【精】Springboot+SpringSecurity+JWT+短信登录认证

最新推荐文章于 2024-03-27 16:58:27 发布
最新推荐文章于 2024-03-27 16:58:27 发布
阅读量1.6k 收藏 7
点赞数
分类专栏: 安全 SpringBoot SpringSecurity 文章标签: spring boot java
原文链接:https://blog.csdn.net/weixin_45498999/article/details/105973865
版权

提示:请配合上篇文章更容易理解: 【精】 一分钟读懂Spring Security的基本原理_GeeLoong`s Blog-CSDN博客

继springboot+springsecurity+JWT文章,实现短信登录
springboot+springsecurity+JWT
在这里插入图片描述
短信登录代码在SendSMs中,SendSmsSecurityConfig类为配置类,需引入SecurityConfig类中,也可直接在SecurityConfig类配置
短信验证流程:
在这里插入图片描述
文中把短信信息保存到redis中进行校验
在controller写获取短信验证码的类

/**
 * 发送短信登录
 * 
 * 根据实际获取短信验证码方式进行编写
 */
@RestController
@RequestMapping("/")
public class SendSmsController {

    @Autowired
    StringRedisTemplate stringRedisTemplate;

    //获取验证码
    @RequestMapping("/SendSms")
    public String sendSms(@RequestParam("/telephone") String telephone) {

        //随机生成4位数字验证码
        String code = String.valueOf((int) ((Math.random() * 9 + 1) * 1000));


        //把验证码存储到redis中过期时间为120秒
        stringRedisTemplate.opsForValue().set(telephone, code, 120, TimeUnit.SECONDS);
        return null;

    }
}

为了方便在test中进行测试无需在controller发送短信

@SpringBootTest
@RunWith(SpringRunner.class)
public class testRedis {

    @Autowired
    StringRedisTemplate stringRedisTemplate;

    @Test
    public void testredis(){
        stringRedisTemplate.opsForValue().set("1","1234",1200, TimeUnit.SECONDS);
        Long expire = stringRedisTemplate.getExpire("1", TimeUnit.SECONDS);
        System.out.println(expire);
        String s = stringRedisTemplate.opsForValue().get("1");
        System.out.println(s);
    }

    @Test
    public void testredis1(){
        //把key,value值保存到redis中,时间为1200
        stringRedisTemplate.opsForValue().set("123","1234",1200, TimeUnit.SECONDS);
        //根据key值查询剩余时间
        Long expire = stringRedisTemplate.getExpire("123", TimeUnit.SECONDS);
        System.out.println(expire);
        //根据key值输出value
        String s = stringRedisTemplate.opsForValue().get("123");
        System.out.println(s);
    }
}

SendSmsFilter 类

配置验证码校验的过滤器
继承OncePerRequestFilter类,每一次运行都会优先执行SendSmsFilter类

/**
 * 进行验证码校验的过滤器
 */
@Component
public class SendSmsFilter extends OncePerRequestFilter {


    @Autowired
    StringRedisTemplate stringRedisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain)
            throws ServletException, IOException {

        //请求路径为Smslogin,并且为post类型
        if (StringUtils.equals("/Smslogin",request.getRequestURI())
                && StringUtils.equalsIgnoreCase(request.getMethod(),"post")){
            //获取手机号
            String username = request.getParameter("telephone");
            //获取验证码
            String password = request.getParameter("word");
            //获取redis中保存的验证码
            String code = stringRedisTemplate.opsForValue().get(username);
            if (code != null && password != null && password.equals(code)) {
 				//删除redis中保存的验证码
                stringRedisTemplate.delete(username);
                System.out.println("验证码输入正确");
            }else {
                throw new InternalAuthenticationServiceException("验证码错误");
            }

        }
        chain.doFilter(request, response);
    }
}

“/Smslogin”,"telephone"是在SendSmsAuthenticationFilter类中自定义的。

SendSmsAuthenticationFilter类

SendSmsAuthenticationFilter相当于图片中的SmsAuthenticationFilter
该类模拟 UsernamePasswordAuthenticationFilter类使用手机号进行身份验证的一个过滤器

