若依源码学习1:验证码及各种shiro过滤器

最新推荐文章于 2026-06-23 11:22:43 发布
原创 最新推荐文章于 2026-06-23 11:22:43 发布 · 2.2k 阅读 · 12 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
标签
#java #spring #过滤器 #shiro #验证码
本文介绍Kaptcha工具生成验证码的方法,并演示如何在Java Web应用中利用Shiro框架进行验证码验证。涵盖验证码生成配置、自定义过滤器以及Shiro拦截器的使用。
首图

1、验证码的生成及验证

1.1、生成

Kaptcha 是一个可高度配置的实用验证码生成工具

支持两种类型的验证码:字符类型和算术类型

/**
 * 图片验证码(支持算术形式)
 * 
 * @author ruoyi
 */
@Controller
@RequestMapping("/captcha")
public class SysCaptchaController extends BaseController
{
    @Resource(name = "captchaProducer")
    private Producer captchaProducer;

    @Resource(name = "captchaProducerMath")
    private Producer captchaProducerMath;

    /**
     * 验证码生成
     */
    @GetMapping(value = "/captchaImage")
    public ModelAndView getKaptchaImage(HttpServletRequest request, HttpServletResponse response)
    {
        ServletOutputStream out = null;
        try
        {
            HttpSession session = request.getSession();
            response.setDateHeader("Expires", 0);
            response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate");
            response.addHeader("Cache-Control", "post-check=0, pre-check=0");
            response.setHeader("Pragma", "no-cache");
            response.setContentType("image/jpeg");

            // 获取前端传送过来的验证码类型
            String type = request.getParameter("type");
            String capStr = null;   // 算术表达式
            String code = null;     // 算术结果,放到session中传递给前端,登录的时候连同账号密码传递给后端
            BufferedImage bi = null;  // 生成的验证码图片
            if ("math".equals(type))
            {
                String capText = captchaProducerMath.createText();
                capStr = capText.substring(0, capText.lastIndexOf("@"));
                code = capText.substring(capText.lastIndexOf("@") + 1);
                bi = captchaProducerMath.createImage(capStr);
            }
            else if ("char".equals(type))
            {
                capStr = code = captchaProducer.createText();
                bi = captchaProducer.createImage(capStr);
            }
            session.setAttribute(Constants.KAPTCHA_SESSION_KEY, code);  // 将计算结果保存到session中,key为 KAPTCHA_SESSION_KEY
            out = response.getOutputStream();
            ImageIO.write(bi, "jpg", out);
            out.flush();

        }
        catch (Exception e)
        {
            e.printStackTrace();
        }
        finally
        {
            try
            {
                if (out != null)
                {
                    out.close();
                }
            }
            catch (IOException e)
            {
                e.printStackTrace();
            }
        }
        return null;
    }
}

其中两种类型的验证码生成器为

/**
 * 验证码配置
 */
@Configuration
public class CaptchaConfig
{
    // Kaptcha 是一个可高度配置的实用验证码生成工具
    @Bean(name = "captchaProducer")
    public DefaultKaptcha getKaptchaBean()
    {
        DefaultKaptcha defaultKaptcha = new DefaultKaptcha();
        Properties properties = new Properties();
        // 是否有边框 默认为true 我们可以自己设置yes,no
        properties.setProperty(KAPTCHA_BORDER, "yes");
        // 验证码文本字符颜色 默认为Color.BLACK
        properties.setProperty(KAPTCHA_TEXTPRODUCER_FONT_COLOR, "black");
        // 验证码图片宽度 默认为200
        properties.setProperty(KAPTCHA_IMAGE_WIDTH, "160");
        // 验证码图片高度 默认为50
        properties.setProperty(KAPTCHA_IMAGE_HEIGHT, "60");
        // 验证码文本字符大小 默认为40
        properties.setProperty(KAPTCHA_TEXTPRODUCER_FONT_SIZE, "38");
        // KAPTCHA_SESSION_KEY
        properties.setProperty(KAPTCHA_SESSION_CONFIG_KEY, "kaptchaCode");
        // 验证码文本字符长度 默认为5
        properties.setProperty(KAPTCHA_TEXTPRODUCER_CHAR_LENGTH, "4");
        // 验证码文本字体样式 默认为new Font("Arial", 1, fontSize), new Font("Courier", 1, fontSize)
        properties.setProperty(KAPTCHA_TEXTPRODUCER_FONT_NAMES, "Arial,Courier");
        // 图片样式 水纹com.google.code.kaptcha.impl.WaterRipple 鱼眼com.google.code.kaptcha.impl.FishEyeGimpy 阴影com.google.code.kaptcha.impl.ShadowGimpy
        properties.setProperty(KAPTCHA_OBSCURIFICATOR_IMPL, "com.google.code.kaptcha.impl.ShadowGimpy");
        Config config = new Config(properties);
        defaultKaptcha.setConfig(config);
        return defaultKaptcha;
    }

