spring security 实现短信登录---若依RuoYi整合短信验证码登录

最新推荐文章于 2024-07-15 22:38:39 发布
最新推荐文章于 2024-07-15 22:38:39 发布
阅读量909 收藏 19
点赞数 11
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75600005/article/details/140252474
版权
背景:若依默认使用账号密码进行登录,但是咱们客户需要增加一个短信登录功能,即在不更改原有账号密码登录的基础上,整合短信验证码登录

本案例基于RuoYi-Vue版本实现,其他版本应该大同小异。

 本文参考http://t.csdnimg.cn/go78Z

1 自定义短信登录 token 验证

仿照 UsernamePasswordAuthenticationToken 类,编写短信登录 token 验证。

我们自己构造的这个SmsCodeAuthenticationToken 里面不需要传递密码,因为短信登录不需要

注意看里面的两个构造函数,有鉴权 就是通过了验证,一般在jwt过滤器中使用有鉴权的这个构造器,第一次登录的时候调用的是没有鉴权的

(一般就是已经登陆过了,发送请求的时候从解析出token的userid 去redis中取得认证信息)

package com.ruoyi.framework.security.authentication;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.SpringSecurityCoreVersion;

import java.util.Collection;

/**
 * 自定义短信登录token验证
 */
public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    /**
     * 存储手机号码
     */
    private final Object principal;

    /**
     * 构建一个没有鉴权的构造函数
     */
    public SmsCodeAuthenticationToken(Object principal) {
        super(null);
        this.principal = principal;

        setAuthenticated(false);
    }

    /**
     * 构建一个拥有鉴权的构造函数
     */
    public SmsCodeAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
//告诉后面的过滤器这个已经 认证通过了
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }
        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }
    
}
二、编写 UserDetailsService 实现类

在用户信息库中查找出当前需要鉴权的用户,如果用户不存在,loadUserByUsername() 方法抛出异常;如果用户名存在,将用户信息和权限列表一起封装到 UserDetails 对象中。

 

package com.ruoyi.system.service.impl;

import com.ruoyi.common.core.domain.entity.SysUser;
import com.ruoyi.common.core.domain.model.LoginUser;
import com.ruoyi.common.enums.UserStatus;
import com.ruoyi.common.exception.ServiceException;
import com.ruoyi.common.utils.StringUtils;
import com.ruoyi.system.service.ISysUserService;
import com.ruoyi.system.service.SysPermissionService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

/**
 * 用户验证处理
 *
 * @author hjs
 */
@Service("userDetailsByPhonenumber")
public class UserDetailsByPhonenumberServiceImpl implements UserDetailsService {

    private static final Logger log = LoggerFactory.getLogger(UserDetailsByPhonenumberServiceImpl.class);

    @Autowired
    private ISysUserService userService;

    @Autowired
    private SysPermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String phoneNumber) throws UsernameNotFoundException {
    	// 防止漏查角色等所需的信息,尽量模仿根据用户名查用户的方法开发:ISysUserService.selectUserByUserName(username)
        SysUser user = userService.selectUserByPhonenumber(phoneNumber);
        if (StringUtils.isNull(user)) {
            log.info("登录用户:{} 不存在.", phoneNumber);
            throw new ServiceException("登录用户:" + phoneNumber+ " 不存在");
        } else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())) {
            log.info("登录用户:{} 已被删除.", phoneNumber);
            throw new ServiceException("对不起,您的账号:" + phoneNumber+ " 已被删除");
        } else if (UserStatus.DISABLE.getCode().equals(user.getStatus())) {
            log.info("登录用户:{} 已被停用.", phoneNumber);
            throw new ServiceException("对不起,您的账号:" + phoneNumber+ " 已停用");
        }
        return createLoginUser(user);
    }

    public UserDetails createLoginUser(SysUser user) {
    	return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
        // return new LoginUser(user, permissionService.getMenuPermission(user));
    }

}
三、自定义短信登录身份认证

(这一步 我还没懂)
在 Sping Security 中因为 UserDetailsService 只提供一个根据用户名返回用户信息的动作,其他的责任跟他都没有关系,怎么将 UserDetails 组装成 Authentication 进一步向调用者返回呢?其实这个工作是由 AuthenticationProvider 完成的,下面我们自定义一个短信登录的身份鉴权。

自定义一个身份认证,实现 AuthenticationProvider 接口;

确定 AuthenticationProvider 仅支持短信登录类型的 Authentication 对象验证;

 1、重写 supports(Class<?> authentication) 方法,指定所定义的 AuthenticationProvider 仅支持短信身份验证。

