SpringSecurity(四):自定义登陆认证实现手机号登陆

最新推荐文章于 2024-05-22 21:04:30 发布
最新推荐文章于 2024-05-22 21:04:30 发布
阅读量9.1k 收藏 16
点赞数 3
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mj86534210/article/details/78374826
版权

SpringSecurity默认提供了两种登陆,一种basic登陆一种表单登陆(分别在一三章有讲到),但是如果我们要实现其他方式的登陆(例如邮箱登陆,手机号登陆)又该怎么做呢?

第二章中讲到了Security的登录原来,以及最后给出的流程图,结合它们这章来实现自定义登陆认证

 1.MobileAuthenticationToken

/**
 * 手机登录认证token 
 * 
 * 仿UsernamePasswordAuthenticationToken
 * 
 * 手机登录不需要密码,删掉所有password相关即可
 * 
 * @author majie
 *
 */
public class MobileAuthenticationToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = 4376675810462015013L;

	// ~ Instance fields
	// ================================================================================================

	private final Object principal;

	// ~ Constructors
	// ===================================================================================================

	/**
	 * This constructor can be safely used by any code that wishes to create a
	 * <code>UsernamePasswordAuthenticationToken</code>, as the
	 * {@link #isAuthenticated()} will return <code>false</code>.
	 *
	 */
	public MobileAuthenticationToken(Object principal) {
		super(null);
		this.principal = principal;
		setAuthenticated(false);
	}

	/**
	 * This constructor should only be used by <code>AuthenticationManager</code> or
	 * <code>AuthenticationProvider</code> implementations that are satisfied with
	 * producing a trusted (i.e. {@link #isAuthenticated()} = <code>true</code>)
	 * authentication token.
	 *
	 * @param principal
	 * @param authorities
	 */
	public MobileAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		super.setAuthenticated(true); // must use super, as we override
	}

	// ~ Methods
	// ========================================================================================================

	public Object getPrincipal() {
		return this.principal;
	}

	public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
		if (isAuthenticated) {
			throw new IllegalArgumentException(
					"Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
		}

		super.setAuthenticated(false);
	}

	@Override
	public void eraseCredentials() {
		super.eraseCredentials();
	}

	@Override
	public Object getCredentials() {
		return null;
	}
}


2.MobileAuthenticationFilter 

/**
 * 手机登录过滤器
 * 实现同UsernamePasswordAuthenticationFilter
 * 将username相关的都改成mobile,而且手机登录只有手机号,没有密码,所以去掉密码
 * 相应的参数最好写成可配置的
 * @author majie
 *
 */
public class MobileAuthenticationFilter extends AbstractAuthenticationProcessingFilter{
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "mobile";

	private String mobileParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	
	private boolean postOnly = true;

	// ~ Constructors
	// ===================================================================================================

	public MobileAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login/mobile", "POST"));   //路径要改
	}

	// ~ Methods
	// ========================================================================================================

	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);

		if (username == null) {
			username = "";
		}

		username = username.trim();

		MobileAuthenticationToken authRequest = new MobileAuthenticationToken(username);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}

	/**
	 * Enables subclasses to override the composition of the username, such as by
	 * including additional values and a separator.
	 *
	 * @param request so that request attributes can be retrieved
	 *
	 * @return the username that will be presented in the <code>Authentication</code>
	 * request token to the <code>AuthenticationManager</code>
	 */
	protected String obtainUsername(HttpServletRequest request) {
		return request.getParameter(mobileParameter);
	}

	/**
	 * Provided so that subclasses may configure what is put into the authentication
	 * request's details property.
	 *
	 * @param request that an authentication request is being created for
	 * @param authRequest the authentication request object that should have its details
	 * set
	 */
	protected void setDetails(HttpServletRequest request,
			MobileAuthenticationToken authRequest) {
		authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
	}

	/**
	 * Sets the parameter name which will be used to obtain the username from the login
	 * request.
	 *
	 * @param usernameParameter the parameter name. Defaults to "username".
	 */
	public void setUsernameParameter(String usernameParameter) {
		Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
		this.mobileParameter = usernameParameter;
	}