    @Bean(name = "captchaProducerMath")
    public DefaultKaptcha getKaptchaBeanMath()
    {
        DefaultKaptcha defaultKaptcha = new DefaultKaptcha();
        Properties properties = new Properties();
        // 是否有边框 默认为true 我们可以自己设置yes,no
        properties.setProperty(KAPTCHA_BORDER, "yes");
        // 边框颜色 默认为Color.BLACK
        properties.setProperty(KAPTCHA_BORDER_COLOR, "105,179,90");
        // 验证码文本字符颜色 默认为Color.BLACK
        properties.setProperty(KAPTCHA_TEXTPRODUCER_FONT_COLOR, "blue");
        // 验证码图片宽度 默认为200
        properties.setProperty(KAPTCHA_IMAGE_WIDTH, "160");
        // 验证码图片高度 默认为50
        properties.setProperty(KAPTCHA_IMAGE_HEIGHT, "60");
        // 验证码文本字符大小 默认为40
        properties.setProperty(KAPTCHA_TEXTPRODUCER_FONT_SIZE, "35");
        // KAPTCHA_SESSION_KEY
        properties.setProperty(KAPTCHA_SESSION_CONFIG_KEY, "kaptchaCodeMath");
        // 验证码文本生成器
        properties.setProperty(KAPTCHA_TEXTPRODUCER_IMPL, "com.ruoyi.framework.config.KaptchaTextCreator");
        // 验证码文本字符间距 默认为2
        properties.setProperty(KAPTCHA_TEXTPRODUCER_CHAR_SPACE, "3");
        // 验证码文本字符长度 默认为5
        properties.setProperty(KAPTCHA_TEXTPRODUCER_CHAR_LENGTH, "6");
        // 验证码文本字体样式 默认为new Font("Arial", 1, fontSize), new Font("Courier", 1, fontSize)
        properties.setProperty(KAPTCHA_TEXTPRODUCER_FONT_NAMES, "Arial,Courier");
        // 验证码噪点颜色 默认为Color.BLACK
        properties.setProperty(KAPTCHA_NOISE_COLOR, "white");
        // 干扰实现类
        properties.setProperty(KAPTCHA_NOISE_IMPL, "com.google.code.kaptcha.impl.NoNoise");
        // 图片样式 水纹com.google.code.kaptcha.impl.WaterRipple 鱼眼com.google.code.kaptcha.impl.FishEyeGimpy 阴影com.google.code.kaptcha.impl.ShadowGimpy
        properties.setProperty(KAPTCHA_OBSCURIFICATOR_IMPL, "com.google.code.kaptcha.impl.ShadowGimpy");
        Config config = new Config(properties);
        defaultKaptcha.setConfig(config);
        return defaultKaptcha;
    }
}

1.2、验证

image-20210410144009694

image-20210410144105696

验证账号密码是否正确之前,拦截器先执行验证码的检验

image-20210410144243229

/**
 * 验证码过滤器
 */
public class CaptchaValidateFilter extends AccessControlFilter
{
    /**
     * 是否开启验证码
     */
    private boolean captchaEnabled = true;

    /**
     * 验证码类型
     */
    private String captchaType = "math";

    public void setCaptchaEnabled(boolean captchaEnabled)
    {
        this.captchaEnabled = captchaEnabled;
    }

    public void setCaptchaType(String captchaType)
    {
        this.captchaType = captchaType;
    }

    @Override
    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception
    {
        request.setAttribute(ShiroConstants.CURRENT_ENABLED, captchaEnabled);
        request.setAttribute(ShiroConstants.CURRENT_TYPE, captchaType);
        return super.onPreHandle(request, response, mappedValue);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
            throws Exception
    {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        // 验证码禁用 或不是表单提交 允许访问
        if (captchaEnabled == false || !"post".equals(httpServletRequest.getMethod().toLowerCase()))
        {
            return true;
        }
        return validateResponse(httpServletRequest, httpServletRequest.getParameter(ShiroConstants.CURRENT_VALIDATECODE));
    }

    public boolean validateResponse(HttpServletRequest request, String validateCode)
    {
        Object obj = ShiroUtils.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY);
        String code = String.valueOf(obj != null ? obj : "");
        // 验证码清除,防止多次使用。
        request.getSession().removeAttribute(Constants.KAPTCHA_SESSION_KEY);
        if (StringUtils.isEmpty(validateCode) || !validateCode.equalsIgnoreCase(code))
        {
            return false;
        }
        return true;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception
    {
        request.setAttribute(ShiroConstants.CURRENT_CAPTCHA, ShiroConstants.CAPTCHA_ERROR);
        return true;
    }
}

