spring security自定义登录增加为短信验证码校验实战

已于 2022-07-29 19:08:54 修改
阅读量500 收藏
点赞数
分类专栏: spring 文章标签: spring java
于 2022-07-29 19:08:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32918041/article/details/123874332
版权

辛苦搞了2周终于搞出来了!遇到各种问题百度各中资料,各种尝试终于不辜负啊。

  1. 主要功能:用户输入用户名、密码、短信验证码,后台校验用户名、密码和手机验证码后登录成功。
  2. 技术栈:使用spring security框架搭建并继承 (我没有使用xml配置模式看别人有用xml文件配置的,应该是异曲同工吧)
    不多废话,正文附源码,疑问可评论。
    1.继承WebSecurityConfigureAdapter的类:WebApplicationSecurityConfig
    网上这个类的说明一抓一大把我也就是照猫画虎的本事,关注点是在本类的初始化JwtAuthenticationProvider在内的provider对象时很容易犯错,也要注意相同的addFilter、addFilterBefore、addFilterAfter等各类过滤器也有先后顺序。
    2.继承UsernamePasswordAuthenticationFilter的类:JwtLoginFilter(主要验证码逻辑位置)
    3.继承UsernamePasswordAuthenticationToken的类:JwtAuthenticationToken
    4.继承DaoAuthenticationProvider的类:JwtAuthenticationProvider
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
@Component
public class JwtAuthenticationProvider extends DaoAuthenticationProvider {
    public JwtAuthenticationProvider(JdbcUserDetailsServiceImpl userDetailsService) {
        super();
		setHiderUserNotFoundException(false);
		setUserDetailsService(userDetailsService);
    }
	public JwtAuthenticationProvider() {
        super();
	}
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    //手机号和密码登录可是使用下列逻辑直接认证,我是账号密码再家短信验证码所以此处逻辑还是账号密码逻辑无需变更
	//	JwtCodeAuthenticationToken authenticationToken = (JwtCodeAuthenticationToken) authentication;
    //    Object principal = authentication.getPrincipal();// 获取凭证也就是用户的手机号
    //    String phone = "";
    //    if (principal instanceof String) {
    //        phone = (String) principal;
    //    }
    //    
    //    String inputCode = (String) authentication.getCredentials(); // 获取输入的验证码
    //    
    //    Integer cacheObject = redisCache.getCacheObject("login"+phone);
    //	
    //    // 1. 检验Redis手机号的验证码
    //    if (cacheObject == null) {
    //        throw new BadCredentialsException("验证码已经过期或尚未发送,请重新发送验证码");
    //    }
    //    if (!inputCode.equals(cacheObject+"")) {
    //        throw new BadCredentialsException("输入的验证码不正确,请重新输入");
    //    }
    //    // 2. 根据手机号查询用户信息
    //    UserDetails userDetails = userDetailsServiceImpl.loadUserByUsername(phone);
    //    if (userDetails == null) {
    //        throw new InternalAuthenticationServiceException("phone用户不存在,请注册");
    //    }
    //     // 3. 重新创建已认证对象,
    //    JwtCodeAuthenticationToken authenticationResult = new JwtAuthenticationToken(userDetails, inputCode, userDetails.getAuthorities());
    //    authenticationResult.setDetails(authenticationToken.getDetails());
    //    return authenticationResult;
		return super.authenticate(authentication);
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return JwtAuthenticationToken.class.isAssignableFrom(aClass);
    }
}

分割线

ackage com.seahorse.youliao.security;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import java.util.Collection;

/**
 * @Description: 自定义令牌对象
 * @author:songqiang
 * @Date:2020-01-10 11:28
 **/
public class JwtAuthenticatioToken extends UsernamePasswordAuthenticationToken {


    private static final long serialVersionUID = 1L;

    private String token;

    public JwtAuthenticatioToken(Object principal, Object credentials){
        super(principal, credentials);
    }

    public JwtAuthenticatioToken(Object principal, Object credentials, String token){
        super(principal, credentials);
        this.token = token;
    }

    public JwtAuthenticatioToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(principal, credentials, authorities);
    }

    public JwtAuthenticatioToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities, String token) {
        super(principal, credentials, authorities);
        this.token = token;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    public static long getSerialversionuid() {
        return serialVersionUID;
    }

