBoot学习- 8、整合Shiro

    SpringBoot学习足迹 Shiro是什么,引自百度百科:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.使用Shiro的易于理解的API,您可以快 ...

  4. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期

    写在前面 通过前几篇文章的学习,我们从大体上了解了shiro关于认证和授权方面的应用.在接下来的文章当中,我将通过一个demo,带领大家搭建一个SpringBoot整合Shiro的一个项目开发脚手架, ...

  5. SpringBoot 整合 Shiro 密码登录与邮件验证码登录(多 Realm 认证)

    导入依赖(pom.xml)  <!--整合Shiro安全框架--> <dependency> <groupId>org.apache.shiro</group ...

  6. SpringBoot学习:整合shiro(rememberMe记住我后自动登录session失效解决办法)

    项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 定义一个拦截器,判断用户是通过记住我登录时,查询数据库后台自动登录,同时把用户放入ses ...

  7. springboot整合Shiro功能案例

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  8. SpringBoot整合Shiro实现权限控制,验证码

    本文介绍 SpringBoot 整合 shiro,相对于 Spring Security 而言,shiro 更加简单,没有那么复杂. 目前我的需求是一个博客系统,有用户和管理员两种角色.一个用户可能有 ...

  9. springboot系列(十)springboot整合shiro实现登录认证

    关于shiro的概念和知识本篇不做详细介绍,但是shiro的概念还是需要做做功课的要不无法理解它的运作原理就无法理解使用shiro: 本篇主要讲解如何使用shiro实现登录认证,下篇讲解使用shiro ...

随机推荐

  1. iOS 人机交互指导方针(iOS Human Interface Guidelines)

    iOS 人机交互指导方针(iOS Human Interface Guidelines) 太阳火神的漂亮人生 (http://blog.csdn.net/opengl_es) 本文遵循"署名 ...

  2. 三.Shell脚本提取文件名称和所在的目录

    一·简介 提取文件名称或者目录,一般都会使用到#,##,%和%%,但是他们的区别很容易记混淆了.在一下4种方式中,目标匹配字符是不在结果中. #:表示从左开始算起,并且截取第一个匹配的字符 ##:表示 ...

  3. 检测Android和IOS

    var u=navigator.userAgent; var isAndroid=u.indexOf('Android') > -1 || u.indexOf('Adr') > -1; / ...

  4. 全新释放 | RealSight APM, 让客户的极致数字体验成为可能

    根据专业评测机构 downdetector.com 统计,2018年,Facebook 系统全年宕机 200 次,Youtube 宕机  140 次,Google 宕机 100 次.每次宕机损失至少 ...

  5. webservice和wcf和web.api简单介绍

    转自:无废话的wcf等等 在.net平台下,有大量的技术让你创建一个HTTP服务,像Web Service,WCF,现在又出了Web API.在.net平台下,你有很多的选择来构建一个HTTP Ser ...

  6. Comparable 接口的使用

    //学生类 package test; public class Student implements Comparable<Student>{ private int age; priv ...

  7. [LuoguP2900] [USACO08MAR]土地征用(Land Acquisition)

    土地征用 (Link) 约翰准备扩大他的农场,眼前他正在考虑购买N块长方形的土地.如果约翰单买一块土 地,价格就是土地的面积.但他可以选择并购一组土地,并购的价格为这些土地中最大的长 乘以最大的宽.比 ...

  8. unittest单元测试框架之unittest 框架的总结(七)

    1. Unittest 是 python 自带的单元测试框架,可以用其作为自动化框架来组织测试用例(测 试用例的执行顺序)的执行. 2. Unittest 框架的流程: 写好 TestCase 通过 ...

  9. day 03 --Haproxy 增加, 删除,查询

    key 知识点:函数的定义, 函数的递归调用, flag 标志位的使用,eval() 函数 #!C:\Program Files\Python35\bin # -*- conding:utf-8 -* ...

  10. Epub 阅读器 - iOS

    因项目需求接触的 EPub 阅读器,前前后后尝试了很多库,最后找到了个相对兼容不错的展开了调试;其中对解压缩和数据加载方面进行了改造优化,使其更加的完美; 其大概原理是首先将 epub 文件解压后得到 ...