鍍金池/ 教程/ Java/ 集成驗(yàn)證碼
綜合實(shí)例
JSP 標(biāo)簽
集成驗(yàn)證碼
在線會(huì)話管理
身份驗(yàn)證
攔截器機(jī)制
編碼/加密
INI 配置
單點(diǎn)登錄
并發(fā)登錄人數(shù)控制
OAuth2 集成
動(dòng)態(tài) URL 權(quán)限控制
Realm 及相關(guān)對(duì)象
多項(xiàng)目集中權(quán)限管理及分布式會(huì)話
授予身份及切換身份
RememberMe
會(huì)話管理
與 Spring集成
與 Web 集成
緩存機(jī)制
簡(jiǎn)介
授權(quán)
SSL
無(wú)狀態(tài) Web 應(yīng)用集成

集成驗(yàn)證碼

在做用戶登錄功能時(shí),很多時(shí)候都需要驗(yàn)證碼支持,驗(yàn)證碼的目的是為了防止機(jī)器人模擬真實(shí)用戶登錄而惡意訪問(wèn),如暴力破解用戶密碼 / 惡意評(píng)論等。目前也有一些驗(yàn)證碼比較簡(jiǎn)單,通過(guò)一些 OCR 工具就可以解析出來(lái);另外還有一些驗(yàn)證碼比較復(fù)雜(一般通過(guò)如扭曲、加線條 / 噪點(diǎn)等干擾)防止 OCR 工具識(shí)別;但是在中國(guó)就是人多,機(jī)器干不了的可以交給人來(lái)完成,所以在中國(guó)就有很多打碼平臺(tái),人工識(shí)別驗(yàn)證碼;因此即使比較復(fù)雜的如填字、算數(shù)等類型的驗(yàn)證碼還是能識(shí)別的。所以驗(yàn)證碼也不是絕對(duì)可靠的,目前比較可靠還是手機(jī)驗(yàn)證碼,但是對(duì)于用戶來(lái)說(shuō)相對(duì)于驗(yàn)證碼還是比較麻煩的。

對(duì)于驗(yàn)證碼圖片的生成,可以自己通過(guò)如 Java 提供的圖像 API 自己去生成,也可以借助如 JCaptcha 這種開(kāi)源 Java 類庫(kù)生成驗(yàn)證碼圖片;JCaptcha 提供了常見(jiàn)的如扭曲、加噪點(diǎn)等干擾支持。本章代碼基于《第十六章 綜合實(shí)例》。

一、添加 JCaptcha 依賴

<dependency>
    <groupId>com.octo.captcha</groupId>
    <artifactId>jcaptcha</artifactId>
    <version>2.0-alpha-1</version>
</dependency>
<dependency>
    <groupId>com.octo.captcha</groupId>
    <artifactId>jcaptcha-integration-simple-servlet</artifactId>
    <version>2.0-alpha-1</version>
    <exclusions>
        <exclusion>
            <artifactId>servlet-api</artifactId>
            <groupId>javax.servlet</groupId>
        </exclusion>
    </exclusions>
</dependency>&nbsp;

com.octo.captcha.jcaptcha 提供了 jcaptcha 核心;而 jcaptcha-integration-simple-servlet 提供了與 Servlet 集成。

二、GMailEngine

來(lái)自 [https://code.google.com/p/musicvalley/source/browse/trunk/musicvalley/doc/springSecurity/springSecurityIII/src/main/java/com/spring/security/jcaptcha/GMailEngine.java?spec=svn447&r=447]()(目前無(wú)法訪問(wèn)了),仿照 JCaptcha2.0 編寫類似 GMail 驗(yàn)證碼的樣式;具體請(qǐng)參考 com.github.zhangkaitao.shiro.chapter22.jcaptcha.GMailEngine。

三、MyManageableImageCaptchaService

提供了判斷倉(cāng)庫(kù)中是否有相應(yīng)的驗(yàn)證碼存在。

public class MyManageableImageCaptchaService extends 
  DefaultManageableImageCaptchaService { 
    public MyManageableImageCaptchaService(
      com.octo.captcha.service.captchastore.CaptchaStore captchaStore,      
      com.octo.captcha.engine.CaptchaEngine captchaEngine,
      int minGuarantedStorageDelayInSeconds, 
      int maxCaptchaStoreSize, 
      int captchaStoreLoadBeforeGarbageCollection) {
        super(captchaStore, captchaEngine, minGuarantedStorageDelayInSeconds, 
            maxCaptchaStoreSize, captchaStoreLoadBeforeGarbageCollection);
    }
    public boolean hasCapcha(String id, String userCaptchaResponse) {
        return store.getCaptcha(id).validateResponse(userCaptchaResponse);
    }
}