}

import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.context.support.MessageSourceAccessor;

public class JwtLoginFilter extends UsernamePasswordAuthenticationFilter {
//	自定义对象校验短信验证码是否正确
	private static final MobileService mobileService =ContextHolder.getbean(MobileService.class);
//	
	@Autowired
	private SessionRegistry sessionRegistry;
    
	public JwtLoginFilter(AuthenticationManager authManager,
                          AuthenticationSuccessHandler successHandler,
                          AuthenticationFailureHandler failureHandler,
                          ApplicationEventPublisher eventPublisher,
						  MessageSourceAccessor messages,
						  SessionRegistry sessionRegistry) {
		setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/login","POST"));
        setAuthenticationManager(authManager);
        setAuthenticationSuccessHandler(successHandler);
        setAuthenticationFailureHandler(failureHandler);
        setApplicationEventPublisher(eventPublisher);
		this.sessionRegistry=sessionRegistry;
		//messages用于各项验证码失败类抛出异常处理
		this.messages=messages;
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        // POST 请求 /login 登录时拦截, 由此方法触发执行登录认证流程,可以在此覆写整个登录认证逻辑
        super.doFilter(req, res, chain);
    }


    /**
     * 此过滤器的用户名密码默认从request.getParameter()获取
     * 在此做验证码的验证
     * @param request
     * @param response
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
	