1.3、知识点:shiro Filter—拦截器

类图:

image-20210410205819639

①NameableFilter有一个name属性,定义每一个filter的名字。在FilterChainManager中会调用配置文件中的配置属性名字来为每一个filter命名以及为默认的filter命名,如authc。

image-20210410151249837

②OncePerRequestFilter保证客户端请求后该filter的doFilter只会执行一次。实质上是保证每一个filter的 doFilterInternal只会被执行一次,例如在配置中 配置路径 /user/** = authc,authc.则只会执行authc中的doFilterInternal一次。另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。

image-20210410152626558

③AdviceFilter中主要是对doFilterInternal做了更细致的切分。这有点像springmvc中的Interceptor,doFilterInternal会先调用preHandle做一些前置判断,如果返回false则filter链不继续往下执行,postHandle在目标方法(即客户端请求的接口)正常(未抛出异常)执行后完成一些操作,默认不做任何操作。在finally中的cleanup方法中会调用afterCompletion方法,不管目标方法是否出现异常都会继续操作。默认也是空。 AdviceFilter总体是对OncePerRequestFilter中的doFilterInternal进一步细化控制。

image-20210410154955990

④PathMatchingFilter主要是对preHandle做进一步细化控制,该filter为抽象类,其他路径直接通过:preHandle中,若请求的路径非该filter中配置的拦截路径,则直接返回true进行下一个filter。若包含在此filter路径中,则会在isFilterChainContinued做一些控制,该方法中会调用onPreHandle方法,所以子类可以在onPreHandle中编写filter控制流程代码(返回true或false)。

⑤AccessControlFilter中的对onPreHandle方法做了进一步细化,isAccessAllowed方法和onAccessDenied方法达到控制效果。这两个方法都是抽象方法,由子类去实现。到这一层应该明白。isAccessAllowed和onAccessDenied方法会影响到onPreHandle方法,而onPreHandle方法会影响到preHandle方法,而preHandle方法会达到控制filter链是否执行下去的效果。所以如果正在执行的filter中isAccessAllowed和onAccessDenied都返回false,则整个filter控制链都将结束,不会到达目标方法(客户端请求的接口),而是直接跳转到某个页面(由filter定义的,将会在authc中看到)。

image-20210410155357875

⑥AuthenticationFilter和AuthorizationFilter继承了AccessControlFilter

image-20210410160817508

拦截器链

Shiro对Servlet容器的FilterChain进行了代理,即ShiroFilter在继续Servlet容器的Filter链的执行之前,通过ProxiedFilterChain对Servlet容器的FilterChain进行了代理;即先走Shiro自己的Filter体系,然后才会委托给Servlet容器的FilterChain进行Servlet容器级别的Filter链执行;Shiro的ProxiedFilterChain执行流程:

1、先执行Shiro自己的Filter链;

2、再执行Servlet容器的Filter链(即原始的Filter)。
而ProxiedFilterChain是通过FilterChainResolver根据配置文件中[urls]部分是否与请求的URL是否匹配解析得到的。

这里写图片描述

1.4、自定义filter

一般自定义filter可以继承三种:

①OncePerRequestFilter只需实现doFilterInternal方法即可,在这里面实现filter的功能。切记在该方法中最后调用filterChain.doFilter(request, response),允许filter链继续执行下去。可以在这个自定义filter中覆盖isEnable达到控制该filter是否需要被执行(实质是doFilterInternal方法)以达到动态控制的效果,一般不建议直接继承这个类;

②AdviceFilter 中提供三个方法preHandle postHandle afterCompletion:若需要在目标方法执行前后都做一些判断的话应该继承这个类覆盖preHandle 和postHandle 。

