七、基于SpringSecurity的手机短信验证码登陆

最新推荐文章于 2024-04-16 20:45:00 发布
最新推荐文章于 2024-04-16 20:45:00 发布
阅读量575 收藏
点赞数 1
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2231476020/article/details/100046110
版权

基于对SpringSecurity中用户名密码登陆的流程分析,要实现手机号加验证码登陆需要自定义下面这几个类

SmsCodeAuthenticationFilter
package com.liaoxiang.smsCodeLogin;

import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.util.Assert;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @auther Mr.Liao
 * @date 2019/8/22 17:14
 */
public class SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    public static final String SPRING_SECURITY_FORM_MOBILE_KEY = "mobile";
    private String mobileParameter = "mobile";
    private boolean postOnly = true;

    //设置拦截的路径为手机登陆
    public SmsCodeAuthenticationFilter() {
        super(new AntPathRequestMatcher("/mobile/login", "POST"));
    }
    //获取授权对象:Authentication的实例
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String mobile = this.obtainMobile(request);
            if (mobile == null) {
                mobile = "";
            }
            mobile = mobile.trim();
            //拿到手机号生成SmsCodeAuthenticationToken对象给AuthenticationManager挑出来的provider去认证
            SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(mobile);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

    /**
     * 获取手机号的方法
     * @param request
     * @return
     */
    protected String obtainMobile(HttpServletRequest request) {
        return request.getParameter(this.mobileParameter);
    }

    protected void setDetails(HttpServletRequest request, SmsCodeAuthenticationToken authRequest) {
        authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
    }

    public void setMobileParameter(String mobileParameter) {
        Assert.hasText(mobileParameter, "mobile parameter must not be empty or null");
        this.mobileParameter = mobileParameter;
    }

    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String mobileParameter() {
        return this.mobileParameter;
    }

}
SmsCodeAuthenticationToken
package com.liaoxiang.smsCodeLogin;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import java.util.Collection;

/**
 * @auther Mr.Liao
 * @date 2019/8/22 17:08
 */
public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {

    //用来存手机号
    private final Object principal;

    // ~ Constructors
    // ===================================================================================================

    /**
     * This constructor can be safely used by any code that wishes to create a
     * <code>UsernamePasswordAuthenticationToken</code>, as the {@link #isAuthenticated()}
     * will return <code>false</code>.
     *
     */
    public SmsCodeAuthenticationToken(String mobile) {
        super(null);
        this.principal = mobile;
        setAuthenticated(false);
    }

    /**
     * This constructor should only be used by <code>AuthenticationManager</code> or
     * <code>AuthenticationProvider</code> implementations that are satisfied with
     * producing a trusted (i.e. {@link #isAuthenticated()} = <code>true</code>)
     * authentication token.
     *
     * @param principal
     * @param authorities
     */
    public SmsCodeAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true); // must use super, as we override
    }

    // ~ Methods
    // ========================================================================================================

    @Override
    public Object getCredentials() {
        return null;
    }

    public Object getPrincipal() {
        return this.principal;
    }

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }

        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }
}
SmsCodeAuthenticationProvider
package com.liaoxiang.smsCodeLogin;

import lombok.Data;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * @auther Mr.Liao
 * @date 2019/8/22 17:56
 */
@Data
public class SmsCodeAuthenticationProvider implements AuthenticationProvider {
    private UserDetailsService userDetailsService;
    //
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken)authentication;
        //根据手机号去查用户信息
        UserDetails userDetails = userDetailsService.loadUserByUsername((String) authentication.getPrincipal());
        if (userDetails == null){
            throw new InternalAuthenticationServiceException("无法获取用户信息");
        }
        SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(userDetails,userDetails.getAuthorities());
        authenticationResult.setDetails(authenticationToken.getDetails());
        return authenticationResult;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

在用户表中增加手机号字段,添加根据手机号查询用户的Service方法

@Service
public class MobileLoginService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String mobile) throws UsernameNotFoundException {
        //如果User为null,就会抛出异常信息:UsernameNotFoundException
        User user = userMapper.findUserByMobile(mobile);
        if (user == null){
            throw new UsernameNotFoundException("该手机号还未注册");
        }
        return user;
    }
}

配置上面的几个类,再将此配置类注入到MySecurityConfig这个主配置类中,并应用到主配置中 .apply(smsCodeAuthenticationSecurityConfig),完成这些后,就能根据用户的一个手机号来完成授权

@Component
public class SmsCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    @Autowired
    private FailureHandler failureHandler;
    @Autowired
    private SuccessHandler successHandler;
    @Autowired
    private MobileLoginService mobileLoginService;
    @Override
    public void configure(HttpSecurity http) {
        SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
        smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        smsCodeAuthenticationFilter.setAuthenticationFailureHandler(failureHandler);
        smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(successHandler);

        SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
        smsCodeAuthenticationProvider.setUserDetailsService(mobileLoginService);

        http.authenticationProvider(smsCodeAuthenticationProvider)
                .addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

下面是获取验证码

@RestController
public class ValidateCodeController {
    public static final String IMAGE_SESSION_KEY = "SESSION_KEY_IMAGE_CODE";
    public static final String SMS_SESSION_KEY = "SESSION_KEY_SMS_CODE";
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
    //注入图片验证码生成器的实现类对象
    @Autowired
    private ValidateCodeGenerator imageCodeGenerator;
    @Autowired
    private ValidateCodeGenerator smsCodeGenerator;
    @Autowired
    private SmsCodeSender smsCodeSender;

    @GetMapping("/code/image")
    public void createImageCode(HttpServletResponse response, HttpServletRequest request) throws IOException {
        ServletWebRequest servletWebRequest = new ServletWebRequest(request);
        //使用图形验证码生成器,生成图形验证码
        ImageCode imageCode = (ImageCode) imageCodeGenerator.generate(servletWebRequest);
        //将验证码存到session中,有效期5分钟
        sessionStrategy.setAttribute(servletWebRequest, IMAGE_SESSION_KEY, imageCode);
        // 把生成的图片以JPEG的格式写到响应的输出流里面
        ImageIO.write(imageCode.getImage(),"JPEG",response.getOutputStream());
    }

    @GetMapping("/code/sms")
    public void createSmsCode(HttpServletResponse response, HttpServletRequest request) throws IOException {
        ServletWebRequest servletWebRequest = new ServletWebRequest(request);
        //使用图形验证码生成器,生成图形验证码
        ValidateCode smsCode = smsCodeGenerator.generate(servletWebRequest);
        //将验证码存到session中,有效期5分钟
        sessionStrategy.setAttribute(servletWebRequest, SMS_SESSION_KEY, smsCode);
        String mobile = "";
        //获取手机号
        try {
            mobile = ServletRequestUtils.getRequiredStringParameter(request, "mobile");
        } catch (ServletRequestBindingException e) {
            System.out.println(e.getMessage());
        }
        //把验证码通过短信提供商发送到手机上
        smsCodeSender.send(mobile, smsCode.getCode());
    }
}

页面

<h2>手机验证码登陆</h2>
<form action="/mobile/login" method="post">
    <table>
        <tr>
            <td>手机号:</td>
            <td><input type="text" name="mobile" value="18312345678"></td>
        </tr>
        <tr>
            <td>短信验证码:</td>
            <td>
                <input type="password" name="smsCode">
                <a href="/code/sms?mobile=18312345678" onclick="return pop();">发送短信验证码</a>
            </td>
        </tr>
        <tr>
            <td colspan="2"><button type="submit">登录</button></td>
        </tr>
    </table>
</form>