		String username=request.getParameter("username");
		String password=request.getParameter("password");
		String message=request.getParameter("message");
		String phone=request.getParameter("phone");
		//账户和密码
        if (username == null) {
            username = "";
        }
        if (password == null) {
            password = "";
        }
		//先验证用户名和密码
		JwtAuthenticatioToken authRequest=new JwtAuthenticatioToken(authRequest);
		this.setDetails(request,authRequest);
		authentication auth=getAuthenticationManager().authenticate(authRequest);
        if(phone)
		{
			boolean status=mobileService.checkMessage(username,phone,message);
			if (status==false)
			{
				RedirectStrategy redirect=new DefaultRedirectStrategy();
				//messages用于各项验证码失败类抛出异常的翻译器
				request.getSession(true).setAttribute("SPRING_SECURITY_LAST_EXCEPTION",new Exception(messages.getMessage("JwtAuthenticationProvider.credentialsExpired")));
				redirect.setRedirect(request,response,"/login.jsp?error=404");
				return null;
			}
		}
		SecurityContextHolder.getContext().setAuthentication(auth);
		String  hello=request.getSession().getId();
		sessionRegistry.registerNewSession(hello,auth.getPrincipal());
		return auth;
    }
	protected void setDetails(HttpServletRequest request,JwtAuthenticatioToken authRequest)
	{
		authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
	}
我叫张三丰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Spring Security(学习笔记)--用户名密码登录短信验证码(模拟短信)登录同时支持怎么弄?
最新发布
TONGZHOUGONGDU的博客
04-26 1889
账号密码与验证码登录怎么同时支持
Spring Security登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 969
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
SpringSecurity5.7+最新案例 -- 用户名密码+验证码+记住我······
热门推荐
mose-x
08-03 3万+
根据最近一段时间的设计以及摸索,对SpringSecurity进行总结,目前security采用的是5.7+版本,和以前的版本最大的差别就是,以前创建SecurityConfig需要继承WebSecurityConfigurerAdapter,而到了5.7以后,并不推荐这种做法,查了网上一些教程,其实并不好,绝大多数用的都是老版本,所以出此文案。一些原理什么的,就不过多说明了,一般搜索资料的,其实根本不想你说什么原理 T·T。
手把手带你在集成SpringSecuritySpringBoot应用中添加短信验证码登录认证功能
heshengfu1211的博客
03-25 2031
手把手带你在集成SpringSecuritySpringBoot应用中添加短信验证码登录认证功能
SpringSecurity自定义短信验证码认证(基于filter认证方式,不推荐)
qq_43011496的博客
04-23 458
如何自定义一个全新的认证方式。首先你需要直到整个流程是什么样的。
springboot集成security(手机号+验证码)
zlhmeng的博客
04-04 833
springboot集成security,手机号验证码的方式
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring SecurityJava应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码短信验证码和github三种登录方式)
向心行者
09-15 8357
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
若依登录自定义扩展Springboot+security支持密码、验证码多种登录方式
liangshitian的博客
12-04 7140
若依开源框架登录使用的配置大部分都是security自定义的,目前希望在此框架基础上支持自定义登录,如手机号+密码登录认证、手机号+短信验证码认证。 1、自定义登录实现思路 主要是实现继承DaoAuthenticationProvider类,重写additionalAuthenticationChecks方法,将通过密码标识来判断是不是需要验证密码和免密验证。 2、继承DaoAuthenticationProvider package com.tuitui.framework.security.
Springboot 整合SpringSecurity实现账号密码+手机验证码登陆
alexliu0725的博客
09-19 5196
Springboot 整合SpringSecurity实现账号密码+手机验证码登陆示例说明版本示例安装Spring-security 介绍为什么不用 shiroSpring-Security 做用户认证、授权CSRF 跨站请求伪造防护iframe 嵌入提升用户、编码体验更多 SpringSecuritySpring 提供安全管理框架。核心内容包含认证、授权、攻击防护。实际上SpringSecurity 已经发展了多年了,但是在 SSM/SSH 中整合 SpringSecurity 相较于 Shiro
SpringSecurity自定义实现手机短信登录
roydon
05-10 2114
其实实现原理上跟账号密码登录一样的定义一个仅使用手机号验证权限的鉴权Token,SpringSecurity原生的是使用username和password,如下图/*** 短信登录令牌/*** SmsCodeAuthenticationFilter中构建的未认证的Authentication} /*** SmsCodeAuthenticationProvider中构建已认证的Authentication} }
SpringSecurity(四):自定义登陆认证实现手机号登陆
MJ丶的博客
10-28 9158
SpringSecurity默认提供了两种登陆,一种basic登陆一种表单登陆(分别在一三章有讲到),但是如果我们要实现其他方式的登陆(例如邮箱登陆,手机号登陆)又该怎么做呢? 第二章中讲到了Security登录原来,以及最后给出的流程图,结合它们这章来实现自定义登陆认证  1.MobileAuthenticationToken /** * 手机登录认证token * * 仿Us
java使用token登录验证并携带用户参数
yjw_2019的博客
05-12 1148
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 工具类 public class TokenUtils { //设置过期时间 //
Spring secrity 自定义密码验证(结合JWT)
TiankkTT的博客
07-24 1027
众所周知,在Springsecrity中,密码验证由框架进行,但在实际项目开发中,交给secrity原生处理就显得有点局限了。而我们要做的自定义登录,就要去重写一些内容了。首先,继承UsernamePasswordAuthenticationFilter去重写下方方法,获取自定义登录接口的相关信息,再对用户名密码处理。之后,spring会通过你设置的密码加密方式以及loadUserByUsername方法中的逻辑进行验证,再之后的验证成功与否会有不同的处理。...
Spring Security 自定义 AuthenticationProvider无法@Autowired问题
zb313982521的博客
02-20 3978
Spring Security 自定义 AuthenticationProvider无法@Autowired问题 在AuthenticationProvider中使用@Autowired注入时始终报Null问题 找了半天发现应该在SecurityConfig配置类中 @EnableWebSecurity public class SecurityConfig extends WebSecu...
SpringSecurity自定义短信验证码登录怎么实现
05-24
要实现Spring Security自定义短信验证码登录,需要遵循以下步骤: 1. 配置短信验证码的过滤器 在Spring Security的配置类中,添加一个短信验证码过滤器,用于拦截短信验证码登录请求,并校验验证码是否正确。可以参考以下代码: ``` @Bean public SmsCodeFilter smsCodeFilter() throws Exception { SmsCodeFilter smsCodeFilter = new SmsCodeFilter(); smsCodeFilter.setAuthenticationManager(authenticationManagerBean()); smsCodeFilter.setAuthenticationFailureHandler(authenticationFailureHandler()); return smsCodeFilter; } ``` 2. 实现短信验证码校验逻辑 创建一个实现了`AuthenticationProvider`接口的短信验证码认证提供者,并在其中实现短信验证码校验逻辑。可以参考以下代码: ``` @Component public class SmsCodeAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication; String mobile = (String) authenticationToken.getPrincipal(); String smsCode = (String) authenticationToken.getCredentials(); // 校验短信验证码 if (smsCodeIsValid(mobile, smsCode)) { // 构造认证通过的令牌 SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(mobile); authenticationResult.setDetails(authenticationToken.getDetails()); return authenticationResult; } else { throw new BadCredentialsException("短信验证码不正确"); } } private boolean smsCodeIsValid(String mobile, String smsCode) { // 根据手机号和短信验证码进行校验 // ... return true; } @Override public boolean supports(Class<?> authentication) { return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication); } } ``` 3. 配置AuthenticationManager 在Spring Security的配置类中,配置`AuthenticationManager`,并将自定义短信验证码认证提供者加入到其中。可以参考以下代码: ``` @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(smsCodeAuthenticationProvider()); } ``` 4. 配置登录接口 在Spring Security的配置类中,配置短信验证码登录登录接口。可以参考以下代码: ``` @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(smsCodeFilter(), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/sms-login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .and() .csrf().disable(); } ``` 5. 发送短信验证码登录接口中,添加发送短信验证码的逻辑。可以参考以下代码: ``` @PostMapping("/sms-code") @ResponseBody public String sendSmsCode(@RequestParam String mobile) { // 发送短信验证码 // ... return "success"; } ``` 以上就是Spring Security自定义短信验证码登录的实现步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值