四、JCaptcha 工具類

提供相應(yīng)的 API 來(lái)驗(yàn)證當(dāng)前請(qǐng)求輸入的驗(yàn)證碼是否正確。 

public class JCaptcha {
    public static final MyManageableImageCaptchaService captchaService
            = new MyManageableImageCaptchaService(new FastHashMapCaptchaStore(), 
                            new GMailEngine(), 180, 100000, 75000);
    public static boolean validateResponse(
        HttpServletRequest request, String userCaptchaResponse) {
        if (request.getSession(false) == null) return false;
        boolean validated = false;
        try {
            String id = request.getSession().getId();
            validated = 
                captchaService.validateResponseForID(id, userCaptchaResponse)
                            .booleanValue();
        } catch (CaptchaServiceException e) {
            e.printStackTrace();
        }
        return validated;
    } 
    public static boolean hasCaptcha(
        HttpServletRequest request, String userCaptchaResponse) {
        if (request.getSession(false) == null) return false;
        boolean validated = false;
        try {
            String id = request.getSession().getId();
            validated = captchaService.hasCapcha(id, userCaptchaResponse);
        } catch (CaptchaServiceException e) {
            e.printStackTrace();
        }
        return validated;
    }
}&nbsp;

validateResponse():驗(yàn)證當(dāng)前請(qǐng)求輸入的驗(yàn)證碼否正確;并從 CaptchaService 中刪除已經(jīng)生成的驗(yàn)證碼; hasCaptcha():驗(yàn)證當(dāng)前請(qǐng)求輸入的驗(yàn)證碼是否正確;但不從 CaptchaService 中刪除已經(jīng)生成的驗(yàn)證碼(比如 Ajax 驗(yàn)證時(shí)可以使用,防止多次生成驗(yàn)證碼);

五、JCaptchaFilter

用于生成驗(yàn)證碼圖片的過(guò)濾器。

public class JCaptchaFilter extends OncePerRequestFilter {
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setDateHeader("Expires", 0L);
        response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate");
        response.addHeader("Cache-Control", "post-check=0, pre-check=0");
        response.setHeader("Pragma", "no-cache");
        response.setContentType("image/jpeg");
        String id = request.getRequestedSessionId();
        BufferedImage bi = JCaptcha.captchaService.getImageChallengeForID(id);
        ServletOutputStream out = response.getOutputStream();
        ImageIO.write(bi, "jpg", out);
        try {
            out.flush();
        } finally {
            out.close();
        }
    }
}&nbsp;

CaptchaService 使用當(dāng)前會(huì)話 ID 當(dāng)作 key 獲取相應(yīng)的驗(yàn)證碼圖片;另外需要設(shè)置響應(yīng)內(nèi)容不進(jìn)行瀏覽器端緩存。 

<filter>
  <filter-name>JCaptchaFilter</filter-name>
  <filter-class> 
    com.github.zhangkaitao.shiro.chapter22.jcaptcha.JCaptchaFilter
  </filter-class>
  </filter>
  <filter-mapping>
    <filter-name>JCaptchaFilter</filter-name>
    <url-pattern>/jcaptcha.jpg</url-pattern>
</filter-mapping>&nbsp;