登陆时,先通过手机获取验证码,提交到后台,先判断验证码是否正确,在根据手机号查询用户是否存在,完成授权过程

Liao_Xiang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security实现短信登录
weixin_38927257的博客
11-18 2541
文章目录一、理论说明1.1 用户名密码登录逻辑1.2 短信验证码登录逻辑二、代码实战2.1 SmsAuthenticationToken2.2 SmsAuthenticationFilter2.3 SmsAuthenticationProviderhardcode的方式来模拟手机号查询用户信息2.4 成功与失败处理逻辑2.5 SmsCodeAuthenticationSecurityConfig将...
SpringSceurity实现短信验证码登陆
08-18
Spring Security实现短信验证码登录 Spring Security是一款基于Java的身份验证和授权框架,它提供了一种灵活的方式来保护基于Web的应用程序。在这篇文章中,我们将探讨如何使用Spring Security实现短信验证码登录。...
最全SpringBoot下SpringSecurity账号和手机验证码登录多重认证实践
Soinq的博客
12-11 3207
文章目录一: Spring Boot 引入Security 的 pom依赖1.1: 首先引入pom jar 包1.2: 配置 WebSecurityConfig@EnableWebSecurity 作用 :在这个配置类中,我们主要做了以下几个配置:二: 账号权限登录流程账号登录认证流程过滤器 JwtLoginFilter三: 手机号权限登录流程手机号登录认证流程过滤器 SmsCodeLoginFilter四: token 过滤认证校验token 认证过滤器 JwtTokenAuthenticationFil
Spring Security实现手机号和验证码认证
最新发布
F_angT的博客
04-16 947
Spring Security 是一个很常用的安全框架,当然老外写的框架很多时候还是不会适应咱们的国情,比如现在的登录,手机号加验证码才是主流,毕竟密码太多,谁都会忘。而其默认的认证方式还是username 加 password的方式:`UsernamePasswordAuthenticationToken`。本文讲述了如何使用解决手机号和验证码的方式完成认证。
Spring Security实现短信验证码登录
波板糖的博客
05-12 1659
概述 手机验证码登录是目前很常见的一种登录方式,本文阐述基于Spring Security快速实现手机验证码登录。本文建立在你对Spring Security基本原理有所了解的基础上,有兴趣的同学戳这里是关于Spring Security基本原理的文章:https://www.jianshu.com/p/e22fdeedc9a3 本文实验环境: SpringBoot:2.2.0.RELEASE IDE:IntelliJ IDEA 2018.2.4 思路 创建手机验证码实体和相关工具(生成器,发送器)
Spring Security实现用户名或者手机号登录
热门推荐
jiangshanwe
06-23 1万+
使用Spring Security来管理web项目的用户权限,是很多Java管理系统经常使用的方法。 然而,当前很多网站都支持使用手机号+密码登录网站。毕竟,用户名这个东西肯定没有自己的手机号好记。Spring Security权限管理Spring Security主要分为认证(Authentication),授权(Authorization)两大模块: 简而言之,鉴权就是鉴定用户“是谁”,而
SpringSecurity短信验证码登录
Curtisjia的博客
10-31 2998
短信验证码登录 时下另一种非常常见的网站登录方式为手机短信验证码登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机短信验证码登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码来实现一套自己的认证逻辑。 短信验证码生成 我们先定义一个短信验证码对象SmsCode : public class SmsCode { private String code; private LocalDateTime expireTime;
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中,我们会发现由于Spring Security OAuth2的组件特别全面,...
浅析Spring Security登录验证流程
08-25
SmsCodeAuthenticationFilter实现短信验证码登录认证,SocialAuthenticationFilter实现社交媒体方式登录认证的处理,Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter实现Oauth2...
oauth2-server:基于Spring Security OAuth的统一账号管理平台
03-27
基于Spring Security OAuth的统一账号管理平台 功能 OAuth2密码登录,添加图形验证码(开发完成) OAuth2授权码登录(开发完成) OAuth2刷新TOKEN(开发完成) 微信登录(开发完成) 短信登录(开发完成) 文件 ...
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
主要介绍了SpringBoot + SpringSecurity 短信验证码登录功能实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity 手机号登录
weixin_42679286的博客
12-14 1004
1.前端先做非机器人验证。2.生成随机码,与手机号存入缓存或数据库。3.掉第三方接口发送到用户手机。4.用户拿验证码去登录接口校验验证码。5.在过滤器里校验安全性。
springsecurity(四)----短信验证码登陆
帆心
06-13 406
1.首先看一下security大概的一个认证流程 springsecurity在密码登陆时 首先找到了UsernamePasswordAuthenticationFilter类 然后该类根据username和password 构造出一个暂时没有鉴权的 UsernamePasswordAuthenticationToken,并将 UsernamePasswordAuthenticationToken 交给 AuthenticationManager 处理。 AuthenticationManager
SpringSecurity+Oauth2集成短信登录
康小虎的博客
11-11 1273
之前的博客有写过SpringCloud+SpringSecurity+Oauth2的token刷新功能,最近又完成了短信验证码登录的功能。SpringSecurityOauth2没有直接提供集成短信登录的配置,我们可以仿照用户名密码登录的整个流程来实现短信验证码的登录。主要参考来自视频https://www.bilibili.com/video/BV16J41127jq?p=24,大家有时间的话还是可以将所有的视频看一下,照着他的做基本就可以实现短信登录的需求。
SpringSecurity +Jwt 使用手机号码 + 验证码登录
qq_45524787的博客
07-25 3429
SpringSecurity +Jwt 使用手机号码 + 验证码登录
SpringSecurity系列】SpringBoot集成SpringSecurity添加手机验证码登录
huxiaodong1994的博客
12-13 3051
现在大多数平台都是通过手机号+验证码的形式进行登录,但是SpringSecurity本身并没有直接提供我们这样的封装,所以我们需要根据自己的流程,自定义我们的操作,来满足我们的需求。 首先我们需要定义创建声明手机验证码的流程,这其实和生成图片验证码的流程相似,这里不详细说明,详细说明可以看这篇博客图片验证码登录,这里我直接上代码: 首先定义一个用来接收验证码的类来存放验证码: public...
SpringSecurity实现短信验证码登录验证
taojin12的博客
02-15 2632
文章目录1、自己实现一个SmsAuthenticationToken类2、自己实现一个SmsCodeAuthenticationFilter,验证用户3、自己实现一个SmsCodeAuthenticationProvider4、验证码验证过滤器 SpringSecurity进行用户登录认证时,通过UsernamePasswordAuthenticationFilter获取用户信息,获取一个Use...
spring security短信验证码登陆
09-16
基于Spring Security实现短信验证码登录的步骤如下: 1. 首先,创建一个`SecurityConfig`类并继承自`WebSecurityConfigurerAdapter`,用于配置Spring Security。 2. 在`configure(HttpSecurity http)`方法中,添加一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值