/**
 *
 * UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。
 *
 *
 * 模拟 UsernamePasswordAuthenticationFilter类使用手机号进行身份验证的一个过滤器
 */
public class SendSmsAuthenticationFilter extends
        AbstractAuthenticationProcessingFilter {


    public static final String SPRING_SECURITY_FORM_TELEPHONE_KEY = "telephone";

    //验证短信验证码,传递手机号的参数的名称【telephone】
    private String telephoneParameter = SPRING_SECURITY_FORM_TELEPHONE_KEY;
    //指定请求时post形式
    private boolean postOnly = true;


    public SendSmsAuthenticationFilter() {
        //拦截访问路径,访问请求方式
        super(new AntPathRequestMatcher("/Smslogin", "POST"));
    }


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request,
                                                HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        String telephone = obtainTelephone(request);

        if (telephone == null) {
            telephone = "";
        }


        telephone = telephone.trim();


        //自定义SendSmsAuthenticationToken类实现其方法
        SendSmsAuthenticationToken authRequest = new SendSmsAuthenticationToken(
                telephone);

        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    protected String obtainTelephone(HttpServletRequest request) {
        return request.getParameter(telephoneParameter);
    }

    /*
     * 功能描述:提供身份验证请求的详细属性
     * 入参:[request 为此创建身份验证请求, authRequest 详细信息集的身份验证请求对象]
     */
    protected void setDetails(HttpServletRequest request,
                              SendSmsAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }


    /*
     * 功能描述:设置用于获取用户名的参数名的登录请求。
     * 入参:[telephoneParameter 默认为“用户名”。]
     */
    public void setTelephoneParameter(String telephoneParameter) {
        Assert.hasText(telephoneParameter, "Telephone parameter must not be empty or null");
        this.telephoneParameter = telephoneParameter;
    }


    /**
     * 功能描述:定义此筛选器是否只允许HTTP POST请求。如果设置为true,则接收不到POST请求将立即引发异常并不再继续身份认证
     */
    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getTelephoneParameter() {
        return telephoneParameter;
    }

}

SendSmsAuthenticationToken类

SendSmsAuthenticationToken相当于图片中的SmsAuthenticationToken
该类模拟 UsernamePasswordAuthenticationToken类

/**
 *
 * 模拟 UsernamePasswordAuthenticationToken类
 *
 */
public class SendSmsAuthenticationToken extends AbstractAuthenticationToken {
    private static final long serialVersionUID = 510L;

    //存放认证信息,认证之前放的是手机号,认证之后UserDetails
    private final Object principal;


    /**
     * 功能描述:创建用户身份验证令牌需要用到此构造函数
     * 返回值:通过身份验证的代码返回false
     */
    public SendSmsAuthenticationToken(Object principal) {
        super((Collection)null);
        this.principal = principal;
        this.setAuthenticated(false);
    }

    /**
     * 功能描述:产生身份验证令牌
     * @param principal
     * @param authorities
     */
    public SendSmsAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true);
    }


    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        } else {
            super.setAuthenticated(false);
        }
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }
    @Override
    public Object getCredentials() {
        return null;
    }
}

SendSmsAuthenticationProvider类

SendSmsAuthenticationProvider相当于图片中的SmsAuthenticationProvider
该类模拟DaoAuthenticationProvider类的父类AbstractUserDetailsAuthenticationProvider类中实现的AuthenticationProvider类

/**
 * 模拟:DaoAuthenticationProvider类的父类AbstractUserDetailsAuthenticationProvider类中实现的AuthenticationProvider类
 */
public class SendSmsAuthenticationProvider implements AuthenticationProvider {


    private UserDetailsService userDetailsService;



    public void setUserDetailsService(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    protected UserDetailsService getUserDetailsService() {
        return this.userDetailsService;
    }