這樣就可以在頁(yè)面使用 /jcaptcha.jpg 地址顯示驗(yàn)證碼圖片。

六、JCaptchaValidateFilter

用于驗(yàn)證碼驗(yàn)證的 Shiro 過(guò)濾器。

public class JCaptchaValidateFilter extends AccessControlFilter {
    private boolean jcaptchaEbabled = true;//是否開(kāi)啟驗(yàn)證碼支持
    private String jcaptchaParam = "jcaptchaCode";//前臺(tái)提交的驗(yàn)證碼參數(shù)名
    private String failureKeyAttribute = "shiroLoginFailure"; //驗(yàn)證失敗后存儲(chǔ)到的屬性名
    public void setJcaptchaEbabled(boolean jcaptchaEbabled) {
        this.jcaptchaEbabled = jcaptchaEbabled;
    }
    public void setJcaptchaParam(String jcaptchaParam) {
        this.jcaptchaParam = jcaptchaParam;
    }
    public void setFailureKeyAttribute(String failureKeyAttribute) {
        this.failureKeyAttribute = failureKeyAttribute;
    }
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        //1、設(shè)置驗(yàn)證碼是否開(kāi)啟屬性,頁(yè)面可以根據(jù)該屬性來(lái)決定是否顯示驗(yàn)證碼
        request.setAttribute("jcaptchaEbabled", jcaptchaEbabled);
        HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
        //2、判斷驗(yàn)證碼是否禁用 或不是表單提交(允許訪問(wèn))
        if (jcaptchaEbabled == false || !"post".equalsIgnoreCase(httpServletRequest.getMethod())) {
            return true;
        }
        //3、此時(shí)是表單提交,驗(yàn)證驗(yàn)證碼是否正確
        return JCaptcha.validateResponse(httpServletRequest, httpServletRequest.getParameter(jcaptchaParam));
    }
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //如果驗(yàn)證碼失敗了,存儲(chǔ)失敗key屬性
        request.setAttribute(failureKeyAttribute, "jCaptcha.error");
        return true;
    }
}

七、MyFormAuthenticationFilter

用于驗(yàn)證碼驗(yàn)證的 Shiro 攔截器在用于身份認(rèn)證的攔截器之前運(yùn)行;但是如果驗(yàn)證碼驗(yàn)證攔截器失敗了,就不需要進(jìn)行身份認(rèn)證攔截器流程了;所以需要修改下如 FormAuthenticationFilter 身份認(rèn)證攔截器,當(dāng)驗(yàn)證碼驗(yàn)證失敗時(shí)不再走身份認(rèn)證攔截器。 

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        if(request.getAttribute(getFailureKeyAttribute()) != null) {
            return true;
        }
        return super.onAccessDenied(request, response, mappedValue);
    }
}&nbsp;

即如果之前已經(jīng)錯(cuò)了,那直接跳過(guò)即可。

八、spring-config-shiro.xml

<bean id="authcFilter" class="com.github.zhangkaitao.shiro.chapter22.jcaptcha.MyFormAuthenticationFilter">
    <property name="usernameParam" value="username"/>
    <property name="passwordParam" value="password"/>
    <property name="rememberMeParam" value="rememberMe"/>
    <property name="failureKeyAttribute" value="shiroLoginFailure"/>
</bean>
<bean id="jCaptchaValidateFilter" 
  class="com.github.zhangkaitao.shiro.chapter22.jcaptcha.JCaptchaValidateFilter">
    <property name="jcaptchaEbabled" value="true"/>
    <property name="jcaptchaParam" value="jcaptchaCode"/>
    <property name="failureKeyAttribute" value="shiroLoginFailure"/>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login"/>
    <property name="filters">
        <util:map>
            <entry key="authc" value-ref="authcFilter"/>
            <entry key="sysUser" value-ref="sysUserFilter"/>
            <entry key="jCaptchaValidate" value-ref="jCaptchaValidateFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /static/** = anon
            /jcaptcha* = anon
            /login = jCaptchaValidate,authc
            /logout = logout
            /authenticated = authc
            /** = user,sysUser
        </value>
    </property>
</bean>

九、login.jsp 登錄頁(yè)面

<c:if test="${jcaptchaEbabled}">
    驗(yàn)證碼:
    <input type="text" name="jcaptchaCode">
<img class="jcaptcha-btn jcaptcha-img" 
src="${pageContext.request.contextPath}/jcaptcha.jpg" title="點(diǎn)擊更換驗(yàn)證碼">
    <a class="jcaptcha-btn" href="javascript:;">換一張</a>
    <br/>
</c:if>&nbsp;

根據(jù) jcaptchaEbabled 來(lái)顯示驗(yàn)證碼圖片。

十、測(cè)試

輸入 http://localhost:8080/chapter22 將重定向到登錄頁(yè)面;輸入正確的用戶名 / 密碼 / 驗(yàn)證碼即可成功登錄,如果輸入錯(cuò)誤的驗(yàn)證碼,將顯示驗(yàn)證碼錯(cuò)誤頁(yè)面:

http://wiki.jikexueyuan.com/project/shiro/images/33.png" alt="" />