Spring Security实现手机号和验证码认证

最新推荐文章于 2024-05-18 16:40:18 发布
最新推荐文章于 2024-05-18 16:40:18 发布
阅读量747 收藏 21
点赞数 13
分类专栏: sbvadmin 文章标签: spring java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_angT/article/details/137766277
版权

文章目录

概要

Spring Security 是一个很常用的安全框架,当然老外写的框架很多时候还是不会适应咱们的国情,比如现在的登录,手机号加验证码才是主流,毕竟密码太多,谁都会忘。而其默认的认证方式还是username 加 password的方式:UsernamePasswordAuthenticationToken。本文讲述了如何使用解决手机号和验证码的方式完成认证。

参考资料

这里我参考几篇文章,不过大部分的文章还在用WebSecurityConfigurerAdapter ,这个已经不适用于最新的SpringSecurity了,还有就是一般会让你写token,provider,和filter三个文件。
SpringSecurity自定义实现手机短信登录
Spring Security学习(六)——配置多个Provider(存在两种认证规则)

整体架构流程

本文会相对来说比较简单,同时本文建立在第四节 springsecurity结合jwt实现前后端分离开发的基础上进行开发的。

  1. 创建一个SmsAuthenticationProvider
  2. `ProviderManager``中配置两个provider

SmsAuthenticationProvider

首先我们参考DaoAuthenticationProvider写一个针对手机号验证码的认证提供者。我们需要继承AbstractUserDetailsAuthenticationProvider ,然后实现retrieveUser和additionalAuthenticationChecks,第一个方法其实基本不用动,核心就是在第二个方法里面对验证码进行判断

package com.sbvadmin.config;

import com.jayway.jsonpath.Criteria;
import com.sbvadmin.service.impl.UserServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

@Component
public class SmsAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

    private UserServiceImpl userService;

    @Autowired
    RedisTemplate redisTemplate;

    private UserDetailsService userDetailsService;
    protected UserDetailsService getUserDetailsService() {
        return this.userDetailsService;
    }
    public void setUserDetailsService(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }
    @Override
    protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        try {
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException(
                        "UserDetailsService returned null, which is an interface contract violation");
            }
            return loadedUser;
        }
        catch (UsernameNotFoundException ex) {
            throw ex;
        }
        catch (InternalAuthenticationServiceException ex) {
            throw ex;
        }
        catch (Exception ex) {
            throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
        }
    }

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails,
                                                  UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Failed to authenticate since no credentials provided");
            throw new BadCredentialsException(this.messages
                    .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }

        String presentedCode = authentication.getCredentials().toString(); // 待匹配的验证码
        Object codeInCache = redisTemplate.opsForValue().get(userDetails.getUsername()); // 短信生成的验证码
        if (codeInCache == null){
            this.logger.info("验证码已经失效");
            throw new BadCredentialsException("验证码已经失效");
        }
        if (!codeInCache.toString().equals(presentedCode)){
            this.logger.info("验证码错误");
            throw new BadCredentialsException("验证码错误");
        }
    }
}

ProviderManager中配置两个provider

     @Bean
     DaoAuthenticationProvider daoAuthenticationProvider(){
         DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
         daoAuthenticationProvider.setPasswordEncoder(new BCryptPasswordEncoder());
         daoAuthenticationProvider.setUserDetailsService(userServiceDetails);
         return daoAuthenticationProvider;
     }
    @Bean
     protected AuthenticationManager authenticationManager() throws Exception {
        smsAuthenticationProvider.setUserDetailsService(userServiceDetails);
        // 加入两个provider
        ProviderManager authenticationManager = new ProviderManager(Arrays.asList(daoAuthenticationProvider(),smsAuthenticationProvider));
        authenticationManager.setEraseCredentialsAfterAuthentication(false);
        return authenticationManager;
     }