	/**
	 * Defines whether only HTTP POST requests will be allowed by this filter. If set to
	 * true, and an authentication request is received which is not a POST request, an
	 * exception will be raised immediately and authentication will not be attempted. The
	 * <tt>unsuccessfulAuthentication()</tt> method will be called as if handling a failed
	 * authentication.
	 * <p>
	 * Defaults to <tt>true</tt> but may be overridden by subclasses.
	 */
	public void setPostOnly(boolean postOnly) {
		this.postOnly = postOnly;
	}

	public final String getUsernameParameter() {
		return mobileParameter;
	}
}


3.MobileAuthenticationProvider

第二章讲过,只有一个Manager,然后会遍历所有provider,找到支持该authentication的

/**
 * MobileAuthenticationProvider
 * 
 * 调用userDetailsService根据用户名查询用户信息
 * 
 * @author majie
 *
 */
public class MobileAuthenticationProvider implements AuthenticationProvider {

	private UserDetailsService userDetailsService;

	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {

		MobileAuthenticationToken authenticationToken = (MobileAuthenticationToken) authentication;

		UserDetails userDetails = userDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal());

		if (userDetails == null) {

			throw new UsernameNotFoundException("用户名/密码无效");

		} else if (!userDetails.isEnabled()) {

			throw new DisabledException("用户已被禁用");

		} else if (!userDetails.isAccountNonExpired()) {

			throw new AccountExpiredException("账号已过期");

		} else if (!userDetails.isAccountNonLocked()) {
			
			throw new LockedException("账号已被锁定");
			
		} else if (!userDetails.isCredentialsNonExpired()) {
			
			throw new LockedException("凭证已过期");
		}

		MobileAuthenticationToken authenticationResult = new MobileAuthenticationToken(userDetails,
				userDetails.getAuthorities());

		authenticationResult.setDetails(authenticationToken.getDetails());

		return authenticationResult;
	}

	@Override
	public boolean supports(Class<?> authentication) {
		return MobileAuthenticationToken.class.isAssignableFrom(authentication);
	}

	public UserDetailsService getUserDetailsService() {
		return userDetailsService;
	}

	public void setUserDetailsService(UserDetailsService userDetailsService) {
		this.userDetailsService = userDetailsService;
	}

}

再下面,需要实现自己在数据查询用户信息,所以需要添加依赖和数据库配置信息

pom.xml

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-jpa</artifactId>
		</dependency>

		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<scope>runtime</scope>
		</dependency>

properties.yml

spring:
  datasource:
    driver-class-name:  com.mysql.jdbc.Driver
    url: jdbc:mysql://192.168.31.26:3306/test?useUnicode=yes&characterEncoding=UTF-8&useSSL=false
    username: root
    password: root
  jpa:
    hibernate:
      ddl-auto: update   #第一次是创建
    show-sql: true

User类

@Entity
@Table(name = "user")
@Data
public class User implements UserDetails{
	
	private static final long serialVersionUID = -1212367372911855308L;

	@Id
	@GeneratedValue
	private Integer id;
	
	private String username;
	
	@JsonIgnore   //页面不显示该值
	private String password;
	
	private String mobile;

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public boolean isAccountNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isEnabled() {
		// TODO Auto-generated method stub
		return true;
	}
	
}

UserRepository 

public interface UserRepository extends JpaRepository<User, Integer> {

	@Query(value = "select * from user where username=?1 or mobile=?1",nativeQuery = true)
	User loadUserInfo(String username);

}

MyUserDetailsService实现security的UserDetailsService来实现自己的用户信息的加载

@Service
@Slf4j
public class MyUserDetailsService implements UserDetailsService {
	
	@Autowired
	private UserRepository userRepository;

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		log.info("用户名:" + username);
		
		User user = userRepository.loadUserInfo(username);
		
		log.info("用户信息" + user);
		return user;
	}

}

用户通过手机号登录时候还需要接受验证码,然后登陆时候验证验证码等操作。

需要自己写一个发送验证码的方法,然后通过ActiveMQ发送验证码到手机上。

为了方便起见,这里就固定验证码为123456,然后需要自己去实现一个登陆时候校验验证码的过程。

VerificationCodeFilter:

/**
 * 验证码验证过滤器
 * 
 * @author majie
 *
 */
@Component
public class VerificationCodeFilter extends OncePerRequestFilter {

	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		/**
		 * 如果是手机登录就去验证验证码
		 */
		if (StringUtils.pathEquals("/login/mobile", request.getRequestURI().toString())
				&& request.getMethod().equalsIgnoreCase("post")) {
			
			String parameter = request.getParameter("smscode");
			
			if (!"123456".equals(parameter)) {
				throw new ValidateException("验证码错误");
			}
		}
		filterChain.doFilter(request, response);

	}

}

修改SecurityFilter,将上面的过滤器添加到UsernamePasswordAuthenticationFilter前面,代码略


配置手机认证的配置,使之前的那些关于手机个性化登录的配置连接起来

MobileAuthenticationSecurityConfig:

/**
 * 手机认证的配置
 * 
 * @author majie
 *
 */
@Component
public class MobileAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity>{
	
	@Autowired
	private UserDetailsService userDetailsService;
	
	@Override
	public void configure(HttpSecurity http) throws Exception {
		
		MobileAuthenticationFilter mobileAuthenticationFilter = new MobileAuthenticationFilter();
		mobileAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
		
		MobileAuthenticationProvider mobileAuthenticationProvider = new MobileAuthenticationProvider();
		mobileAuthenticationProvider.setUserDetailsService(userDetailsService);
		
		http.authenticationProvider(mobileAuthenticationProvider)
			.addFilterAfter(mobileAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
	}
	
}

最后的登录页面:

login.html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
	<h2>标准登录页面</h2>
	<h3>表单登录</h3>
	<form action="/login/form" method="post">
		<table>
			<tr>
				<td>用户名:</td>
				<td><input type="text" name="username" value="user"></td>
			</tr>
			<tr>
				<td>密码:</td>
				<td><input type="password" name="password" value="123456"></td>
			</tr>
			<tr>
				<td colspan="2"><button type="submit">登录</button></td>
			</tr>
		</table>
	</form>

	<h3>手机登录</h3>
	<form action="/login/mobile" method="post">
		<table>
			<tr>
				<td>手机号码:</td>
				<td><input type="text" name="mobile" value="12345678900"></td>
			</tr>
			<tr>
				<td>短信验证码:</td>
				<td>
					<input type="text" name="smscode" value="123456">
				</td>
			</tr>
			<tr>
				<td colspan="2"><button type="submit">登录</button></td>
			</tr>
		</table>
	</form>
</body>

</html>


最后,记得配置登陆成功和登陆失败处理器。

/**
 * 认证成功的处理
 * 通常继承SavedRequestAwareAuthenticationSuccessHandler
 * @author majie
 *
 */
@Component
@Slf4j
public class SuccessAuthenticationHandler extends SavedRequestAwareAuthenticationSuccessHandler{

	@Autowired
	private ObjectMapper objectMapper;
	
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws ServletException, IOException {

		log.info("登录成功");
		response.setContentType("application/json;charset=UTF-8");
		response.getWriter().write(objectMapper.writeValueAsString(authentication));
	}
	
}

/**
 * 认证失败的处理 通常继承SimpleUrlAuthenticationFailureHandler
 * 
 * @author majie
 *
 */
@Component
@Slf4j
public class FailAuthenticationHandler extends SimpleUrlAuthenticationFailureHandler {
	
	@Autowired
	private ObjectMapper objectMapper;

	@Override
	public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException, ServletException {

		log.info("登录失败");

		response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
		response.setContentType("application/json;charset=UTF-8");
		response.getWriter().write(objectMapper.writeValueAsString(exception.getMessage()));
	}

}

然后再MobileAuthenticationSecurityConfig类中注入上面两个处理器 

		mobileAuthenticationFilter.setAuthenticationSuccessHandler(successAuthenticationHandler);
		mobileAuthenticationFilter.setAuthenticationFailureHandler(failAuthenticationHandler);

ok,最后启动项目测试。

源码地址:

https://gitee.com/mengcan/SpringSecurity.git

MJ丶
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security自定义认证登录的全过程记录
08-28
手机号短信登录为例,介绍如何使用 Spring Security 实现手机号短信登录。 3.1 开发环境 开发环境包括 SpringBoot、Spring Security、Redis 等。 3.2 核心代码分析 核心代码分析包括自定义登录认证流程、核心...
SpringSecurity +Jwt 使用手机号码 + 验证码登录
qq_45524787的博客
07-25 3441
SpringSecurity +Jwt 使用手机号码 + 验证码登录
SpringSecurity 手机号登录
weixin_42679286的博客
12-14 1010
1.前端先做非机器人验证。2.生成随机码,与手机号存入缓存或数据库。3.掉第三方接口发送到用户手机。4.用户拿验证码去登录接口校验验证码。5.在过滤器里校验安全性。
基于springBoot的手机号验证码登录操作及其扩展
最新发布
weixin_52425710的博客
05-22 525
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。Shiro 的主要特点如下:易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
使用Spring Boot Security 实现认证 手机号登录 微信扫码登录 微信扫码注册
Likefr
03-09 2277
利用Spring Security 实现基于手机号密码的登录功能,并结合微信扫码实现用户注册的功能。通过我这种方案,用户可以选择使用手机号密码登录,或者通过微信扫码进行注册。我们将详细介绍了如何获取微信授权二维码、微信授权回调、注册接口以及自定义认证提供者等方面的实现细节。您将了解到如何使用Spring Security构建安全可靠的身份认证系统,并且为用户提供多样的登录与注册选择
spring boot整合spring security(二)--手机号验证码登陆
热门推荐
意田天的博客
11-11 2万+
手机号验证码登陆概述搭建基础架构认证流程定义token定义过滤器filter接下来是自定义手机号验证码登陆鉴证器provider修改UserDetailService的实现类为生成验证码接口登陆接口测试未登录状态用户名 密码登陆手机号 验证码登陆 概述 spring security默认使用的是用户名密码的登陆,如果想要增加一种登陆方式, 就要仿照源码中用户名密码登陆的方式, 手写一套手机号验证码登陆校验, 话不多说, 开干! 搭建基础架构 搭建项目基础架构工作, 在(一)中已经完成, 这里直接在其基础上
Shiro免密码登录
m0_67401153的博客
08-24 2723
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
2. **手机号登录**:为了适应移动互联网的需求,Spring Security可以通过扩展实现短信验证码或直接使用手机号作为身份验证的凭证。这通常涉及到与短信服务提供商的集成,以及对手机号的验证逻辑。 3. **邮箱登录**...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
UsernamePasswordAuthenticationToken
CQG1988的博客
08-28 2316
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication), 然后生成的Authentication会被交由AuthenticationMana...
Shiro免密登录
xxfamly的博客
06-21 1万+
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
Spring Security实现手机号和验证码认证
F_angT的博客
04-16 958
Spring Security 是一个很常用的安全框架,当然老外写的框架很多时候还是不会适应咱们的国情,比如现在的登录手机号加验证码才是主流,毕竟密码太多,谁都会忘。而其默认的认证方式还是username 加 password的方式:`UsernamePasswordAuthenticationToken`。本文讲述了如何使用解决手机号和验证码的方式完成认证
java使用token登录验证并携带用户参数
yjw_2019的博客
05-12 1156
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 工具类 public class TokenUtils { //设置过期时间 //
spring security自定义登录增加为短信验证码校验实战
qq_32918041的博客
07-29 507
辛苦搞了2周终于搞出来了!遇到各种问题百度各中资料,各种尝试终于不辜负啊。 主要功能:用户输入用户名、密码、短信验证码,后台校验用户名、密码和手机验证码后登录成功。 技术栈:使用spring security框架搭建饼继承 (我没有使用xml配置模式看别人有用xml文件配置的,应该是异曲同工吧) 不多废话,正文附源码,疑问可评论。 1.继承WebSecurityConfigureAdapter的类:WebApplicationSecurityConfig 网上这个类的说明一抓一大把我也就是照猫画虎的本事,
【JAVA】spring cloud微服务中使用spring security auth2登录认证流程和自定义手机号认证(1)
Hey-Girl
12-07 3070
hey-girl原创文章,若有歧义可留言,若需转载需标明出处。 1.概括:本文主要根据微服务pig<v3.3.3>项目pig码云地址,学习安全登录流程。通过扩展登录需求,自定义其他登录模式,比如常见的手机号登录或者微信登录等。 2.涉及服务介绍: gateway:9999(网关服务) auth:3000(认证服务) upms:4000(资源服务) common-security(安全模块) 3.先看看pig项目中登录大致流程图: #mermaid-svg-XsEXxUni7CgjXiIP .la
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5087
想要在基于SpringSecuritySpringBoot项目中实现多种自定义登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
spring security 手机号登陆 无密码
06-10
您好,对于使用手机号登录且无密码的情况,可以使用Spring Security中的自定义AuthenticationProvider来实现。具体实现步骤如下: 1. 创建一个实现了AuthenticationProvider接口的自定义认证提供者类,例如MobileAuthenticationProvider。 2. 在MobileAuthenticationProvider中实现authenticate方法,该方法用于对用户进行认证,可以在该方法中根据手机号码查询用户信息并进行认证。 3. 创建一个实现了Authentication接口的自定义认证对象类,例如MobileAuthenticationToken。该类用于封装用户认证信息,包括手机号码等信息。 4. 在Spring Security的配置类中配置MobileAuthenticationProvider和MobileAuthenticationToken的处理。 5. 在登录时,前端传递用户输入的手机号码,后端将手机号码封装为MobileAuthenticationToken对象,并调用AuthenticationManager.authenticate方法进行认证。 通过以上步骤,可以实现使用手机号登录且无密码的功能。希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值