③PathMatchingFilter中preHandle实质会判断onPreHandle来决定是否继续往下执行。所以只需覆盖onPreHandle方法即可。

④AccessControlFilter:最常用的,该filter中onPreHandle调用isAccessAllowed和onAccessDenied决定是否继续执行。一般继承该filter,isAccessAllowed决定是否继续执行。onAccessDenied做后续的操作,如重定向到另外一个地址、添加一些信息到request域等等。

④若要自定义登录filter,一般是由于前端传过来的需求所定义的token与shiro默认提供token的不符,可以继承AuthenticatingFilter ,在这里面实现createToken来创建自定义token。另外需要自定义凭证匹配器credentialsMatcher。重写public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info)即可。realm也需要自定义以返回自定义的token。

shiro登录

由前面filter链可以看出登录已经很清晰了。shiro提供的FormAuthenticationFilter认证过滤器,继承了AuthenticatingFilter ,若已登录则isAccessAllowed直接通过,否则在 onAccessDenied中判断是否是登录请求,若是请求登录页面,直接通过,若是post提交登录信息则会进行登录操作。否则直接跳转到登录页面。登录是由shiro的securityManager完成的,securityManager从Realm获取用户的真实身份,从FormAuthenticationFilter的createToken获取用户提交的token,credentialsMatcher完成是否匹配成功操作。