小结

其实这里的核心就是看懂getAuthenticationManager().authenticate执行认证时候的代码,里面对provider进行了循环认证,默认的只有daoAuthenticationProvider一个,我们再加一个smsAuthenticationProvider的provider就能很好的解决这个问题,然后登录接口地址也不变,十分方便。唯一不足的就是提示方面弱一些,统一会提示用户名或密码或验证码错误。
代码地址:https://github.com/billyshen26/sbvadmin

F_angT
关注
  • 13
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
主要介绍了SpringBoot + SpringSecurity 短信验证码登录功能实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity +Jwt 使用手机号码 + 验证码登录
qq_45524787的博客
07-25 3329
SpringSecurity +Jwt 使用手机号码 + 验证码登录
Java实现手机验证码登录SpringSecurity权限控制
我要记录学习博客
06-24 1982
由于身份受限,只能基于模拟的方式进行验证码发送,而不能通过手机短信实现(开通需要认证资质或上线项目) 2、后端生产验证码并保存到Redis中 3、手机登录后端代码编写 3.1、Controller登录控制器编写 页面登录够可以查看浏览器的Cookie是否有保存到用户的手机号信息查看Redis可视化工具查看保存的用户登录信息系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证认证的目的是让系统知道你是谁。用户认证成功后,需要为用户授权,其实就是指定当前用户可以
Springboot 整合SpringSecurity实现账号密码+手机验证码登陆
alexliu0725的博客
09-19 5158
Springboot 整合SpringSecurity实现账号密码+手机验证码登陆示例说明版本示例安装Spring-security 介绍为什么不用 shiroSpring-Security 做用户认证、授权CSRF 跨站请求伪造防护iframe 嵌入提升用户、编码体验更多 SpringSecuritySpring 提供安全管理框架。核心内容包含认证、授权、攻击防护。实际上SpringSecurity 已经发展了多年了,但是在 SSM/SSH 中整合 SpringSecurity 相较于 Shiro
springboot集成security手机号+验证码
zlhmeng的博客
04-04 819
springboot集成security手机号验证码的方式
最全SpringBoot下SpringSecurity账号和手机验证码登录多重认证实践
Soinq的博客
12-11 3013
文章目录一: Spring Boot 引入Security 的 pom依赖1.1: 首先引入pom jar 包1.2: 配置 WebSecurityConfig@EnableWebSecurity 作用 :在这个配置类中,我们主要做了以下几个配置:二: 账号权限登录流程账号登录认证流程过滤器 JwtLoginFilter三: 手机号权限登录流程手机号登录认证流程过滤器 SmsCodeLoginFilter四: token 过滤认证校验token 认证过滤器 JwtTokenAuthenticationFil
Spring Security05--手机验证码登录
fengxianaa的博客
05-11 4340
上一篇:https://blog.csdn.net/fengxianaa/article/details/124717243 1. 手机验证码登录 账号密码是最常见的登录方式,但是现在的登录多种多样:手机验证码、二维码、第三方授权等等 下面模仿账号密码登录,新增一下手机验证码登录 1. 获取手机验证码 修改 SecController 增加: @GetMapping("/phone/code") public String phoneCode(HttpSession session) th
使用Spring Boot Security 实现认证 手机号登录 微信扫码登录 微信扫码注册
Likefr
03-09 1736
利用Spring Security 实现基于手机号密码的登录功能,并结合微信扫码实现用户注册的功能。通过我这种方案,用户可以选择使用手机号密码登录,或者通过微信扫码进行注册。我们将详细介绍了如何获取微信授权二维码、微信授权回调、注册接口以及自定义认证提供者等方面的实现细节。您将了解到如何使用Spring Security构建安全可靠的身份认证系统,并且为用户提供多样的登录与注册选择
spring boot整合spring security(二)--手机号验证码登陆
热门推荐
意田天的博客
11-11 2万+
手机号验证码登陆概述搭建基础架构认证流程定义token定义过滤器filter接下来是自定义手机号验证码登陆鉴证器provider修改UserDetailService的实现类为生成验证码接口登陆接口测试未登录状态用户名 密码登陆手机号 验证码登陆 概述 spring security默认使用的是用户名密码的登陆,如果想要增加一种登陆方式, 就要仿照源码中用户名密码登陆的方式, 手写一套手机号验证码登陆校验, 话不多说, 开干! 搭建基础架构 搭建项目基础架构工作, 在(一)中已经完成, 这里直接在其基础上
SpringSecurity 手机号登录
weixin_42679286的博客
12-14 818
1.前端先做非机器人验证。2.生成随机码,与手机号存入缓存或数据库。3.掉第三方接口发送到用户手机。4.用户拿验证码登录接口校验验证码。5.在过滤器里校验安全性。
Spring Security技术栈开发企业级认证与授权.zip
06-05
集成 spring securit, spring security oauth 和 spring social,实现 用户名密码登录,手机验证码登录,社交账号登录,基于jwt的sso,集群session管理等功能。
SpringBoot+Security 发送短信验证码实现
08-27
主要介绍了SpringBoot+Security 发送短信验证码实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
Java||Springboot读取本地目录的文件和文件结构,读取服务器文档目录数据供前端渲染的API实现
最新发布
RenGJ010617的博客
05-18 1004
将服务器的工作目录渲染到前端页面上是经常遇到需要实现的需求,其中通过后端API读取本地目录,获取文件信息和文件系统层级数据是篇博客将要谈到的主要内容。
通联支付API集成(适用于SpringBoot)
m0_55337678的博客
05-17 382
通联支付实现代码
