若依使用权限管理框架 Spring Security 三方认证,验证码登录认证

已于 2022-09-07 11:26:52 修改
阅读量10w+ 收藏 32
点赞数 6
分类专栏: 笔记 Spring Boot 文章标签: 若依 Spring Security 验证码登录
于 2017-10-31 10:46:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ianly123/article/details/78400837
版权

若依框架 、Spring Security、 第三方登录认证,短信登录,邮箱验证码登录,SSO 单点登录、JWT

背景:后端开发使用 Spring Security 框架,默认登录验证是用户名,密码,需求是可以通过验证码登录,或者其他系统携带用户信息(比如登录用户名)来验证登录

重写 WebSecurityConfigurerAdapterconfigure() 方法指定自定义检验器
自定义校验器实现AuthenticationProvider重写 authenticate() 这个检验方法 和supports() ,从而进行重写验证方式并且加载权限。

获取验证码
@PostMapping("/authCode")
@ApiOperation("获取验证码")
public AjaxResult authCode(String username) {
    AjaxResult ajax = new AjaxResult();
    String code = getSixNum();
    // 给用户发送验证码
    // sendMsgUtil.send(username,code)
    redisCache.setCacheObject(username,code,60*2, TimeUnit.SECONDS);
    ajax.put("code", code);
    return ajax;
}

/**
 * 生成六位随机数
 * @return
 */
public static String getSixNum() {
    String str = "0123456789";
    StringBuilder sb = new StringBuilder(4);
    for (int i = 0; i < 6; i++) {
        char ch = str.charAt(new Random().nextInt(str.length()));
        sb.append(ch);
    }
    return sb.toString();
}
验证码登录
@PostMapping("/thirdLogin")
@ApiOperation("三方验证码登录")
public AjaxResult thirdLogin(String username, String code) {
    AjaxResult ajax = new AjaxResult();
    String userToken = loginService.thirdLogin(username, code);
    ajax.put(Constants.TOKEN, userToken);
    return ajax;
}
login实现类
@Service
public class LoginServiceImpl implements LoginService {
    private static final Logger log = LoggerFactory.getLogger(LoginServiceImpl2.class);
    @Resource
    private AuthenticationManager authenticationManager;
    @Autowired
    private TokenService tokenService;
    
    /**
     * 登录验证
     *
     * @param username 用户名
     * @param code 验证码
     * @return 结果 token
     */
    @Override
    public String thirdLogin(String username, String code) {
        // 用户验证
        Authentication authentication = null;
        try {
            // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
            authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, code));
        } catch (Exception e) {
            if (e instanceof BadCredentialsException) {
                throw new UserPasswordNotMatchException();
            } else {
                throw new CustomException(e.getMessage());
            }
        }
        Object principal = authentication.getPrincipal();
        LoginUser loginUser = (LoginUser) principal;
        // 生成token
        return tokenService.createToken(loginUser);
    }
}
修改认证配置
自定义MyAuthenticationProvider类
package com.ruoyi.framework.config;

import com.ruoyi.common.exception.user.UserPasswordNotMatchException;
import com.ruoyi.framework.redis.RedisCache;
import com.ruoyi.framework.security.service.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;

@Component
public class MyAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private RedisCache redisCache;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException, UserPasswordNotMatchException {
        String name = authentication.getName();
        String password = (String) authentication.getCredentials();
        UserDetails user = userDetailsService.loadUserByUsername(name);
        String encoderPassword = bCryptPasswordEncoder.encode(password);
        // 数据库账号密码的校验能通过就通过
        if (bCryptPasswordEncoder.matches(password, user.getPassword())) {
            return new UsernamePasswordAuthenticationToken(user, encoderPassword);
        }
        Boolean checkValid = checkValid(name, password);
        if (checkValid && null != user) {
            return new UsernamePasswordAuthenticationToken(user, password);
        } else {
            // 如果都登录不了,就返回异常输出
            throw new UserPasswordNotMatchException();
        }
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }


    /**
     * 非账号密码登录-验证合法
     * @param userName
     * @param pwd
     */
    public boolean checkValid(String userName, String pwd) {
        Object code = redisCache.getCacheObject(userName);
        if (null != code &&  code.toString().equals(pwd)) {
            return true;
        }
        return false;
    }
}
SecurityConfig指定自定义校验类
package com.ruoyi.framework.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.LogoutFilter;
import org.springframework.web.filter.CorsFilter;
import com.ruoyi.framework.security.filter.JwtAuthenticationTokenFilter;
import com.ruoyi.framework.security.handle.AuthenticationEntryPointImpl;
import com.ruoyi.framework.security.handle.LogoutSuccessHandlerImpl;

/**
 * spring security配置
 *
 * @author ruoyi
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;


    @Autowired
    private MyAuthenticationProvider myAuthenticationProvider;

    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;

    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage","/authCode","/thirdLogin").anonymous()
                .antMatchers(
                        HttpMethod.GET,
                        "/",
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/profile/**"
                ).permitAll()
                .antMatchers("/swagger-ui.html").anonymous()
                .antMatchers("/swagger-resources/**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
                .antMatchers("/druid/**").anonymous()
//                .antMatchers("/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(myAuthenticationProvider);
    }
}

