文档章节

SpringBoot+Shiro学习之“记住我”和“GIF验证码”功能的实现

邹海清
 邹海清
发布于 2017/02/26 18:39
字数 1653
阅读 148
收藏 5
点赞 1
评论 3

学习目标

如标题有如下两个功能实现:

  • 记住我的功能:通过设置key为“rememberMe”的cookie保存在客户端来完成记住我的功能,下次用户访问指定页面时就不会重新登录,一直到cookie过期后才会重新登录。

  • GIF格式验证码: ,这个要感谢sojson的博主对这个GIF验证码插件的实现。

个人博客:http://z77z.oschina.io/

此项目下载地址:https://git.oschina.net/z77z/springboot_mybatisplus

记住我

  • ShiroConfig的配置:

在ShiroConfig.java中添加如下方法:

/**
 * cookie对象;
 * @return
 */
public SimpleCookie rememberMeCookie(){
   //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
   SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
   //<!-- 记住我cookie生效时间30天 ,单位秒;-->
   simpleCookie.setMaxAge(2592000);
   return simpleCookie;
}

/**
 * cookie管理对象;记住我功能
 * @return
 */
public CookieRememberMeManager rememberMeManager(){
   CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
   cookieRememberMeManager.setCookie(rememberMeCookie());
   //rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)
   cookieRememberMeManager.setCipherKey(Base64.decode("3AvVhmFLUs0KTA3Kprsdag=="));
   return cookieRememberMeManager;
}

rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 rememberMeManager()方法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中,如下:

@Bean
public SecurityManager securityManager() {
	DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
	// 设置realm.
	securityManager.setRealm(myShiroRealm());
	// 自定义缓存实现 使用redis
	securityManager.setCacheManager(cacheManager());
	// 自定义session管理 使用redis
	securityManager.setSessionManager(SessionManager());
	//注入记住我管理器;
    securityManager.setRememberMeManager(rememberMeManager());
	return securityManager;
}

其实上面的步骤,也就是rememberMe管理器可以不用配置,shiro会使用默认的配置,之所以要配置的目的是为了能够在实际业务环境中自定义其中的参数。

  • 登录controller的改造
@RequestMapping(value="ajaxLogin",method=RequestMethod.POST)
@ResponseBody
public Map<String,Object> submitLogin(String username, String password,Boolean rememberMe,Model model) {
	Map<String, Object> resultMap = new LinkedHashMap<String, Object>();
	try {
		UsernamePasswordToken token = new UsernamePasswordToken(username, password,rememberMe);
		SecurityUtils.getSubject().login(token);
		resultMap.put("status", 200);
		resultMap.put("message", "登录成功");

	} catch (Exception e) {
		resultMap.put("status", 500);
		resultMap.put("message", e.getMessage());
	}
	return resultMap;
}

之前我是将shiro已经实现的UsernamePasswordToken类再封装了一层,最后发现没有必要,直接使用shiro提供的UsernamePasswordToken的类,其中有一个构造函数需要传rememberMe这个参数,也就是shiro为我们已经实现好了,推荐大家去看下UsernamePasswordToken这个类的源码。

  • jsp页面的改造
<!DOCTYPE html>
<%@ page language="java" contentType="text/html; charset=utf-8"
	pageEncoding="utf-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path;
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<script type="text/javascript"
	src="<%=basePath%>/static/js/jquery-1.11.3.js"></script>
<title>登录</title>
</head>
<body>
	错误信息:
	<h4 id="erro"></h4>
	<form>
		<p>
			账号:<input type="text" name="username" id="username" value="admin" />
		</p>
		<p>
			密码:<input type="text" name="password" id="password" value="123" />
		</p>		
		<P><input type="checkbox" name="rememberMe"  id="rememberMe" />记住我</P>
		<p>
			<input type="button" id="ajaxLogin" value="登录" />
		</p>
		
	</form>
</body>
<script>
$(function(){
	$("#ajaxLogin").click(function() {
		var username = $("#username").val();
		var password = $("#password").val();
		var rememberMe =$('#rememberMe').is(':checked');
		$.post("/ajaxLogin", {
			"username" : username,
			"password" : password,
			"rememberMe" : rememberMe
		}, function(result) {
			if (result.status == 200) {
				location.href = "/index";
			} else {
				$("#erro").html(result.message);
			}
		});
	});
});
</script>
</html>