SpringBoot 项目(若依脚手架)4
踏 浪的博客
11-03 2628
前言: 在上一章 “SpringBoot 项目(若依脚手架)3”的基础上继续完成登录功能。 目录 一、编写Controller 层代码 二、重写 UserRealm 类中的 doGetAuthenticationInfo 方法(登录认证逻辑) 三、登录成功后,重定向到首页 四、本章大体流程图 一、编写Controller 层代码 思路整理: ①、前台页面传 什么样的数据? ②、...
SpringBoot全局异常处理避坑指南:若依框架异常拦截器深度优化
weixin_42525738的博客
04-05 312
本文深入探讨了SpringBoot全局异常处理的最佳实践,特别针对若依框架的异常拦截器进行深度优化。文章详细解析了异常分类与状态码设计、日志全链路追踪、XSS攻击防护等关键问题,提供了实用的代码示例和解决方案,帮助开发者构建健壮、安全的异常处理体系。
Servlet过滤器和拦截器详解+Token
Java后端技术栈
07-05 5574
周末有个小伙伴加我微信,向我请教了一个问题:老哥,过滤器 () 和 拦截器 () 有啥区别啊? 听到题目我的第一感觉就是:简单!毕竟这两种工具开发中用到的频率都相当高,应用起来也是比较简单的,可当我准备回复他的时候,竟然不知道从哪说起,支支吾吾了半天,场面炒鸡尴尬有木有,工作这么久一个基础问题答成这样,丢了大人了。 平时觉得简单的知识点,但通常都不会太关注细节,一旦被别人问起来,反倒说不出个所以然来。归根结底,还是对这些知识了解的不够,一直停留在会用的阶段,以至于现在一看就会一说就废!这是典型基础不扎实的
若依集成aj-captcha实现滑块验证码
w13966597931的博客
07-23 5421
若依框架集成aj-captcha实现滑动验证码
ruoyi框架源码阅读之--过滤器Filter
攻城狮的博客
03-28 3943
filter也称之为过滤器,它是javaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器),一般来说用@WebFilter去实现配置,若伊里面是通过配置类来实现的。1、EscapeUtil :转义、反转工具类,用clean方法清楚xss攻击的标签/*** 转义和反转义工具类/[^)|(
RuoYi框架添加自定义的过滤器
指尖互联科技-刘潇繁
09-01 5030
ruoyi框架使用了shiro框架, 因此,如果采用一般的方式的话,Filter的加载顺序应该在shiro之前,这样会导致你取session失败或者直接退出登录。也就是每个经过filter的session和控制器中的session不一致。可以使用shiro提供的Filter,要在shiro之后加载就可以了。步骤如下: 在com/ruoyi/framework/shiro/web/filter中添加一个过滤器,例如AuthFilter,代码如下 public class UAuthFilter exten
Shiro 入门教程 - Shiro 集成验证码
smart_an的专栏
07-21 1297
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
若依源码学习2:shiro配置及登入登出
小宇哥x的博客
04-10 5975
1Shiro 配置 shiro: user: # 登录地址 loginUrl: /login # 权限认证失败地址 unauthorizedUrl: /unauth # 首页地址 indexUrl: /index # 验证码开关 captchaEnabled: true # 验证码类型 math 数组计算 char 字符 captchaType: math cookie: # 设置Cookie的域名 默认空,.
springboot + shiro 构建权限模块
weixin_30426065的博客
08-14 155
  权限模块基本流程   权限模块的基本流程:用户申请账号和权限 -->登陆认证 -->安全管控模块认证 -->调用具体权限模块(基于角色的权限控制) --> 登陆成功 -->访问资源 -->安全模块鉴权 -->通过后获取资源。整个流程如下图   常用的两个安全管控模块比较   JAAS,java验证和授权模块,jdk提供的一套标准的方...
SpringBoot学习笔记(十六:Shiro ),Java开发者跳槽面试
2401_84435810的博客
04-21 879
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
Spring Boot学习分享(二)——整合MyBatis+Shiro
madonghyu的博客
03-19 476
整合MyBatis以及Shiro
基于 Spring Boot 和 Vue 开发前后端分离快速开发平台源码分享(1)
2401_83977689的博客
05-02 177
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码学习,Mybatis源码学习等等都是需要掌握的,我也把这些知识点都整理起来了架的使用,Spring源码学习,Mybatis源码学习等等都是需要掌握的,我也把这些知识点都整理起来了[外链图片转存中…(img-5XIma4RS-1714651661625)][外链图片转存中…(img-QEDzaa6b-1714651661626)]本文已被。
基于 Spring Boot 和 Vue 开发前后端分离快速开发平台源码分享
2401_84092169的博客
05-08 856
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
简单上手若依框架
m0_63278070的博客
02-23 1197
简单上手若依框架
SRC漏洞挖掘实战:从资产收集到报告撰写的完整指南
最新发布
06-23 361
网络安全的核心在于识别和利用系统弱点,其原理是通过对目标资产的全面测绘与威胁建模,发现潜在的攻击面。这项技术的价值在于将理论漏洞转化为实际风险验证,广泛应用于企业安全测试与渗透评估。在安全应急响应中心(SRC)的实战场景中,漏洞挖掘遵循系统化方法:首先通过子域名枚举、端口扫描和Web应用爬虫构建资产地图,再针对登录、订单、文件上传等关键功能点进行逻辑漏洞与注入测试。其中,平行越权和验证码绕过是常见的高危逻辑缺陷,而SQL注入与XSS则需结合自动化工具与手动验证。掌握从信息收集到报告提交的完整工作流,是安全爱
基于SpringBoot+AntDesign的快速开发平台,JeecgBoot 2.0.2 版本发布
weixin_30802171的博客
07-08 512
Jeecg-Boot 是一款基于SpringBoot+代码生成器的快速开发平台! 采用前后端分离架构:SpringBoot,Ant-Design-Vue,Mybatis,Shiro,JWT。 强大的代码生成器让前端和后台代码一键生成,不需要写任何代码,保持jeecg一贯的强大,绝对是全栈开发福音!! JeecgBoot在提高UI能力的同时,降低了前后分离的开发成本,JeecgBoot还独...
JeecgBoot 2.1 Online表单版本发布,基于SpringBoot+AntDesign的快速开发平台
chengpishuang5349的博客
08-23 444
项目介绍 Jeecg-Boot 是一款基于SpringBoot+代码生成器的快速开发平台!采用前后端分离架构:SpringBoot,Ant-Design-Vue,Mybatis,Shiro,JWT。强大的代码生成器让前端和后台代码一键生成,不需要写任何代码,保持jeecg一贯的强大,绝对是全...
在线Online表单来了!JeecgBoot 2.1 版本发布——基于SpringBoot+AntDesign的快速开发平台...
weixin_30361641的博客
08-26 949
项目介绍 Jeecg-Boot 是一款基于SpringBoot+代码生成器的快速开发平台! 采用前后端分离架构:SpringBoot,Ant-Design-Vue,Mybatis,Shiro,JWT。 强大的代码生成器让前端和后台代码一键生成,不需要写任何代码,保持jeecg一贯的强大,绝对是全栈开发福音!! JeecgBoot在提高UI能力的同时,降低了前后分离的开发成...
JavaSecLab项目架构解析:Spring Boot + Spring Security安全框架设计终极指南
gitblog_00343的博客
06-16 338
JavaSecLab是一款综合型Java漏洞平台,基于Spring Boot和Spring Security构建,为应用安全学习、代码审计训练和开发安全培训提供全面的漏洞演示环境。🎯 本文深入剖析JavaSecLab的架构设计,特别是其Spring Boot + Spring Security安全框架的实现原理,帮助您理解如何构建一个功能完善的企业级安全教学平台。 ## 📋 项目概述与技术栈
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值