 2、重写 authenticate(Authentication authentication) 方法,实现身份验证逻辑。

package com.ruoyi.framework.security.authentication;

import com.ruoyi.framework.security.authentication.SmsCodeAuthenticationToken;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * 自定义短信登录身份认证
 */
public class SmsCodeAuthenticationProvider implements AuthenticationProvider {

    private UserDetailsService userDetailsService;

    public SmsCodeAuthenticationProvider(UserDetailsService userDetailsService){
        setUserDetailsService(userDetailsService);
    }
    
    /**
     * 重写 authenticate方法,实现身份验证逻辑。
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication;
        String telephone = (String) authenticationToken.getPrincipal();
        // 委托 UserDetailsService 查找系统用户
        UserDetails userDetails = userDetailsService.loadUserByUsername(telephone);
        // 鉴权成功,返回一个拥有鉴权的 AbstractAuthenticationToken
        SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(userDetails, userDetails.getAuthorities());
        authenticationResult.setDetails(authenticationToken.getDetails());
        return authenticationResult;
    }

    /**
     * 重写supports方法,指定此 AuthenticationProvider 仅支持短信验证码身份验证。
     */
    @Override
    public boolean supports(Class<?> authentication) {
        return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication);
    }

    public UserDetailsService getUserDetailsService() {
        return userDetailsService;
    }

    public void setUserDetailsService(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

}
四、修改 SecurityConfig 配置类

这一步主要是为了配置 这个authentication用来调哪个对象userdetailservice

4.1 添加 bean 注入

 身份认证方法加入手机登录鉴权 

 五、发送验证码,
/**
 * 发送短信验证码接口
 * @param phoneNumber 手机号
 */
@ApiOperation("发送短信验证码")
@PostMapping("/sendSmsCode/{phoneNumber}")
public AjaxResult sendSmsCode(@PathVariable("phoneNumber") String phoneNumber) {
	// 手机号码
    phoneNumber = phoneNumber.trim();
    // 校验手机号
    SysUser user = sysUserService.selectUserByPhonenumber(phoneNumber);
    if (StringUtils.isNull(user)) {
        throw new ServiceException("登录用户:" + phoneNumber+ " 不存在");
    }else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())) {
        throw new ServiceException("对不起,您的账号:" + phoneNumber+ " 已被删除");
    }else if (UserStatus.DISABLE.getCode().equals(user.getStatus())) {
        throw new ServiceException("对不起,您的账号:" + phoneNumber+ " 已停用");
    }

    /**
     * 省略一千万行代码:校验发送次数,一分钟内只能发1条,一小时最多5条,一天最多10条,超出提示前端发送频率过快。
     * 登录第三方短信平台后台,康康是否可以设置短信发送频率,如果有也符合业务需求可以不做处理。
     */

    // 生成短信验证码
    String smsCode = "" + (int)((Math.random()*9+1)*1000);
    // 发送短信(实际按系统业务实现)
    SmsEntity entity = new SmsEntity(phoneNumber, smsCode);
    SendMessage.sendSms(entity);
    if(entity==null || !SmsResponseCodeEnum.SUCCESS.getCode().equals(entity.getResponseCode())){
        throw new ServiceException(entity.getResponseDesc());
    }
    // 保存redis缓存
    String uuid = IdUtils.simpleUUID();
    String verifyKey = SysConst.REDIS_KEY_SMSLOGIN_SMSCODE + uuid;
    redisCache.setCacheObject(verifyKey, smsCode, SysConst.REDIS_EXPIRATION_SMSLOGIN_SMSCODE, TimeUnit.MINUTES);

    /**
     * 省略一千万行代码:保存数据库
     */

	AjaxResult ajax = AjaxResult.success();	
	ajax.put("uuid", uuid);
    return ajax;
}
 六、验证码登录
/**
 * 短信验证码登录验证
 * @param dto phoneNumber 手机号
 * @param dto smsCode 短信验证码
 * @param dto uuid 唯一标识
 */
@ApiOperation("短信验证码登录验证")
@PostMapping("/smsLogin")
public AjaxResult smsLogin(@RequestBody @Validated SmsLoginDto dto) {
	// 手机号码
    String phoneNumber = dto.getPhoneNumber();
    // 校验验证码
    String verifyKey = SysConst.REDIS_KEY_SMSLOGIN_SMSCODE + dto.getUuid();
    String captcha = redisCache.getCacheObject(verifyKey);
    if(captcha == null) {
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(phoneNumber, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.expire")));
        // 抛出一个验证码过期异常
        throw new CaptchaExpireException();
    }
    if(!captcha.equals(dto.getSmsCode().trim())){
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(phoneNumber, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.error")));
        // 抛出一个验证码错误的异常
        throw new CaptchaException();
    }
    redisCache.deleteObject(verifyKey);