Spring-Cloud 微服务
weixin_65127444的博客
05-15 907
先来思考一个问题*通过上一章的操作,我们已经可以实现微服务之间的调用。但是我们把服务提供者的网络地址(ip,端口)等硬编码到了代码中,这种做法存在许多问题:1.一旦服务提供者地址变化,就需要手工修改代码2. 一旦是多个服务提供者,无法实现负载均衡功能3.一旦服务变得越来越多,人工维护调用关系困难那么应该怎么解决呢,这时候就需要通过注册中心动态的实现
springsecurity实现手机验证码登录
05-25
Spring Security可以很方便地实现手机验证码登录,步骤如下: 1. 添加spring-security-web和spring-security-config依赖。 ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring-security.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>${spring-security.version}</version> </dependency> ``` 2. 创建一个实现UserDetailsService接口的类,该类用于根据不同的用户名加载用户信息。 ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userMapper.selectByUsername(username); if (user == null) { throw new UsernameNotFoundException("用户名不存在"); } return new UserPrincipal(user); } } ``` 3. 创建一个实现AuthenticationProvider接口的类,该类用于验证用户的手机号验证码是否正确。 ```java @Service public class SmsCodeAuthenticationProvider implements AuthenticationProvider { @Autowired private RedisTemplate<String, String> redisTemplate; @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication; String mobile = authenticationToken.getPrincipal().toString(); String code = authenticationToken.getCredentials().toString(); String redisCode = redisTemplate.opsForValue().get(SmsCodeAuthenticationFilter.REDIS_SMS_CODE_KEY_PREFIX + mobile); if (StringUtils.isBlank(redisCode)) { throw new BadCredentialsException("验证码不存在或已过期"); } if (!StringUtils.equals(code, redisCode)) { throw new BadCredentialsException("验证码不正确"); } UserDetails userDetails = new UserPrincipal(new User(mobile, "", Collections.emptyList())); return new SmsCodeAuthenticationToken(userDetails, userDetails.getAuthorities()); } @Override public boolean supports(Class<?> authentication) { return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication); } } ``` 4. 创建一个实现AuthenticationFilter接口的类,该类用于处理短信验证码登录请求。 ```java public class SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter { public static final String SPRING_SECURITY_FORM_MOBILE_KEY = "mobile"; public static final String SPRING_SECURITY_FORM_CODE_KEY = "code"; public static final String REDIS_SMS_CODE_KEY_PREFIX = "SMS_CODE_"; private String mobileParameter = SPRING_SECURITY_FORM_MOBILE_KEY; private String codeParameter = SPRING_SECURITY_FORM_CODE_KEY; private boolean postOnly = true; public SmsCodeAuthenticationFilter() { super(new AntPathRequestMatcher("/login/mobile", "POST")); } @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException { if (postOnly && !request.getMethod().equals("POST")) { throw new AuthenticationServiceException("不支持的请求方式: " + request.getMethod()); } String mobile = obtainMobile(request); String code = obtainCode(request); if (StringUtils.isBlank(mobile)) { throw new UsernameNotFoundException("手机号不能为空"); } if (StringUtils.isBlank(code)) { throw new BadCredentialsException("验证码不能为空"); } SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(mobile, code); setDetails(request, authRequest); return this.getAuthenticationManager().authenticate(authRequest); } protected String obtainMobile(HttpServletRequest request) { return