添加一个记住我的单选框,来控制是否需要记住我。

  • 修改权限配置,修改sys_permission_init表

链接权限控制表

因为getGifCode是获取验证码的链接,所以要配置为anon,不需要权限验证。user权限是配置记住我或认证通过可以访问,所以将/**链接设置为user权限,就可以实现记住我的功能。

注意权限添加的排序。 GIF验证码

  • 编写一个获取GIF验证码图片的controller:
/**
 * 获取验证码(Gif版本)
 * @param response
 */
@RequestMapping(value="getGifCode",method=RequestMethod.GET)
public void getGifCode(HttpServletResponse response,HttpServletRequest request){
	try {
		response.setHeader("Pragma", "No-cache");  
        response.setHeader("Cache-Control", "no-cache");  
        response.setDateHeader("Expires", 0);  
        response.setContentType("image/gif");  
        /**
         * gif格式动画验证码
         * 宽,高,位数。
         */
        Captcha captcha = new GifCaptcha(146,33,4);
        //输出
        captcha.out(response.getOutputStream());
        HttpSession session = request.getSession(true);  
        //存入Session
        session.setAttribute("_code",captcha.text().toLowerCase());  
	} catch (Exception e) {
		System.err.println("获取验证码异常:"+e.getMessage());
	}
}

生成验证码后,将图片返回到页面,将字符串保存在当前会话的session域中。

这个GIF验证码的生成插件源码在我的项目io.z77z.vcode这个包下面,大家需要的话可以在我的码云上去下载。

  • 改造登录controller:
/**
 * ajax登录请求
 * @param username
 * @param password
 * @return
 */
@RequestMapping(value="ajaxLogin",method=RequestMethod.POST)
@ResponseBody
public Map<String,Object> submitLogin(String username, String password,String vcode,Boolean rememberMe,Model model) {
	Map<String, Object> resultMap = new LinkedHashMap<String, Object>();
	
	if(vcode==null||vcode==""){
		resultMap.put("status", 500);
		resultMap.put("message", "验证码不能为空!");
		return resultMap;
	}
	
	Session session = SecurityUtils.getSubject().getSession();
	//转化成小写字母
	vcode = vcode.toLowerCase();
	String v = (String) session.getAttribute("_code");
	//还可以读取一次后把验证码清空,这样每次登录都必须获取验证码
	//session.removeAttribute("_come");
   	if(!vcode.equals(v)){
   		resultMap.put("status", 500);
		resultMap.put("message", "验证码错误!");
		return resultMap;
   	}
	
	try {
		UsernamePasswordToken token = new UsernamePasswordToken(username, password,rememberMe);
		SecurityUtils.getSubject().login(token);
		resultMap.put("status", 200);
		resultMap.put("message", "登录成功");

	} catch (Exception e) {
		resultMap.put("status", 500);
		resultMap.put("message", e.getMessage());
	}
	return resultMap;
}

登录的时候判断前台传入的验证码和session中的是否一致。

  • 前端jsp页面改造
<!DOCTYPE html>
<%@ page language="java" contentType="text/html; charset=utf-8"
	pageEncoding="utf-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path;
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<script type="text/javascript"
	src="<%=basePath%>/static/js/jquery-1.11.3.js"></script>
<title>登录</title>
</head>
<body>
	错误信息:
	<h4 id="erro"></h4>
	<form>
		<p>
			账号:<input type="text" name="username" id="username" value="admin" />
		</p>
		<p>
			密码:<input type="text" name="password" id="password" value="123" />
		</p>
		<p>
			验证码:<input type="text" name="vcode" id="vcode"/>
		</p>
		<p>
			<img alt="验证码" src="/getGifCode">
		</p>
		
		<P><input type="checkbox" name="rememberMe"  id="rememberMe" />记住我</P>
		<p>
			<input type="button" id="ajaxLogin" value="登录" />
		</p>
		