    // 用户验证
    Authentication authentication = null;
    try {
        // 该方法会去调用UserDetailsByPhonenumberServiceImpl.loadUserByUsername
        authentication = authenticationManager.authenticate(new SmsCodeAuthenticationToken(phoneNumber));
    } catch (Exception e) {
        if (e instanceof BadCredentialsException) {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(phoneNumber, 
            		Constants.LOGIN_FAIL, MessageUtils.message("account.not.incorrect")));
            throw new UserPasswordNotMatchException();
        } else {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(phoneNumber, 
            		Constants.LOGIN_FAIL, e.getMessage()));
            throw new ServiceException(e.getMessage());
        }
    }
    // 执行异步任务,记录登录信息
    AsyncManager.me().execute(AsyncFactory.recordLogininfor(phoneNumber, 
    		Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
    // 获取登录人信息
    LoginUser loginUser = (LoginUser) authentication.getPrincipal();
    // 修改最近登录IP和登录时间
    recordLoginInfo(loginUser.getUserId());
    // 生成token
    String token = tokenService.createToken(loginUser);

    // 返回token给前端
    AjaxResult ajax = AjaxResult.success();
    ajax.put(Constants.TOKEN, token);
    return ajax;
}

菜鸡且互啄69
关注
  • 11
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云java验证码源码-ruoyi:若依二开
06-06
阿里云java验证码源码 平台简介 一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站...
SpringSecurity+Oauth2集成登录
康小虎的博客
11-11 1273
之前的博客有写过SpringCloud+SpringSecurity+Oauth2的token刷新功能,最近又完成了验证登录的功能。SpringSecurityOauth2没有直接提供集成登录的配置,我们可以仿照用户名密码登录的整个流程来实现验证码的登录。主要参考来自视频https://www.bilibili.com/video/BV16J41127jq?p=24,大家有时间的话还是可以将所有的视频看一下,照着他的做基本就可以实现登录的需求。
若依 关于 springsecurity 不用密码登录,自定义第三方登录、免登录
u012943721的博客
08-29 4692
用的是若依的前后端分离的版本,项目接口是给小程序用 openid 直接免登录。他这是根据用户名和密码进行比对、由于密码没办法转换成明文。只能改成如下方法免登录
若依前后端分离Spring Security新增手机号登录
qq_39845279的博客
05-31 258
按照Security的流程图可知,实现多种方式登录,只需要重写三个主要的组件,第一个用户认证处理过滤器,第二个用户认证token类,第三个,自定义登录身份认证。
RuoYi-activitiRuoYi-activitiRuoYi-activiti
06-24
RuoYi-Activiti是一款基于Spring的开源工作流引擎,它基于 Activiti 的强大功能,为中国的开发者提供了更友好的界面和更贴近国内业务场景的解决方案。在本篇文章中,我们将深入探讨RuoYi-Activiti的原理、核心组件、...
浅析Spring Security登录验证流程
08-25
SmsCodeAuthenticationFilter实现验证登录认证,SocialAuthenticationFilter实现社交媒体方式登录认证的处理,Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter实现Oauth2...
java+spring+mybatis+mysql+RuoYi-atomikos-实现分布式事务.zip
11-09
本项目"java+spring+mybatis+mysql+RuoYi-atomikos-实现分布式事务.zip"是一个基于若依(RuoYi)框架改造的多模块分布式事务解决方案,它利用了Atomikos这一强大的分布式事务管理器。以下将详细解析这个项目的知识点...
vue实现验证登录功能(流程详解)
10-15
无论是移动端还是pc端登录或者注册界面都会见到手机验证登录这个功能,输入手机号,得到验证码,这篇文章主要介绍了基于vue实现验证登录功能,需要的朋友可以参考下
Spring源码(三) Spring IoC之BeanFactory创建bean和获取bean
一生编程,快乐编程
07-11 948