    /**
     *实现AuthenticationProvider类中的两个方法
     *
     * 1,授权
     */

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        SendSmsAuthenticationToken authenticationToken = (SendSmsAuthenticationToken)authentication;
        UserDetails userDetails = userDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal());
        if (userDetails == null){
            throw new InternalAuthenticationServiceException("无法根据手机号获取用户信息");
        }
        SendSmsAuthenticationToken authenticationResult = new SendSmsAuthenticationToken(userDetails,userDetails.getAuthorities());
        authenticationResult.setDetails(authenticationToken.getDetails());
        return authenticationResult;
    }

    /**
     * 2,通过不同的Token进行不同的Provider验证
     */
    @Override
    public boolean supports(Class<?> aClass) {
        return SendSmsAuthenticationToken.class.isAssignableFrom(aClass);
    }
}

SendSmsSecurityConfig类

配置SendSmsSecurityConfig类用于短信认证的

@Component
    public class SendSmsSecurityConfig
        extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

    @Autowired
    MyUserDetailsService myUserDetailsService;

    @Autowired
    SendSmsFilter sendSmsFilter;
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //认证授权
        SendSmsAuthenticationFilter sendSmsAuthenticationFilter = new SendSmsAuthenticationFilter();
        sendSmsAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        sendSmsAuthenticationFilter.setAuthenticationSuccessHandler(new LoginSuccessHandler());
        sendSmsAuthenticationFilter.setAuthenticationFailureHandler(new LoginFailureHandler());

        SendSmsAuthenticationProvider sendSmsAuthenticationProvider = new SendSmsAuthenticationProvider();
        sendSmsAuthenticationProvider.setUserDetailsService(myUserDetailsService);

        //sendSmsFilter在UsernamePasswordAuthenticationFilter前面执行
        http.addFilterBefore(sendSmsFilter, UsernamePasswordAuthenticationFilter.class);
        http.authenticationProvider(sendSmsAuthenticationProvider)
                .addFilterAfter(sendSmsAuthenticationFilter,UsernamePasswordAuthenticationFilter.class);
    }
}

在SecurityConfig类中声明引入
在这里插入图片描述在这里插入图片描述在Postman中进行测试
telephone为在SendSmsAuthenticationFilter类自定义的参数
在这里插入图片描述执行成功后会在LoginSuccessHandler类(登陆成功处理)中生成token ——参考springboot-springsecurity-JWT
在Headers中会生成tokentoken在验证时,在Key中存放 Authorization ,在Value中把生成的token保存进去,然后会在MyJwtTokenFilter类中进行令牌校验
成功示例:
在这里插入图片描述
继springboot+springsecurity+JWT文章,实现短信登录
springboot+springsecurity+JWT https://blog.csdn.net/weixin_45498999/article/details/105973865
本文参考课程内容介绍 · Spring Security-JWT-OAuth2一本通(基于SpringBoot2.0) · 看云
视频链接:
https://www.bilibili.com/video/av76522147/