其他配置不用动。

ianly梁炎
关注
专栏目录
三方系统对接若依框架实现单点登录
dyy20210625的博客
12-12 2731
A系统跳转若依系统,由于在A系统已实现登录,所以跳转到这边无需再来一次登录
若依框架数据权限校验
jianglovehong的博客
09-25 480
若依框架添加数据权限
基于Ruoyi学习SpringSecurity的简单使用
最新发布
qq_42149981的博客
07-21 873
基于Ruoyi学习SpringSecurity的简单使用
ruoyi 若依框架采用第三方登录
COOLBLOOD的专栏
11-23 1914
1、 在控制器层,SysLoginController 中,原有的login方法之后,写一个登录的方法,注意其中的 loginService.logingcy(userId);通过第三方协议解析出用户的信息,可能 是工号,或者是微信的openid这都无所谓,反正通过他你能找到本系统的用户就可以了。在项目中,前后端分离的若依项目,需要通过统一认证,或者是第三方协带认证信息跳转到本系统的指定页面。1、首先要做一个登录过度页面,内容可以为空白,只需要接收地址栏中的参数,并且调用上面第一步中定义的方法。
若依框架(RuoYi-Vue):权限功能模块设计分析
轻狂书生FS的博客
01-10 1万+
若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。
05 【若依框架解读】登录认证JWTtoken验证机制
热门推荐
kouryoushine的博客
12-06 2万+
背景 今天讲下若依框架对于登录认证方面的实现,这个方面若依做的不算太好,如果项目中想用的话需要参考其他框架的实现,做的更好一些。 我建议是前后端放在一起来看,单纯看后端会比较无趣。 后端部分 /login 接口 userName password code 验证码 前端获取上面三个要素后调用接口,整体改接口做了下面几件事情 验证用户身份(账号密码+验证码) 生成token 保存用户登录态到spring security中 安全配置:定义了基本的配置信息 framework.config.Securi
若依框架---权限管理设计
03-23 5431
若依框架---权限管理设计
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3528
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 998
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Jeecg配置单点登录 登录验证完整代码
11-02
3. **集成CAS客户端库**:在Jeecg项目中,你需要引入CAS客户端库,如`spring-security-cas`,这是一个Spring Security扩展,用于支持CAS认证。配置Spring Security XML文件(如`security-context.xml`),设置CAS...
Spring Security OAuth2.0自定义授权服务核心配置——AuthorizationServer
WannaRunning的博客
12-07 2327
AuthorizationServer是security oauth2的核心配置接口,通过这个接口我们可以自定义配置认证流程中使用哪些组件和一些访问权限设置。 从UML图分析,AuthorizationServerConfigurerAdapter这个类是框架中提供的AuthorizationServer接口实现类。提供了三个方法,但是没有具体的实现。所以要配置AuthorizationServer时可以直接继承AuthorizationServerConfigurerAdapter这个类,重写三个方法,
RuoYi 前后端分离“退出登录跨域”问题
weixin_38171468的博客
04-07 3059
跨域问题一直都是很多人比较困扰的问题,我在项目开发的时候也遇到了, 主要讲述的是Spring Security 实现过滤器的作用,是spring项目之中的一个安全模块 Spring Security 结合跨域资源共享(CORS) 来实现跨域问题 跨域资源共享(CORS)是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不...
若依管理系统RuoYi-Vue(二):权限系统设计详解
qq_20236937的博客
06-04 2969
本篇文章将会详细讲解若依管理系统的权限分类、代码分析以及实战若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。
若依登录自定义扩展Springboot+security支持密码、验证码多种登录方式
liangshitian的博客
12-04 7355
若依开源框架登录使用的配置大部分都是security自定义的,目前希望在此框架基础上支持自定义的登录,如手机号+密码登录认证、手机号+短信验证码认证。 1、自定义登录实现思路 主要是实现继承DaoAuthenticationProvider类,重写additionalAuthenticationChecks方法,将通过密码标识来判断是不是需要验证密码和免密验证。 2、继承DaoAuthenticationProvider package com.tuitui.framework.security.
若依知识点分享(权限控制)
weixin_68580848的博客
06-12 2030
此前土豆已经分享过一些若依框架的一些知识点,如果有兴趣的小伙伴可以到我的主页中查找,希望能够为你提供些许帮助。本次我们来学习和了解若依框架的权限控制这一块的相关知识点,让我们一起看看若依的权限具体是怎么实现,并且怎么使用
若依框架密码验证环节修改(三方登录时改为跳过密码验证,但正常登录保留密码验证)
欢迎来到快乐星球
08-15 5354
当用到三方登录时,例如微信登录等,没法验证密码,又找不到若依密码的解密方式,套用此方法,跳过密码验证,并且为可选。
若依项目实现手机号+密码登录且密码验证为自定义加密方式
changyana的博客
11-04 5906
由于使用若依后台管理系统需要匹配其它平台使用同一套数据库,故需要有相同的加密解密方式,下面分享使用手机号+密码登录且加密解密方式为AES的实现代码。 总体的实现思路是先将若依设置为免密登录,即不使用若依自带的加密解密方式,然后再加入AES方式 修改身份认证接口 在SecurityConfig.java文件中找到身份认证接口函数做下述修改 /** * 身份认证接口 */ @Override protected void configure(Authenticati
若依RuoYi框架浅析 基础篇⑥——authenticate密码加密校验
小康师兄
02-17 7393
若依RuoYi框架浅析 基础篇⑥——authenticate密码加密校验
SpringSecurity从0到1搭建详细教程四——自定义认证失败处理与跨域问题
m0_47743175的博客
11-25 907
SpringSecurity从0到1搭建详细教程四——自定义认证失败处理与跨域问题
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值