bean 对象主要放在 map 里面,map 作为缓存。map 的key 是 bean对象的名称, value 是 bean 对象或者对象工厂。代码详情见: https://blog.csdn.net/sinat_32502451/article/details/140155044。详情见: https://blog.csdn.net/sinat_32502451/article/details/140247662。根据 bean 名称,返回已经注册的单例对象,如果没有注册,则创建并注册一个新对象。
springmvc1
benpaodeDD的博客
07-14 117
以前的servlet程序:
springboot start.aliyun.com java8
JavaUpgrade
07-15 36
springboot 2.3.12.RELEASE alibaba cloud RDS alibaba cloud Redis alibaba cloud oss alibaba cloud sms alibaba cloud schedulerX spring cloud alibaba
Spring常见的自定义和扩展的方法
Casual_Lei的博客
07-12 227
通过类和@Bean方法,自定义Bean的创建过程。@Bean使用Spring AOP(Aspect-Oriented Programming)自定义注解和拦截方法调用。通过实现接口,在Bean的初始化前后添加自定义逻辑。@Component@Override@Override通过实现接口,可以在Bean定义加载后但在Bean实例化前修改Bean定义。@Component@Override通过实现接口,监听Spring应用上下文事件。
5.SpringBoot核心源码-启动类源码分析
流月up的博客
07-12 394
SpringBoot核心源码-启动类源码分析
六、 SpringBoot 配置⽂件 ★ ✔【value的引号注意事项、@ConfigurationProperties 、】
蓝天it(让亿万孩子在蓝天下共享优质教育)
07-12 961
Kaptcha 是Google的⼀个⾼度可配置的实⽤验证码⽣成⼯具. 代码:⽹上有很多⼈甚⾄公司基于Google的kaptcha进⾏了⼆次开发. 我们选择⼀个直接适配SpringBoot的开源项⽬由于作者的⽂档写的不是很全, 下⾯简单介绍下插件的使⽤原理验证码可以客⼾端⽣成, 也可以服务器⽣成. 对于普通的字符验证码, 后端通常分两部分.⼀是⽣成验证码内容, 根据验证码内容和⼲扰项等, ⽣成图⽚, 返回给客⼾端。
解决springboot整合jpa启动类报错:Not a managed type: class com.example.entity.Xxx
DN金猿的博客
07-15 12
【代码】解决springboot整合jpa启动类报错:Not a managed type: class com.example.entity.Xxx。
玩转springboot之springboot集成redis乱码问题
Lxn2zh的博客
07-15 57
在使用redis操作字符串时发现会变成乱码,这是因为RedisTemplate默认是使用的是JdkSerializationRedisSerializer序列化方式,这里可以使用StringRedisTemplate来进行操作,StringRedisTemplate中默认使用的是StringRedisSerializer。也可以对RedisTemplate进行配置,设置其序列化方式。springboot集成redis乱码问题。
基于SpringBoot+MySQL的租房项目+文档
欧阳小白闯天涯
07-11 937
在当今快节奏的生活中,房屋租赁市场的需求与日俱增。为了有效管理租房流程、提升用户体验,本文基于SpringBoot+MySQL技术栈,设计并实现了一套全方位的租房系统。该系统融合了经纪人、维修员、管理员和用户四个角色,各自拥有独特的功能模块,包括房源管理、维修处理、员工用户管理、统计分析等。经纪人角色能够方便地添加房源、管理自己的房源、处理房源出租事务,并通过系统提供的月出租量统计功能进行业绩分析与优化。其次,维修员可以及时响应待处理的房源报修请求,有效地管理已处理的房源维修记录。
在项目中,如何使用springboot+vue+springsecurity+redis缓存+Axios+MySQL数据库+mybatis
huanghm88的专栏
07-11 693
Spring Boot中,可以使用Spring Data JPA和MyBatis来配置MySQL数据库。在Vue项目中,可以创建一个config.js文件来配置后端的API地址,然后在需要发送请求的地方使用Axios发送请求。根据业务需求,在Spring Boot中编写相应的接口和服务层代码,包括数据访问、业务逻辑等。在Vue中,可以使用Axios发送HTTP请求,并将响应的数据展示在前端页面上。分别启动后端的Spring Boot应用和前端的Vue应用,访问前端页面,就可以看到与后端进行通的效果。
No spring.config.import property has been defined 及其它几个问题
最新发布
王广帅--游戏开发技术
07-15 110
最近对nacos版本进行了升级,在使用nacos2.2.x的时候遇到的这个问题:No spring.config.import property has been defined。springboot版本也进行了升级到了版本3.5.x。那么在配置中必须添加spring.cloud.nacos.config的相关配置。因为注册到nacos的服务必须是一个web服务。
若依 验证登录
06-12
若依(RuoYi)是一个基于Spring Boot的轻量级、模块化的后台开发框架,它旨在帮助开发者快速构建企业级的Web应用后端。验证登录是若依框架中常用的一种身份验证方式,用于增强账户安全性,当用户注册或找回密码时,系统会生成一个随机验证码发送到用户的手机上,用户输入正确的验证码才能继续登录。 具体步骤如下: 1. 用户输入手机号并请求发送验证码。 2. 后端接收到请求后,调用服务发送验证码到指定手机。 3. 用户收到验证码后,输入验证码并提交给服务器。 4. 服务器验证输入的验证码是否正确,若匹配则允许登录,否则提示错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值