GeeLoong
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring security 短信验证 + Jwt (完整版,有源码)
张楠的博客
09-07 2013
首先 我们需要了解spring security的基本工作流程当登录请求进来时,会在UsernamePasswordAuthenticationFilter 里构建一个没有权限的 Authentication ,然后把Authentication 交给 AuthenticationManager 进行身份验证管理而AuthenticationManager 本身不做验证 ,会交给 AuthenticationProvider 进行验证。
手机验证码java登陆_java相关:SpringBoot + SpringSecurity 短信验证码登录功能实现
weixin_39927378的博客
02-28 387
java相关:SpringBoot + SpringSecurity 短信验证码登录功能实现发布于 2020-3-30|复制链接摘记: 实现原理在之前的文章中,我们介绍了普通的帐号密码登录的方式: SpringBoot + Sp ..实现原理在之前的文章中,我们介绍了普通的帐号密码登录的方式: SpringBoot + Spring Security 基本使用及个性化登录配置。 但是现在还有一种常...
SpringBoot项目使用SpringSecurityJWT实现登录功能
最新发布
viperd的博客
03-27 629
使用SrpingSecurityJWT实现登录校验功能
SpringSecurity +Jwt 使用手机号码 + 验证码登录
qq_45524787的博客
07-25 3386
SpringSecurity +Jwt 使用手机号码 + 验证码登录
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
Candour_0的博客
01-13 532
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
SpringBoot 整合 Spring SecurityJWT 实现认证、权限控制
z1259678404的博客
02-16 1414
引入依赖包(gradle) maven 请自行转换 dependencies { compile group: 'io.jsonwebtoken', name: 'jjwt', version: '0.9.1' implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'org.springframework.boot:spring-boot-starte...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
Java实现短信验证码登录
油墨香^-^的博客
09-15 5733
2、使用接口向短信平台发送手机号和验证码数据,然后短信平台再把验证码发送到制定手机号上,接口参数一般包括:目标手机号,随机验证码(或包含失效时间),平台接口地址,平台口令;1、构造手机验证码:使用random对象生成要求的随机数作为验证码,例如4位验证码:1000~9999之间随机数;6、对比提交的验证码与Session中的验证码是否一致,同时判断提交动作是否在有效期内;4、将手机号--验证码、操作时间存入Session中,作为后面验证使用;7、验证码正确且在有效期内,请求通过,处理相应的业务。
使用java在项目完成手机短信登录
热门推荐
李意成的博客
06-19 2万+
手机号登录在现在的项目中用的场景非常多,实现起来也不难,今天我们就一起来通过演示实现登录过程。 &lt;1&gt;首先需要注册个第三方的账户,比如秒嘀科技等,然后拿到三个参数值:QUERAY_PATH ACCOUNT_SID AUTH_TOKEN &lt;2&gt;编写获取验证码类getMessage.java private static final String QUER...
security模仿密码登录实现短信验证码登录
weixin_39515823的博客
02-12 985
security模仿密码登录实现短信验证码登录 模仿UsernamePasswordAuthenticationToken创建短信验证码的token类SmsAuthenticationToken /** * 手机验证码认证token * * @author shipc * @date 2021/12/13 21:22 */ public class SmsAuthenticationToken extends AbstractAuthenticationToken { private
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4515
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Securityjwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证码
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2090
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 5858
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
最新springBoot_security配置+ jwt 登录实现
i_am_bad_man的博客
04-22 509
null ) {try {// 授权//验证失败log.info("{} 验证失败",jwt);
循序渐进学spring security 第十篇 如何用token登录JWT闪亮登场
huangxuanheng的专栏
07-31 2423
文章目录JWT简介JWT认证JWT的结构JWT登录流程如何引入JWTJwtHelper 工具类介绍如何创建token?如何解析token?创建项目创建项目:security-mybatis-jwt引入JWT maven依赖将登录成功,登录失败,登出等配置的handler抽取出来单独放在一个handler包创建JWT工具类登录成功后生产token返回给前端如何校验token的有效性?验证失败的处理启动测试 JWT简介 JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可
SpringBoot+SpringSecurity+JWT
09-19
SpringBoot是一个开源的Java开发框架,它简化了Spring应用程序的创建和配置过程。SpringSecuritySpring家族中的一个安全管理框架,用于在Web应用程序中实现认证和授权的功能。JWT是一种用于在客户端和服务器之间传递安全信息的开放标准。在SpringBootSpringSecurity的结合中,可以使用JWT来实现认证和授权的功能。 为了在SpringBoot中使用SpringSecurityJWT,你需要进行以下几个步骤: 1. 引入相关依赖:在项目的pom.xml文件中添加SpringSecurityJWT的依赖。 2. 创建一个实现了UserDetailsService接口的类:该类用于加载用户的信息,并将其提供给SpringSecurity进行认证。 3. 创建一个实现了JwtTokenUtil接口的类:该类用于生成和解析JWT Token。 4. 创建一个实现了AuthenticationEntryPoint接口的类:该类用于处理认证失败的情况。 5. 创建一个实现了JwtAuthenticationFilter类:该类用于在每个请求中验证JWT Token,并将用户的信息设置到SpringSecurity的上下文中。 6. 配置SpringSecurity:在SpringBoot的配置文件中配置SpringSecurity的相关属性,例如登录路径、认证路径和权限配置等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值