【Spring Security OAuth开发APP认证框架】--- 将短信登陆嫁接到Spring Security OAuth

项目源码地址 https://github.com/nieandsun/security

---

1 短信登陆需要解决的问题和解决方式

在上篇文章《【Spring Security OAuth开发APP认证框架】— 将用户名密码登陆嫁接到Spring Security OAuth》的2.2小结代码的开发中其实我注释掉了关于验证码的配置，因为它存下图所示的问题：

即之前开发的短信登陆和图形验证码都是基于cookie和session的，但是基于token的认证方式根本就不会有cookie和session的参与。其实解决方式也简单，就是把原来存放到session中的验证码，我们直接存到数据库（如redis）中，然后验证的时候再去数据库里把这个验证码拿出来进行验证就可以了。

2 将短信登陆嫁接到Spring Security OAuth

2.1 将注释掉的验证码相关配置信息放开

直接看commit记录吧

2.2 修改保存、获取和移出验证码的逻辑

由于浏览器项目还是可以使用之前的cookie+session的方式保存、获取和移出验证码，而app项目需要将用到数据库（如redis）+deviceId（数据库相当于session、deviceId相当于cookie）的方式来保存、获取和移出验证码。两种项目都需要做保存、获取和移出验证码的动作，因此可以采用模版模式+策略模式的方式进行开发。

定义保存、获取和移出验证码的模板接口

package com.nrsc.security.core.validate.code;

import org.springframework.web.context.request.ServletWebRequest;

/**
 * @author : Sun Chuan
 * @date : 2019/10/19 21:55
 * Description：
 */
public interface ValidateCodeRepository {
    /**
     * 保存验证码
     * @param request
     * @param code
     * @param validateCodeType
     */
    void save(ServletWebRequest request, ValidateCode code, ValidateCodeType validateCodeType);
    /**
     * 获取验证码
     * @param request
     * @param validateCodeType
     * @return
     */
    ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType);
    /**
     * 移除验证码
     * @param request
     * @param codeType
     */
    void remove(ServletWebRequest request, ValidateCodeType codeType);
}

---

浏览器项目使用cookie+session的方式进行验证码的存、取、删

package com.nrsc.security.browser.validate.code.impl;

import com.nrsc.security.core.validate.code.ValidateCode;
import com.nrsc.security.core.validate.code.ValidateCodeRepository;
import com.nrsc.security.core.validate.code.ValidateCodeType;
import org.springframework.social.connect.web.HttpSessionSessionStrategy;
import org.springframework.social.connect.web.SessionStrategy;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.ServletWebRequest;

/**
 * @author : Sun Chuan
 * @date : 2019/10/19 22:01
 * Description：使用cookie+session的方式进行验证码的存、取、删 --- 使用了之前的逻辑
 */
@Component
public class SessionValidateCodeRepository implements ValidateCodeRepository {

    /**
     * 验证码放入session时的前缀
     */
    String SESSION_KEY_PREFIX = "SESSION_KEY_FOR_CODE_";

    /**
     * 操作session的工具类
     */
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    @Override
    public void save(ServletWebRequest request, ValidateCode code, ValidateCodeType validateCodeType) {
        sessionStrategy.setAttribute(request, getSessionKey(request, validateCodeType), code);
    }

    /**
     * 构建验证码放入session时的key
     *
     * @param request
     * @return
     */
    private String getSessionKey(ServletWebRequest request, ValidateCodeType validateCodeType) {
        return SESSION_KEY_PREFIX + validateCodeType.toString().toUpperCase();
    }

    @Override
    public ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType) {
        return (ValidateCode) sessionStrategy.getAttribute(request, getSessionKey(request, validateCodeType));
    }

    @Override
    public void remove(ServletWebRequest request, ValidateCodeType codeType) {
        sessionStrategy.removeAttribute(request, getSessionKey(request, codeType));
    }
}

---

app项目使用redis+deviceId的方式进行验证码的存、取、删

package com.nrsc.security.app.validate.code.impl;

import com.nrsc.security.core.validate.code.ValidateCode;
import com.nrsc.security.core.validate.code.ValidateCodeException;
import com.nrsc.security.core.validate.code.ValidateCodeRepository;
import com.nrsc.security.core.validate.code.ValidateCodeType;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.ServletWebRequest;

import java.util.concurrent.TimeUnit;

/**
 * @author : Sun Chuan
 * @date : 2019/10/19 22:05
 * Description：使用redis+deviceId的方式进行验证码的存、取、删
 */
@Component
public class RedisValidateCodeRepository implements ValidateCodeRepository {
    @Autowired
    private RedisTemplate<Object, Object> redisTemplate;


    @Override
    public void save(ServletWebRequest request, ValidateCode code, ValidateCodeType type) {
        redisTemplate.opsForValue().set(buildKey(request, type), code, 30, TimeUnit.MINUTES);
    }

    @Override
    public ValidateCode get(ServletWebRequest request, ValidateCodeType type) {
        Object value = redisTemplate.opsForValue().get(buildKey(request, type));
        if (value == null) {
            return null;
        }
        return (ValidateCode) value;
    }

    @Override
    public void remove(ServletWebRequest request, ValidateCodeType type) {
        redisTemplate.delete(buildKey(request, type));
    }

    /**
     * 构建验证码在redis中的key ---- 该key类似与cookie
     * @param request
     * @param type
     * @return
     */
    private String buildKey(ServletWebRequest request, ValidateCodeType type) {
        String deviceId = request.getHeader("deviceId");
        if (StringUtils.isBlank(deviceId)) {
            throw new ValidateCodeException("请在请求头中携带deviceId参数");
        }
        return "code:" + type.toString().toLowerCase() + ":" + deviceId;
    }
}

---

2.3 修改原来保存、获取和移出验证码的代码

其实就是将原来保存、获取和移出验证码的代码改成调用ValidateCodeRepository接口的方法，改动主只在AbstractValidateCodeProcessor抽象类里，有兴趣的可以看commit 记录，这里不再贴代码了。

3 测试

（1）获取短信验证码

此时后端会打印获取到的短息验证码，如下图：

此时redis里已经保存了我们的验证码 — 验证码保存成功

（2）发送通过短信验证码登陆的请求

但是为了验证我们没使用cookie+session的机制，我们可以将上面的请求通过点击上图的Code生成一个curl请求，如下图：

我们拿着这个请求利用git命令行发起请求，从下图可知我们可以得到token，这表明①我们没有用cookie和session的机制，②通过header里传的deviceId从redis获取验证码的功能+校验验证码的功能都是成功的。

同时当获取到token之后再看redis数据库，我们可以发现数据库里已经被置空了，如下图。这表明我们从redis移出验证码功能的开发也是成功的。

4 图形验证码应该也好了，这里不验证了