【SpringSecurity系列】SpringBoot集成SpringSecurity添加手机验证码登录

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量3k 收藏 12
点赞数 1
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huxiaodong1994/article/details/84980889
版权

现在大多数平台都是通过手机号+验证码的形式进行登录,但是SpringSecurity本身并没有直接提供我们这样的封装,所以我们需要根据自己的流程,自定义我们的操作,来满足我们的需求。

首先我们需要定义创建声明手机验证码的流程,这其实和生成图片验证码的流程相似,这里不详细说明,详细说明可以看这篇博客图片验证码登录,这里我直接上代码:

首先定义一个用来接收验证码的类来存放验证码:

public class ValidateCode {

    /** 验证码 */
    private String code;

    /** 判断过期时间 */
    private LocalDateTime expireTime;
    

    public ValidateCode(String code, int expireIn) {
        this.code = code;
        this.expireTime = LocalDateTime.now().plusSeconds(expireIn);
    }

    public ValidateCode(String code, LocalDateTime expireTime) {
        this.code = code;
        this.expireTime = expireTime;
    }

    public boolean isExpried() {
        return LocalDateTime.now().isAfter(expireTime);
    }

    //省去get/set方法

}

然后就是生成验证码的流程:

@GetMapping("/code/sms")
    public void createSmsCode(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletRequestBindingException {
        ValidateCode smsCode = createSmsCode(new ServletWebRequest(request));
        sessionStrategy.setAttribute(new ServletWebRequest(request),SESSION_key_SMS,smsCode);
        String mobile = ServletRequestUtils.getRequiredStringParameter(request,"mobile");
        smsCodeSender.send(mobile, smsCode.getCode());
    }


    //具体生成验证码类的方法
    private ValidateCode createSmsCode(ServletWebRequest servletWebRequest) {
        String code = RandomStringUtils.randomNumeric(4);

        return new ValidateCode(code,60);
    }

其中短信验证码和图片验证码的流程都三个步骤,都是第一步生成验证码实体,第二步存入session,第三步发送验证码,只是第三步的具体实现不同,这样我们就可以通过模版模式对我们的代码进行封装,不知道模版模式的小伙伴可以看一下这篇博客模版方法模式,最后我会想重构前后的代码发到git上,有兴趣的可以对比一下,这里不具体讲怎么进行代码重构,只实现功能。

发送验证码的具体步骤不展开,根据每个人的需求,具体是一样,这里直接写一个简单方法:

//发送验证码的接口
public interface SmsCodeSender {

    void send(String mobile, String code);
}



@Component
//具体发送验证码的实现,并注入到SPringBean中
public class DefaultSmsCodeSender implements SmsCodeSender {


    @Override
    public void send(String mobile, String code) {
        System.out.println("向手机"+mobile+"发送验证码"+code);
    }
}

验证码的生成的步骤就完成了!

下面就是如何去校验验证码完成登录的操作,首先我们来看一下SpringSecurity账号密码的登录流程:

从上图可以看出,密码登录首先通过Filter拦截器从登录请求中拿到用户名密码,生成AuthenticationToken对象,然后传给Manager,然后Manager会从一堆Provider去找到一个Provider来处理我们的AuthenticationToken对象,在处理过程中就会调用DetailsService来获取用户的信息,去和Token中信息进行比对来判断是否可以认证成功,认证通过后就把Authentication设置成已认证,然后放进session。

因为我们就仿照上述来定义我们的手机号短信认证流程,那么首先我们来定义一个SmsFilter拦截器来处理我们的请求:

public class SmsCodeAuthenticationFilter extends
        AbstractAuthenticationProcessingFilter {
    // ~ Static fields/initializers
    // =====================================================================================

    public static final String SPRING_SECURITY_FORM_MOBILE_KEY = "mobile";

    private String mobileParameter = SPRING_SECURITY_FORM_MOBILE_KEY;
    //表示只支持post请求
    private boolean postOnly = true;

    // ~ Constructors
    public SmsCodeAuthenticationFilter() {
        //过滤的请求是什么
        super(new AntPathRequestMatcher("/authentication/mobile", "POST"));
    }


    public Authentication attemptAuthentication(HttpServletRequest request,
                                                HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        String mobile = obtainMobile(request);

        if (mobile == null) {
            mobile = "";
        }


        mobile = mobile.trim();

        SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(
                mobile);

        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);
        
        //调用Manager
        return this.getAuthenticationManager().authenticate(authRequest);
    }


    /**
     * 获得手机号
     */
    protected String obtainMobile(HttpServletRequest request) {
        return request.getParameter(mobileParameter);
    }

    /**
     * Provided so that subclasses may configure what is put into the authentication
     * request's details property.
     *
     * 
     */
    protected void setDetails(HttpServletRequest request,
                              SmsCodeAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

   
    public void setMobileParameter(String usernameParameter) {
        Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
        this.mobileParameter = usernameParameter;
    }


 
    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getMobileParameter() {
        return mobileParameter;
    }

}

然后定义我们用来Filter拿到的手机号等信息,来封装一个SmsToken,代码如下:

public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;


    //放我们的认证信息,验证起放手机号,验证后放用户信息
    private final Object principal;

   
    /**
     * This constructor can be safely used by any code that wishes to create a
     * <code>UsernamePasswordAuthenticationToken</code>, as the {@link #isAuthenticated()}
     * will return <code>false</code>.
     *
     */
    public SmsCodeAuthenticationToken(String mobile) {
        super(null);
        this.principal = mobile;
        setAuthenticated(false);
    }

    public SmsCodeAuthenticationToken(Object principal,
                                               Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true); // must use super, as we override
    }

    // ~ Methods
    // ========================================================================================================

    public Object getCredentials() {
        return null;
    }

    public Object getPrincipal() {
        return this.principal;
    }

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }

        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }
}

Manager整个系统只有一个,所以我们直接使用就可以,我们只需要定义处理手机验证的Provider类,代码如下:

public class SmsCodeAuthenticationProvider implements AuthenticationProvider {


    private UserDetailsService userDetailsService;

    //进行身份认证的逻辑
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication;

        UserDetails user = userDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal());
        if (user == null) {
            throw new InternalAuthenticationServiceException("无法获得用户信息");
        }

        
        SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(user,user.getAuthorities());
        authenticationResult.setDetails(authenticationToken.getDetails());
        return authenticationResult;

    }

    @Override
    //根据support方法使Manager调用那个provider来处理
    public boolean supports(Class<?> authentication) {
        return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication);
    }


    public UserDetailsService getUserDetailsService() {
        return userDetailsService;
    }

    public void setUserDetailsService(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }
}

上面这个流程只是根据手机号进行用户的认证,具体判断验证码是否正确,只在用户认证之前,再加一个过滤器,来验证我们的验证码是否匹配,过滤器代码如下:

/**
 * 定义一个验证码的拦截器
 * @author hdd
 */
public class ValidateCodeFilter extends OncePerRequestFilter {

    private DemoAuthenticationFailureHandler demoAuthenticationFailureHandler;


    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        if (StringUtils.equals("/authentication/form", request.getRequestURI()) &&
                StringUtils.endsWithIgnoreCase(request.getMethod(), "post")) {
            try {
                validate(new ServletWebRequest(request));
            } catch (ValidateCodeException e) {
                demoAuthenticationFailureHandler.onAuthenticationFailure(request,response,e);
                return;
            }
        }
        filterChain.doFilter(request,response);
    }

    //具体的验证流程
    private void validate(ServletWebRequest request) throws ServletRequestBindingException {
        ImageCode codeInSession = (ImageCode) sessionStrategy.getAttribute(request, ValidateCodeController.SESSION_KEY);
        String codeInRequest = ServletRequestUtils.getStringParameter(request.getRequest(), "imageCode");

        if (StringUtils.isBlank(codeInRequest)) {
            throw new ValidateCodeException("验证码的值不能为空");
        }
        if (codeInSession == null) {
            throw new ValidateCodeException("验证码不存在");
        }
        if (codeInSession.isExpried()) {
            sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);
            throw new ValidateCodeException("验证码已过期");
        }
        if (!StringUtils.equals(codeInSession.getCode(), codeInRequest)) {
            throw new ValidateCodeException("验证码不匹配");
        }
        sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);
    }

    public DemoAuthenticationFailureHandler getDemoAuthenticationFailureHandler() {
        return demoAuthenticationFailureHandler;
    }

    public void setDemoAuthenticationFailureHandler(DemoAuthenticationFailureHandler demoAuthenticationFailureHandler) {
        this.demoAuthenticationFailureHandler = demoAuthenticationFailureHandler;
    }
}

