思路
shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。

需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。

自定义FormAuthenticationFilter

package com.example.config.shiro;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpSession;

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter{

    @Override

    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        // 在这里进行验证码的校验

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        HttpSession session = httpServletRequest.getSession();  

        // 取出验证码

        String validateCode = (String) session.getAttribute("validateCode");

        // 取出页面的验证码

        // 输入的验证和session中的验证进行对比

        String randomcode = httpServletRequest.getParameter("randomcode");

        if (randomcode != null && validateCode != null && !randomcode.equals(validateCode)) {

            // 如果校验失败,将验证码错误失败信息,通过shiroLoginFailure设置到request中

            httpServletRequest.setAttribute("shiroLoginFailure", "kaptchaValidateFailed");//自定义登录异常

            // 拒绝访问,不再校验账号和密码

            return true;

        }

        return super.onAccessDenied(request, response);

    }

}

在ShiroConfiguration.java中的shiroFilter方法注入自定义FormAuthenticationFilter

@Bean

    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

        System.out.println("ShiroConfiguration.shiroFilter()");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();//获取filters

        filters.put("authc", new CustomFormAuthenticationFilter());//将自定义 的FormAuthenticationFilter注入shiroFilter中

        // 必须设置SecuritManager

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 拦截器

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        // 配置退出过滤器,其中的具体代码Shiro已经替我们实现了

        filterChainDefinitionMap.put("/logout", "logout");

        //验证码可以匿名访问

        filterChainDefinitionMap.put("/validatecodeServlet", "anon");

        //配置记住我或认证通过可以访问的地址

        filterChainDefinitionMap.put("/index", "user");

        filterChainDefinitionMap.put("/", "user");

        // <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->

        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面

        shiroFilterFactoryBean.setLoginUrl("/login");

        // 登录成功后要跳转的链接

        shiroFilterFactoryBean.setSuccessUrl("/index");

        // 未授权界面;

        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        shiroFilterFactoryBean

                .setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();//获取filters
filters.put("authc", new CustomFormAuthenticationFilter());//将自定义 的FormAuthenticationFilter注入shiroFilter中

登录方法加入自定义的异常kaptchaValidateFailed

@RequestMapping(value = "/login", method = RequestMethod.POST)

    public String login(HttpServletRequest request, Map<String, Object> map) {

        System.out.println("HomeController.login");

        // 登录失败从request中获取shiro处理的异常信息

        // shiroLoginFailure:就是shiro异常类的全类名

        String exception = (String) request.getAttribute("shiroLoginFailure");

        String msg = "";

        if (exception != null) {

            if (UnknownAccountException.class.getName().equals(exception)) {

                System.out.println("UnknownAccountException -->帐号不存在:");

                msg = "UnknownAccountException -->帐号不存在:";

            } else if (IncorrectCredentialsException.class.getName().equals(exception)) {

                System.out.println("IncorrectCredentialsException -- > 密码不正确:");

                msg = "IncorrectCredentialsException -- > 密码不正确:";

            } else if ("kaptchaValidateFailed".equals(exception)) {

                System.out.println("kaptchaValidateFailed -- > 验证码错误");

                msg = "kaptchaValidateFailed -- > 验证码错误";

            } else {

                msg = "else >> " + exception;

                System.out.println("else -- >" + exception);

            }

        }

        map.put("msg", msg);

        // 此方法不处理登录成功,由shiro进行处理.

        return "/login";

    }

login.html

<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"

      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">

<head>

<meta charset="UTF-8" />

<title>Insert title here</title>

</head>

<body>

            错误信息:<h4 th:text="${msg}"></h4>

       <form action="" method="post">

           <p>账号:<input type="text" name="username" value="admin"/></p>

           <p>密码:<input type="text" name="password" value="123456"/></p>

           <p>验证码:<input type="text" name="randomcode"/>

           <img th:src="@{/validatecodeServlet}" height="20px" width="60px" onclick="random(this)"/></p>

           <P><input type="checkbox" name="rememberMe" />记住我</P>

           <p><input type="submit" value="登录"/></p>

       </form>

       <script th:inline="javascript">

          function random(tmp){

               tmp.src="/validatecodeServlet?rnd="+Math.random();

          }

       </script>

</body>

</html>

验证码Servlet

package com.example.servlet;

import java.awt.Color;

import java.awt.Font;

import java.awt.Graphics;

import java.awt.image.BufferedImage;

import java.io.IOException;

import java.io.OutputStream;

import java.util.Random;

import javax.imageio.ImageIO;

import javax.servlet.ServletException;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

@WebServlet(urlPatterns="/validatecodeServlet")

public class ValidatecodeServlet extends HttpServlet{

     /**

     *

     */

    private static final long serialVersionUID = 1L;

    @Override

        protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

            System.out.println(">>>>>>>>>>doGet()<<<<<<<<<<<");

            doPost(req, resp);

        }  

        @Override

        protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

            System.out.println(">>>>>>>>>>doPost()<<<<<<<<<<<");

            int width = 60;

            int height = 32;

            //create the image

            BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

            Graphics g = image.getGraphics();

            // set the background color

            g.setColor(new Color(0xDCDCDC));

            g.fillRect(0, 0, width, height);

            // draw the border

            g.setColor(Color.black);

            g.drawRect(0, 0, width - 1, height - 1);

            // create a random instance to generate the codes

            Random rdm = new Random();

            String hash1 = Integer.toHexString(rdm.nextInt());

            System.out.print(hash1);

            // make some confusion

            for (int i = 0; i < 50; i++) {

                int x = rdm.nextInt(width);

                int y = rdm.nextInt(height);

                g.drawOval(x, y, 0, 0);