request.getParameter(mobileParameter); } protected String obtainCode(HttpServletRequest request) { return request.getParameter(codeParameter); } protected void setDetails(HttpServletRequest request, SmsCodeAuthenticationToken authRequest) { authRequest.setDetails(authenticationDetailsSource.buildDetails(request)); } public void setMobileParameter(String mobileParameter) { this.mobileParameter = mobileParameter; } public void setCodeParameter(String codeParameter) { this.codeParameter = codeParameter; } public void setPostOnly(boolean postOnly) { this.postOnly = postOnly; } public final String getMobileParameter() { return mobileParameter; } public final String getCodeParameter() { return codeParameter; } } ``` 5. 在WebSecurityConfigurerAdapter的子类中进行配置。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsServiceImpl userDetailsService; @Autowired private SmsCodeAuthenticationProvider smsCodeAuthenticationProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login/mobile").permitAll() .anyRequest().authenticated() .and() .formLogin().loginPage("/login").defaultSuccessURL("/home").permitAll() .and() .logout().logoutUrl("/logout").permitAll() .and() .addFilterBefore(smsCodeAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .csrf().disable(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(smsCodeAuthenticationProvider) .userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public SmsCodeAuthenticationFilter smsCodeAuthenticationFilter() { SmsCodeAuthenticationFilter filter = new SmsCodeAuthenticationFilter(); filter.setAuthenticationManager(authenticationManager()); filter.setAuthenticationSuccessHandler((request, response, authentication) -> { response.setContentType("application/json;charset=UTF-8"); PrintWriter out = response.getWriter(); out.write("{\"code\": 0, \"message\": \"登录成功\"}"); out.flush(); out.close(); }); filter.setAuthenticationFailureHandler((request, response, exception) -> { response.setContentType("application/json;charset=UTF-8"); PrintWriter out = response.getWriter(); out.write("{\"code\": 1, \"message\": \"" + exception.getMessage() + "\"}"); out.flush(); out.close(); }); return filter; } } ``` 6. 在前端页面中添加短信验证码登录的表单。 ```html <form action="/login/mobile" method="post"> <div> <label>手机号:</label> <input type="text" name="mobile" /> </div> <div> <label>验证码:</label> <input type="text" name="code" /> <button type="button" onclick="sendSmsCode()">发送验证码</button> </div> <div> <button type="submit">登录</button> </div> </form> ``` 7. 在后端控制器中添加发送短信验证码的接口。 ```java @RestController public class SmsCodeController { @Autowired private RedisTemplate<String, String> redisTemplate; @GetMapping("/sms/code") public void sendSmsCode(String mobile) { String code = RandomStringUtils.randomNumeric(6); redisTemplate.opsForValue().set(SmsCodeAuthenticationFilter.REDIS_SMS_CODE_KEY_PREFIX + mobile, code, 5, TimeUnit.MINUTES); // 发送短信验证码 } } ``` 以上就是使用Spring Security实现手机验证码登录的全部步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

F_angT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值