[Java实战]Spring Security 添加验证码(二十三)
在现代的 Web 应用中,验证码是防止恶意攻击(如暴力破解、自动注册等)的重要手段之一。Spring Security 是一个功能强大的安全框架,提供了用户认证、授权等功能。本文将详细介绍如何在 Spring Security 中添加验证码功能,从而进一步增强应用的安全性。
一. 环境准备
- openJDK 17+:Spring Boot 3 要求 Java 17 及以上。
- Spring Boot 3.4.5:使用最新稳定版。
- 构建工具:Maven 或 Gradle(本文以 Maven 为例)。
二、验证码的作用
验证码(CAPTCHA,Completely Automated Public Turing test to tell Computers and Humans Apart)是一种区分用户是人类还是机器人的测试。常见的验证码类型包括:
- 图片验证码:用户需要识别并输入图片中的字符。
- 短信验证码:用户需要输入发送到手机的验证码。
- 邮箱验证码:用户需要输入发送到邮箱的验证码。
验证码的主要作用是:
- 防止暴力破解:限制非法登录尝试。
- 防止自动注册:限制恶意用户批量注册账号。
- 防止垃圾评论:限制自动发布垃圾评论。
三、Spring Security 添加验证码
1. 添加依赖
在 Spring Boot 项目中,添加验证码功能需要一些额外的依赖。首先,确保你的项目中已经添加了 Spring Security 和 Spring Web 的依赖。
<dependencies>
<!-- Spring Boot Starter Web -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- Spring Boot Starter Security -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- Thymeleaf -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- 图片验证码库 -->
<dependency>
<groupId>com.github.penggle</groupId>
<artifactId>kaptcha</artifactId>
<version>2.3.2</version>
</dependency>
<dependency>
<groupId>jakarta.servlet</groupId>
<artifactId>jakarta.servlet-api</artifactId>
<version>6.0.0</version>
<scope>provided</scope>
</dependency>
</dependencies>
2. 配置验证码生成器
使用 Kaptcha 库生成图片验证码。首先,配置 Kaptcha 的 Bean。
@Configuration
public class KaptchaConfig {
@Bean
public Producer kaptchaProducer() {
Properties properties = new Properties();
properties.put("kaptcha.border", "no");
properties.put("kaptcha.textproducer.font.color", "black");
properties.put("kaptcha.textproducer.char.space", "5");
properties.put("kaptcha.image.width", "125");
properties.put("kaptcha.image.height", "45");
properties.put("kaptcha.textproducer.char.len", "5");
properties.put("kaptcha.noise.impl", "com.google.code.kaptcha.impl.NoNoise");
DefaultKaptcha kaptcha = new DefaultKaptcha();
kaptcha.setConfig(new Config(properties));
return kaptcha;
}
}
3. 创建验证码控制器
创建一个控制器,用于生成和显示验证码图片。
@RestController
public class KaptchaController {
@Autowired
private Producer kaptchaProducer;
@GetMapping("/captcha")
public void getKaptcha(HttpServletResponse response, HttpSession session) throws IOException, IOException {
response.setDateHeader("Expires", 0);
response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate");
response.addHeader("Cache-Control", "post-check=0, pre-check=0");
response.setHeader("Pragma", "no-cache");
response.setContentType("image/jpeg");
String capText = kaptchaProducer.createText();
session.setAttribute("captcha", capText);
BufferedImage bi = kaptchaProducer.createImage(capText);
ServletOutputStream out = response.getOutputStream();
ImageIO.write(bi, "jpg", out);
try {
out.flush();
} finally {
out.close();
}
}
}
4. 修改登录页面
在登录页面login.html中添加验证码输入框和验证码图片。
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<title>Login</title>
</head>
<body>
<form th:action="@{/login}" method="post">
<div><label>Username: <input type="text" name="username"></label></div>
<div><label>Password: <input type="password" name="password"></label></div>
<div><label>Captcha: <input type="text" name="captcha"></label></div>
<div><img th:src="@{/captcha}" alt="captcha" onclick="this.src='/captcha?'+new Date()" style="cursor:pointer;"></div>
<div><input type="submit" value="Sign In"></div>
</form>
</body>
</html>
5. 修改 SecurityConfig
在 SecurityConfig 中添加验证码校验逻辑。
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
private CustomUserDetailsService userDetailsService;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.csrf(csrf -> csrf.disable())
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/admin/**").hasRole("ADMIN")
.requestMatchers("/user/**").hasRole("USER")
.requestMatchers("/", "/home", "/register", "/captcha").permitAll()
.anyRequest().authenticated()
)
.formLogin(form -> form
.loginPage("/login").permitAll()