	</form>
</body>
<script>
$(function(){
	$("#ajaxLogin").click(function() {
		var username = $("#username").val();
		var password = $("#password").val();
		var vcode = $("#vcode").val();
		var rememberMe =$('#rememberMe').is(':checked');
		$.post("/ajaxLogin", {
			"username" : username,
			"password" : password,
			"vcode" : vcode,
			"rememberMe" : rememberMe
		}, function(result) {
			if (result.status == 200) {
				location.href = "/index";
			} else {
				$("#erro").html(result.message);
			}
		});
	});
});
</script>
</html>

总结:

到此,我们集成shiro和redis,学习了一下功能的实现:

  1. 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面,被禁用户不能登录。并且对一些敏感操作链接设置权限,只有满足权限的才可以访问。
  2. 每个链接的权限信息保存在数据库,可以动态进行设置,并且热加载权限。
  3. 使用redis对shiro的用户信息进行缓存,不用每次都去执行MyShiroRealm.doGetAuthorizationInfo()权限认证方法。
  4. 之前有很多同学下载我的项目时,运行会报错,那是因为最近都在不断修改提交,有可能会出现版本问题,现在我在我的码云上面创建了stable_version分支,都是可以跑起来的。sqltable放在resource目录下面。
  5. “记住我”的功能,利用cookie。
  6. GIF验证码的生成,在登陆时进行验证码的校验。利用session。
  7. 下一博,我应该会写对在线用户的管理,踢出登录的功能学习记录。

香蕉硬币点赞走一波啦。。。。。。

© 著作权归作者所有

共有 人打赏支持
邹海清
粉丝 127
博文 17
码字总数 32303
作品 0
成都
程序员
加载中

评论(3)

李逍遥丶
李逍遥丶
有问题把这样写 顺序,执行 缓冲区 flush()后就不能在返回Sessioncookie了
captcha.out(response.getOutputStream());
HttpSession session = request.getSession(true);
邹海清
邹海清

引用来自“zheng875”的评论

这波内容有点少啊,还以为踢人也会在这一波里呢

最近跳槽找工作,比较忙啊。谅解
zheng875
zheng875
这波内容有点少啊,还以为踢人也会在这一波里呢
如何防止用户论坛恶意灌水

今天论坛有很多广告信息。每个版块都有几百条信息。手动发不可能。一定是用程序发的。无法通过程序判断是否灌水,只能通过设置发帖间隔时间、发帖最少字数及发帖验证码来减少。例如后台数据库...

mickelfeng
2013/07/22
2.5K
6
python-50: 验证码

好了,到这里这个实例就讲解完了,大致的流程我在上一小节已经写出来了,这里就不重复了 这仅仅是模拟登陆中最最简单的例子,因为你不用面对验证码的机制或者是其他的登陆限制,你可以试着去...

达岭凹老大
2015/12/09
346
1
机器学习Python识别图片验证码原理

今天带你们走进一个听起来比较牛逼的领域,机器学习。 拿百科的话来说,机器学习(Machine Learning, ML)就是专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能。其涉及范围...

那位先生
2016/11/26
942
0
ASP.NET 2.0 HttpHandler实现生成图片验证码(示例代码下载)

学习整理了一下 (一).功能 用HttpHandler实现图片验证码 (二).代码如下 1. 处理程序文件 ValidateImageHandler.ashx代码如下 1 <%@ WebHandler Language="C#" Class="ValidateImageHandler" ...

晨曦之光
2012/03/09
217
0
shiro 之 认证登录的demo

1 shiro登录的简单demo 1.1 web.xml添加shiroFilter <!-- shiro过虑器,DelegatingFilterProx会从spring容器中找shiroFilter --> <filter> <filter-name>shiroFilter</filter-name> <filter......

龙之天空
2015/11/17
0
2
聚合数据API查询快递数据-短信验证码-企业核名

有位朋友让我给他新开的网站帮忙做几个小功能,如下: 输入快递公司、快递单号,查询出这个快件的所有动态(从哪里出发,到了哪里) 在注册、登录等场景下的手机验证码(要求有一定的防刷策略...

