spring security3 扩展验证码

security的登录参数验证主要是经过UsernamePasswordAuthenticationFilter过滤器

 

所以我们自己写个新的实现类类继承UsernamePasswordAuthenticationFilter,验证码工具我是使用jcaptcha,相信大家对这个也不会感觉陌生吧,至于网上也有很多这样的例子来演示如何扩展了

 

先来写个实现类继承UsernamePasswordAuthenticationFilter

 

[java] view plain copy
  1. /** 
  2.  * 重载SECURITY3的UsernamePasswordAuthenticationFilter的attemptAuthentication, 
  3.  * obtainUsername,obtainPassword方法(完善逻辑) 增加验证码校验模块 添加验证码属性 添加验证码功能开关属性 
  4.  *  
  5.  * @author shadow 
  6.  * @email [email protected] 
  7.  * @create 2012.04.28 
  8.  */  
  9. public class UsernamePasswordAuthenticationExtendFilter extends  
  10.         UsernamePasswordAuthenticationFilter {  
  11.   
  12.     // 验证码字段  
  13.     private String validateCodeParameter = "validateCode";  
  14.     // 是否开启验证码功能  
  15.     private boolean openValidateCode = false;  
  16.   
  17.     @Override  
  18.     public Authentication attemptAuthentication(HttpServletRequest request,  
  19.             HttpServletResponse response) throws AuthenticationException {  
  20.         // 只接受POST方式传递的数据  
  21.         if (!"POST".equals(request.getMethod()))  
  22.             throw new MethodErrorException("不支持非POST方式的请求!");  
  23.   
  24.         // 开启验证码功能的情况  
  25.         if (isOpenValidateCode())  
  26.             checkValidateCode(request);  
  27.   
  28.         // 获取Username和Password  
  29.         String username = obtainUsername(request);  
  30.         String password = obtainPassword(request);  
  31.   
  32.         // UsernamePasswordAuthenticationToken实现Authentication校验  
  33.         UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(  
  34.                 username, password);  
  35.   
  36.         // 允许子类设置详细属性  
  37.         setDetails(request, authRequest);  
  38.   
  39.         // 运行UserDetailsService的loadUserByUsername 再次封装Authentication  
  40.         return this.getAuthenticationManager().authenticate(authRequest);  
  41.     }  
  42.   
  43.     // 匹对验证码的正确性  
  44.     public void checkValidateCode(HttpServletRequest request) {  
  45.   
  46.         String jcaptchaCode = obtainValidateCodeParameter(request);  
  47.         if (null == jcaptchaCode)  
  48.             throw new ValidateCodeException("验证码超时,请重新获取!");  
  49.   
  50.         boolean b = CaptchaServiceSingleton.getInstance()  
  51.                 .validateResponseForID(request.getSession().getId(),  
  52.                         jcaptchaCode);  
  53.         if (!b)  
  54.             throw new ValidateCodeException("验证码不正确,请重新输入!");  
  55.     }  
  56.   
  57.     public String obtainValidateCodeParameter(HttpServletRequest request) {  
  58.         Object obj = request.getParameter(getValidateCodeParameter());  
  59.         return null == obj ? "" : obj.toString().trim();  
  60.     }  
  61.   
  62.     @Override  
  63.     protected String obtainUsername(HttpServletRequest request) {  
  64.         Object obj = request.getParameter(getUsernameParameter());  
  65.         return null == obj ? "" : obj.toString().trim();  
  66.     }  
  67.   
  68.     @Override  
  69.     protected String obtainPassword(HttpServletRequest request) {  
  70.         Object obj = request.getParameter(getPasswordParameter());  
  71.         return null == obj ? "" : obj.toString().trim();  
  72.     }  
  73.   
  74.     public String getValidateCodeParameter() {  
  75.         return validateCodeParameter;  
  76.     }  
  77.   
  78.     public void setValidateCodeParameter(String validateCodeParameter) {  
  79.         this.validateCodeParameter = validateCodeParameter;  
  80.     }  
  81.   
  82.     public boolean isOpenValidateCode() {  
  83.         return openValidateCode;  
  84.     }  
  85.   
  86.     public void setOpenValidateCode(boolean openValidateCode) {  
  87.         this.openValidateCode = openValidateCode;  
  88.     }  
  89.   
  90. }  


很明显我们在获取username跟password之前执行一个checkValidateCode()的方法,这里就是先比较验证码,如果失败就直接抛出ValidateCodeException,这个异常自己定义个,

 

只要继承AuthenticationException就可以了

 

 

 

校验成功就直接往下执行比较username,password,然后配置xml的时候class的指向就用自己新的filter,过滤链中使用新 的filter替换掉UsernamePasswordAuthenticationFilter实现类的位置,下面是我自己的xml配置

 

过滤链里的serverCustomUsernamePasswordAuthenticationFilter实现换成是我们自己刚写的实现类,至于com.shadow.security.handler.LoginSuccessHandler和

 

com.shadow.security.handler.LoginFailureHandler这里自己实现一个AuthenticationSuccessHandler接口里面逻辑根据项目需求来设计

 

[java] view plain copy
  1. <!-- 登录认证过滤器-->  
  2.     <bean id="usernamePasswordAuthenticationFilter"  
  3.         class="com.shadow.security.service.UsernamePasswordAuthenticationExtendFilter">  
  4.         <property name="authenticationManager"  
  5.             ref="authenticationManager" />  
  6.         <property name="sessionAuthenticationStrategy"  
  7.             ref="concurrentSessionControlStrategy" />  
  8.         <property name="usernameParameter" value="username" />  
  9.         <property name="passwordParameter" value="password" />  
  10.         <property name="validateCodeParameter" value="validateCode" />  
  11.         <property name="openValidateCode" value="true" />  
  12.         <property name="filterProcessesUrl" value="/login" />  
  13.         <property name="rememberMeServices" ref="rememberMeServices" />  
  14.         <property name="authenticationSuccessHandler">  
  15.             <bean  
  16.                 class="com.shadow.security.handler.LoginSuccessHandler">  
  17.                 <property name="indexUrl" value="/index.jsp" />  
  18.             </bean>  
  19.         </property>  
  20.         <property name="authenticationFailureHandler">  
  21.             <bean  
  22.                 class="com.shadow.security.handler.LoginFailureHandler" />  
  23.         </property>  
  24.     </bean>  


 

至于其他的依赖属性注入就自己根据项目来添加吧,这里就不详细说明了

你可能感兴趣的:(Spring Security)