.defaultSuccessUrl("/home", true)
)
.logout(logout -> logout.permitAll())
.addFilterBefore(new CaptchaFilter(), UsernamePasswordAuthenticationFilter.class);
return http.build();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
return config.getAuthenticationManager();
}
6. 创建验证码过滤器
创建一个自定义过滤器,用于校验验证码。
public class CaptchaFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(
HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain
) throws ServletException, IOException {
// 仅拦截登录请求(POST 方法)
if ("POST".equalsIgnoreCase(request.getMethod())
&& "/login".equals(request.getRequestURI())) {
// 从前端获取验证码参数(根据方案一或二调整名称)
String inputCaptcha = request.getParameter("captcha");
String sessionCaptcha = (String) request.getSession().getAttribute("captcha");
// 校验逻辑
if (inputCaptcha == null || inputCaptcha.isEmpty()
|| !inputCaptcha.equalsIgnoreCase(sessionCaptcha)) {
// 清除旧验证码并记录错误
request.getSession().removeAttribute("captcha");
request.getSession().setAttribute("captchaError", "验证码错误");
response.sendRedirect("/login?error");
return;
}
// 验证通过后清除验证码(避免重复使用)
request.getSession().removeAttribute("captcha");
}
filterChain.doFilter(request, response);
}
}
四、高级用法
1. 短信验证码
除了图片验证码,你还可以使用短信验证码。以下是一个简单的实现示例:
添加依赖
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>aliyun-java-sdk-core</artifactId>
<version>4.5.0</version>
</dependency>
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>aliyun-java-sdk-dysmsapi</artifactId>
<version>1.1.0</version>
</dependency>
配置短信服务
@Service
public class SmsService {
public void sendSms(String phone, String code) {
DefaultProfile profile = DefaultProfile.getProfile("cn-hangzhou", "your-access-key-id", "your-access-key-secret");
IAcsClient client = new DefaultAcsClient(profile);
CommonRequest request = new CommonRequest();
request.setMethod(MethodType.POST);
request.setDomain("dysmsapi.aliyuncs.com");
request.setVersion("2017-05-25");
request.setAction("SendSms");
request.putQueryParameter("RegionId", "cn-hangzhou");
request.putQueryParameter("PhoneNumbers", phone);
request.putQueryParameter("SignName", "your-sign-name");
request.putQueryParameter("TemplateCode", "your-template-code");
request.putQueryParameter("TemplateParam", "{\"code\":\"" + code + "\"}");
try {
CommonResponse response = client.getCommonResponse(request);
System.out.println(response.getData());
} catch (ServerException e) {
e.printStackTrace();
} catch (ClientException e) {
e.printStackTrace();
}
}
}
修改登录页面
在登录页面中添加短信验证码输入框。
<div><label>SMS Captcha: <input type="text" name="smsCaptcha"></label></div>
修改验证码过滤器
在验证码过滤器中添加短信验证码校验逻辑。
public class CaptchaFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
if ("/login".equals(request.getRequestURI())) {
String captcha = request.getParameter("captcha");
String smsCaptcha = request.getParameter("smsCaptcha");
String sessionCaptcha = (String) request.getSession().getAttribute("captcha");
String sessionSmsCaptcha = (String) request.getSession().getAttribute("smsCaptcha");
if (captcha == null || !captcha.equalsIgnoreCase(sessionCaptcha)) {
request.getSession().setAttribute("captchaError", "Invalid captcha");
response.sendRedirect("/login");
return;
}
if (smsCaptcha == null || !smsCaptcha.equalsIgnoreCase(sessionSmsCaptcha)) {
request.getSession().setAttribute("smsCaptchaError", "Invalid SMS captcha");
response.sendRedirect("/login");
return;
}
}
filterChain.doFilter(request, response);
}
}
五、常见问题与解决方案
1. 验证码不显示
原因:Kaptcha 配置不正确,或服务器未正确返回图片。
解决方案:
- 检查 Kaptcha 的配置是否正确。
- 确保
KaptchaController中的getKaptcha方法返回正确的图片。
2. 验证码校验失败
原因:验证码输入错误,或验证码已过期。
解决方案:
- 确保用户输入的验证码正确。
- 检查验证码的有效期是否过期。
3. 短信验证码发送失败
原因:短信服务配置不正确,或网络问题。
解决方案:
- 检查短信服务的配置是否正确。
- 确保网络连接正常。
六、总结
本文详细介绍了如何在 Spring Security 中添加验证码功能,包括图片验证码和短信验证码。通过合理使用验证码,可以显著增强应用的安全性。希望本文能帮助你更好地理解和使用 Spring Security 添加验证码。
如果你在使用过程中遇到任何问题,欢迎在评论区留言交流。感谢你的阅读,希望这篇文章对你有所帮助!