熊babi
2016/08/30
21
0
12306订票助手--12306-hunter

重要说明:由于12306网站已经全面切换为新版,此版本应用实现已经失效.由于年末较忙暂无更新计划,请另行选择其他最新主流订票助手. 开源Java Swing C/S版本12306订票助手 开源代码: https:...

xautlx
2013/11/17
7K
5
ShopEx 商店系统 V4.8.4版本正式发布

此版本对商品规格、配送方式、配送地区等主要功能进行了一系列改造,大大增强了商品表现力,版本详细内容请浏览下面内容列表。同时V4.8.5版本已经在开发中,敬请期待。 V4.8.3---V4.8.4升级:...

红薯
2009/03/26
1K
0
使用聚合数据API查询快递数据-短信验证码-企业核名

文章来源:http://www.cnblogs.com/annie00/p/5810326.html 有位朋友让我给他新开的网站帮忙做几个小功能,如下: 输入快递公司、快递单号,查询出这个快件的所有动态(从哪里出发,到了哪里...

熊babi
2016/08/30
815
1
shenzhanwang/Spring-shiro

Spring-shiro 为了给MIS系统添加一套较为通用的权限控制功能,本项目基于Spring,整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能...

shenzhanwang
2017/02/12
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Win10专业版安装GIT后使用Git Bash闪退解决办法

百度后把过程和最终解决办法记录下来: 百度首先出来的解决办法如下: 来自:https://segmentfault.com/q/1010000012722511?sort=created 重启电脑 重新安装 安装到C盘 尝试网上的教程 \Git...

特拉仔
15分钟前
0
0
设计模式

1.装饰器模式 概念 允许向一个现有的对象添加新的功能,同时又不改变其结构。装饰者可以在所委托被装饰者的行为之前或之后加上自己的行为,以达到特定的目的。 实现 增加一个修饰类包裹原来的...

EasyProgramming
30分钟前
1
0
用python2和opencv进行人脸识别

一、安装cv2 sudo apt-get install python-opencv opencv-data 二、 Haar特征分类器 Haar特征分类器就是一个XML文件,该文件中会描述人体各个部位的Haar特征值。包括人脸、眼睛、嘴唇等等。 ...

wangxuwei
30分钟前
0
0
python模板中循环字典

{% for k,v in user.items %} {{ k}} {{ v}} {% endfor %}

南桥北木
58分钟前
0
0
Java8系列之重新认识HashMap

简介 Java为数据结构中的映射定义了一个接口java.util.Map,此接口主要有四个常用的实现类,分别是HashMap、Hashtable、LinkedHashMap和TreeMap,类继承关系如下图所示: 下面针对各个实现类...

HOT_POT
今天
0
0
获取调用方的className

/** * 获取调用方的class * @return */private static String getInvoke() { StackTraceElement[] stackTrace = Thread.currentThread().getStackTrace(); S......

iborder
今天
0
0
深入了解一下Redis的内存模型!

一前言 Redis是目前最火爆的内存数据库之一,通过在内存中读写数据,大大提高了读写速度,可以说Redis是实现网站高并发不可或缺的一部分。 我们使用Redis时,会接触Redis的5种对象类型(字符...

Java填坑之路
今天
1
0
从实践出发:微服务布道师告诉你Spring Cloud与Spring Boot他如何选择

背景 随着公司业务量的飞速发展,平台面临的挑战已经远远大于业务,需求量不断增加,技术人员数量增加,面临的复杂度也大大增加。在这个背景下,平台的技术架构也完成了从传统的单体应用到微...

老道士
今天
1
0
大数据学习的各个阶段

第一阶段:Linux课程讲解Linux基础操作,讲的是在命令行下进行文件系统的操作,这是Hadoop学习的基础,后面的所有视频都是基于linux操作的。鉴于很多学员没有linux基础,特增加该内容,保证零linux...

董黎明
今天
0
0
CVE-2013-0077 堆溢出分析

找了很久才发现这个环境比较容易搭建分析... 环境: 系统---Win XP SP3 漏洞程序:QQPlayer 3.7.892.400 出错DLL:quartz.dll 6.5.2600.5512 调试工具:x32db+gflag.exe 过程: 首先gflag设置...

Explorer0
今天
7
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部