            }

            // generate a random code

            String capstr = hash1.substring(0, 4);

            HttpSession session = req.getSession(true);

            //将生成的验证码存入session

            session.setAttribute("validateCode", capstr);

            g.setColor(new Color(0, 100, 0));

            g.setFont(new Font("Candara", Font.BOLD, 24));

            g.drawString(capstr, 8, 24);

            g.dispose();

            //输出图片

            resp.setContentType("image/jpeg");

            OutputStream strm = resp.getOutputStream();

            ImageIO.write(image, "jpeg", strm);

            strm.close();   

        }

}

Application.java

package com.example;  

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan

@SpringBootApplication

public class Application {

     public static void main(String[] args) {

        SpringApplication.run(Application.class, args);

    }

}

Spring Boot Shiro权限管理--自定义 FormAuthenticationFilter验证码整合的更多相关文章

  1. (39.2). Spring Boot Shiro权限管理【从零开始学Spring Boot】

    (本节提供源代码,在最下面可以下载) (4). 集成Shiro 进行用户授权 在看此小节前,您可能需要先看: http://412887952-qq-com.iteye.com/blog/229973 ...

  2. (39.1) Spring Boot Shiro权限管理【从零开始学Spring Boot】

    (本节提供源代码,在最下面可以下载)距上一个章节过了二个星期了,最近时间也是比较紧,一直没有时间可以写博客,今天难得有点时间,就说说Spring Boot如何集成Shiro吧.这个章节会比较复杂,牵涉 ...

  3. Spring Boot Shiro 权限管理

    Spring Boot Shiro 权限管理 标签: springshiro 2016-01-14 23:44 94587人阅读 评论(60) 收藏 举报 .embody{ padding:10px ...

  4. (39.4) Spring Boot Shiro权限管理【从零开始学Spring Boot】

    在读此文章之前您还可能需要先了解: (39.1) Spring Boot Shiro权限管理[从零开始学Spring Boot] http://412887952-qq-com.iteye.com/b ...

  5. (39.3) Spring Boot Shiro权限管理【从零开始学Spring Boot】

    在学习此小节之前您可能还需要学习: (39.1) Spring Boot Shiro权限管理[从零开始学Spring Boot] http://412887952-qq-com.iteye.com/b ...

  6. Spring Boot Shiro 权限管理 【转】

    http://blog.csdn.net/catoop/article/details/50520958 主要用于备忘 本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro ...

  7. 十、 Spring Boot Shiro 权限管理

    使用Shiro之前用在spring MVC中,是通过XML文件进行配置. 将Shiro应用到Spring Boot中,本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下. 先简 ...

  8. 19. Spring Boot Shiro 权限管理

    转自:https://blog.csdn.net/catoop/article/details/50520958

  9. Spring boot security权限管理集成cas单点登录

    挣扎了两周,Spring security的cas终于搞出来了,废话不多说,开篇! Spring boot集成Spring security本篇是使用spring security集成cas,因此,先 ...

随机推荐

  1. CSS display:none和visibility:hidden区别

    你知道CSSdisplay:none和visibility:hidden的区别吗,这里和大家分享一下,使用CSS display:none属性后,HTML元素(对象)的宽度.高度等各种属性值都将&qu ...

  2. AFNetworking 3.0修改指南

    AFNetworking是一款在OS X和iOS下都令人喜爱的网络库.为了迎合iOS新版本的升级, AFNetworking在3.0版本中删除了基于NSURLConnectionAPI的所有支持.如果 ...

  3. Spring课程 Spring入门篇 3-2 Spring bean装配(上)之bean的生命周期

    课程链接: 本节主要讲了三大块内容 1 bean的生命周期概念 2 bean的初始化和销毁的三种方式对比(代码演练) 3 总结 1 bean的生命周期概念 1.1 bean的定义:xml中关于bean ...

  4. vue-计算属性不能直接修改

    今天在开发的时候,遇到一个问题: 数据如下: data(){ queryCouponList : [] // 通过接口,会更新该数据 } , computed : { couponList () { ...

  5. mac笔记本上的工具

    svn可是换工具:cornerstone host修改工具:switchHosts!

  6. CSS3伪类使用方法实例

    有时候在网页设计中会涉及到很多看上去很繁琐的设计图,这时候都会很让人头疼,那么这时候伪类就可以来帮助你解决问题了. 下面有一段实例大家可以参考一下: <!DOCTYPE html> < ...

  7. SpringCloud的学习记录(4)

    本篇基于上一篇写的, 在git上更改配置后, eureka-client如何更新. 我们只需要在配置文件中配置 spring-cloud-starter-bus-amqp; 这就是说我们需要装rabb ...

  8. [SVN]TortoiseSVN工具培训5─常见问题解决

    1.文件提交时状态异常 产生原因:操作不当 解决方法:使用SVN的clean up命令 2.权限不足 产生原因:当前用户权限不足 解决方法:找配置管理员申请权限 3.网络故障 产生原因:无法访问到配置 ...

  9. Linux命令之创建文件夹3

    1)mkdir  fyr即可在当前目录下创建一个文件夹 2)在fyr文件夹下创建一个子目录 mkdir fyr/fyr1 注意:如果不存在父层目录直接创建对应父层目录下的子目录mkdir  FYR/f ...

  10. 2017.10.26 JavaWeb----第五章 JavaBean技术

    JavaWeb----第五章 JavaBean技术 (1)JavaBean技术 JavaBean技术是javaweb程序的重要组成部分,是一个可重复使用的软件组件,是用Java语言编写的.遵循一定的标 ...