那么手机号+验证码登录请求就完成了,最后我们来手机号配置验证码验证流程:

/**
 *手机验证码配置
 *
 */
@Configuration
public class SmsCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity> {

    @Autowired
    private DemoAuthenticationSuccessHandler demoAuthenticationSuccessHandler;

    @Autowired
    private DemoAuthenticationFailureHandler demoAuthenticationFailureHandler;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void configure(HttpSecurity http) throws Exception {

        SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
        smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        smsCodeAuthenticationFilter.setAuthenticationFailureHandler(demoAuthenticationFailureHandler);
        smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(demoAuthenticationSuccessHandler);

        SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
        smsCodeAuthenticationProvider.setUserDetailsService(userDetailsService);

        http.authenticationProvider(smsCodeAuthenticationProvider)
                .addFilterAfter(smsCodeAuthenticationFilter,UsernamePasswordAuthenticationFilter.class);
    }
}

最后讲配置放到我们的主配置上:

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
        validateCodeFilter.setDemoAuthenticationFailureHandler(demoAuthenticationFailureHandler);

        SmsCodeFilter smsCodeFilter = new SmsCodeFilter();
        smsCodeFilter.setDemoAuthenticationFailureHandler(demoAuthenticationFailureHandler);

        http.addFilterBefore(smsCodeFilter,UsernamePasswordAuthenticationFilter.class)
            .addFilterBefore(validateCodeFilter,UsernamePasswordAuthenticationFilter.class)//在UsernamePasswordAuthenticationFilter添加新添加的拦截器
             .formLogin()//表示使用form表单提交
            .loginPage("/login.html")//我们定义的登录页
            .loginProcessingUrl("/authentication/form")//因为SpringSecurity默认是login请求为登录请求,所以需要配置自己的请求路径
            .successHandler(demoAuthenticationSuccessHandler)//登录成功的操作
            .failureHandler(demoAuthenticationFailureHandler)//登录失败的操作
                .and()
                .rememberMe()
                .tokenRepository(persistentTokenRepository())

            .and()
            .authorizeRequests()//对请求进行授权
            .antMatchers("/login.html","/code/*").permitAll()//表示login.html路径不会被拦截
            .anyRequest()//表示所有请求
            .authenticated()//需要权限认证
            .and()
            .csrf().disable()
            .apply(smsCodeAuthenticationSecurityConfig);//添加手机号验证码校验
}

最后写一下测试页面:

<h3>表单登录</h3>
<form action="/authentication/mobile" method="post">
    <table>
        <tr>
            <td>手机号:</td>
            <td><input type="text" name="mobile" value="13012345678"></td>
        </tr>

        <tr>
            <td>短信验证码:</td>
            <td>
                <input type="text" name="smsCode">
                <a href="/code/sms?mobile=13012345678">发送验证码</a>
            </td>
        </tr>
        <tr>
            <td colspan="2"><button type="submit">登录</button></td>
        </tr>
    </table>
</form>

最后测试也就就是如此:

完整项目代码请从git上拉取git地址

呆东
关注
专栏目录
SpringBoot集成SpringSecurity(十七、手机号登录
伍妖捌的小屋
05-23 964
前言 SpringSecurity默认不支持短信验证码登录,而现在手机验证码登录随处可见,下面对SpringSecurity进行集成手机短信登录。 实现 public class MobileAuthenticationToken extends AbstractAuthenticationToken { private static final long serialVersionUID = 540L; private final Object principal; // 认证前是手机号
SpringBoot 集成 SpringSecurity 验证码验证登录
m0_50163856的博客
02-23 776
<!-- 验证码生成的库 --> <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>2.3.2</version> </dependency>
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity 手机号登录
weixin_42679286的博客
12-14 1033
1.前端先做非机器人验证。2.生成随机码,与手机号存入缓存或数据库。3.掉第三方接口发送到用户手机。4.用户拿验证码登录接口校验验证码。5.在过滤器里校验安全性。
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1654
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringSecurity短信验证码登录
Curtisjia的博客
10-31 3031
短信验证码登录 时下另一种非常常见的网站登录方式为手机短信验证码登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机短信验证码登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码来实现一套自己的认证逻辑。 短信验证码生成 我们先定义一个短信验证码对象SmsCode : public class SmsCode { private String code; private LocalDateTime expireTime;
Spring Security实现手机号验证码认证
F_angT的博客
04-16 1167
Spring Security 是一个很常用的安全框架,当然老外写的框架很多时候还是不会适应咱们的国情,比如现在的登录手机号验证码才是主流,毕竟密码太多,谁都会忘。而其默认的认证方式还是username password的方式:`UsernamePasswordAuthenticationToken`。本文讲述了如何使用解决手机号验证码的方式完成认证。
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBootSpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
Springboot集成spring-security实现基于验证码登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
主要介绍了SpringBoot + SpringSecurity 短信验证码登录功能实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security实现验证码登录功能
08-25
主要介绍了Spring Security实现验证码登录功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
3. SpringSecurity 自定义手机号登录
Earth_Programer的博客
04-08 2749
距离上一次更新,不知不觉已经过去了半个月了,人真的是不能放松,一放松就肆意妄为了。希望这个月内可以把 SpringSecurity 系列更新完毕吧,油!。 OK,言归正传上一章我们利用 SpringSecurity 提供的一些可选配置,实现了自定义表单登录。但是在我们的日常需求中,仅仅是表单登录时满足不了的。所以这一章,我给大家带来 SpringSecurity 下自定义登录方式的示例。 首先我...
Spring Security实现用户名或者手机号登录
热门推荐
jiangshanwe
06-23 1万+
使用Spring Security来管理web项目的用户权限,是很多Java管理系统经常使用的方法。 然而,当前很多网站都支持使用手机号+密码登录网站。毕竟,用户名这个东西肯定没有自己的手机号好记。Spring Security权限管理Spring Security主要分为认证(Authentication),授权(Authorization)两大模块: 简而言之,鉴权就是鉴定用户“是谁”,而
Spring Security实现短信验证码登录
技术人成长 - 聊技术,话成长
05-25 1325
Spring Security默认的一个实现是使用用户名密码登录,当初我们在开始做项目时,也是先使用这种登录方式,并没有多考虑其他的登录方式。而后面需求越来越多,我们需要支持短信验证码登录了,这时候再看了解Spring Security中如何实现短信验证码登录。 这里有一篇文章:SpringBoot 集成 Spring Security(8)——短信验证码登录,提供了一种比较正规的方法来解决这个...
Spring Security05--手机验证码登录
fengxianaa的博客
05-11 4531
上一篇:https://blog.csdn.net/fengxianaa/article/details/124717243 1. 手机验证码登录 账号密码是最常见的登录方式,但是现在的登录多种多样:手机验证码、二维码、第三方授权等等 下面模仿账号密码登录,新增一下手机验证码登录 1. 获取手机验证码 修改 SecController 增: @GetMapping("/phone/code") public String phoneCode(HttpSession session) th
使用Spring Boot Security 实现多认证 手机号登录 微信扫码登录 微信扫码注册
Likefr
03-09 2887
利用Spring Security 实现基于手机号密码的登录功能,并结合微信扫码实现用户注册的功能。通过我这种方案,用户可以选择使用手机号密码登录,或者通过微信扫码进行注册。我们将详细介绍了如何获取微信授权二维码、微信授权回调、注册接口以及自定义认证提供者等方面的实现细节。您将了解到如何使用Spring Security构建安全可靠的身份认证系统,并且为用户提供多样的登录与注册选择
SpringSecurity自定义表单登录步骤详解
首先,我们需要创建一个SpringBoot项目,并添加SpringSecurity和Web的相关依赖。在IDEA中,可以新建一个SpringBoot项目,并确保`spring-boot-starter-security`和`spring-boot-starter-web`已被包含在`pom.xml`中。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值