Oauth2.0 认证服务器添加验证码登陆方式

已于 2022-07-29 16:47:50 修改
阅读量1.2k 收藏 4
点赞数
分类专栏: Oauth2.0 文章标签: java 后端 安全
于 2022-07-29 16:46:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40264499/article/details/126059021
版权

发送验证码

@RestController
@AllArgsConstructor
@RequestMapping
public class LoginController {

    private final RedisTemplate<String, String> redisTemplate;

    @GetMapping(value = "captcha/{phone}")
    public R captcha(@PathVariable String phone) {
        String captcha = randomCode();
        redisTemplate.opsForValue().set(phone, captcha, 600, TimeUnit.SECONDS);
        return R.ok(captcha);
    }

    private static String randomCode() {
        Random random = new Random();
        int code = random.nextInt(10000);
        DecimalFormat format = new DecimalFormat("0000");
        return format.format(code);
    }

}

登陆验证码校验过滤器 CaptchaFilter

@Slf4j
@Component
@RequiredArgsConstructor
public class CaptchaFilter extends OncePerRequestFilter {

    private final RedisTemplate<String, String> redisTemplate;
    private final UserService userService;
    private RequestMatcher requestMatcher = new AntPathRequestMatcher("/oauth/token", HttpMethod.POST.name());

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        if (requestMatcher.matches(request)) {
            String grantType = request.getParameter("grant_type");
            if (StrUtil.equalsIgnoreCase(grantType, "captcha")) {
                try {
                    verifyCaptcha(request);
                } catch (BusinessException e) {
                    log.error("登陆验证码校验异常: {}, {}", e.getCode(), e.getMsg());
                    R.failRender(e.getCode(), e.getMsg(), response, HttpStatus.INTERNAL_SERVER_ERROR.value());
                    return;
                }
            }
        }
        filterChain.doFilter(request, response);
    }

    private void verifyCaptcha(HttpServletRequest request) throws ServletRequestBindingException {
        String phone = ServletRequestUtils.getStringParameter(request, "username");
        String captcha = ServletRequestUtils.getStringParameter(request, "password");
        String cache = redisTemplate.opsForValue().get(phone);
        if (Objects.isNull(cache) || !captcha.equals(cache)) {
            throw new BusinessException("验证码校验异常");
        }
    }
}

自定义一种授权模式 CaptchaTokenGranter

  • 自定义验证码授权模式
  • 配置到 AuthorizationServerConfig.tokenGranter()
  • 将配置好的授权列表添加到 AuthorizationServerEndpointsConfigurer 中
public class CaptchaTokenGranter extends AbstractTokenGranter {

    private static final String GRANT_TYPE = "captcha";
    private UserDetailsServiceImpl userDetailsServiceImpl;

    public CaptchaTokenGranter(AuthorizationServerTokenServices tokenServices, ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory, UserDetailsServiceImpl userDetailsServiceImpl) {
        super(tokenServices, clientDetailsService, requestFactory, GRANT_TYPE);
        this.userDetailsServiceImpl = userDetailsServiceImpl;
    }

    @Override
    protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
        Map<String, String> requestParameters = tokenRequest.getRequestParameters();
        String username = requestParameters.getOrDefault("username", "");
        UserDetails userDetails = userDetailsServiceImpl.loadUserByUsername(username);
        if (Objects.isNull(userDetails)) {
            throw new UsernameNotFoundException("Username Not Found Exception");
        }
        // 构建用户授权信息
        Authentication user = new UsernamePasswordAuthenticationToken(userDetails.getUsername(),
                userDetails.getPassword(), userDetails.getAuthorities());
        return new OAuth2Authentication(tokenRequest.createOAuth2Request(client), user);
    }
}

将定义的授权模式添加到认证服务器核心配置 AuthorizationServerConfig 的端点配置中

AuthorizationServerConfig 其他配置已省略,详细见 Oauth2.0 认证服务器搭建

@Configuration
@EnableAuthorizationServer
@AllArgsConstructor
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
	
    ......
    
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenGranter(tokenGranter(endpoints)); //配置授权方式
    }

    /**
     * 先获取已有的五种授权列表,然后将自定义的授权方式置入
     *
     * @param endpoints AuthorizationServerEndpointsConfigurer
     * @return TokenGranter
     */
    private TokenGranter tokenGranter(final AuthorizationServerEndpointsConfigurer endpoints) {
        List<TokenGranter> granters = new ArrayList<>(Collections.singletonList(endpoints.getTokenGranter()));
        granters.add(new CaptchaTokenGranter(endpoints.getTokenServices(), endpoints.getClientDetailsService(),
                endpoints.getOAuth2RequestFactory(), userDetailsServiceImpl));
        return new CompositeTokenGranter(granters);
    }
    
    ......

}

Oauth2.0 系列文章

以下是同步到语雀的、可读性好一点,CSDN 继续看的点专栏就好。
Oauth2.0 核心篇
Oauth2.0 安全性(以微信授权登陆为例)
Oauth2.0 认证服务器搭建
Oauth2.0 添加验证码登陆方式
Oauth2.0 资源服务器搭建
Oauth2.0 自定义响应值以及异常处理
Oauth2.0 补充

zhangyu丶
关注
专栏目录
使用WebView实现新浪微博Oauth2.0认证(android)
07-20
本文将详细介绍如何使用WebView组件实现新浪微博的OAuth2.0认证过程,这是一个安全、便捷的方法,避免了直接操作HTML代码获取验证码带来的潜在风险。 OAuth2.0是一种授权框架,它允许第三方应用在用户的授权下访问...
深入理解Spring Cloud Security OAuth2身份认证
iloveoverfly的博客
03-06 4675
OAuth2协议 生活中,当我们使用滴滴出行或者美团app进行登录时,如果选择微信授权登录,则可以使用微信的头像,昵称,地区和性别信息登录,如图: 在滴滴出行和美团app的系统中,是没有存储微信的用户信息,但是授权过后就可以使用到微信的部分权限。这就是使用OAuth2协议实现的。它为第三方应用提供对HTTP服务的有限访问,即可以是资源拥有者通过授权运行第三方应用获取HTTP服务,也可以是第...
SpringCloud oauth2授权(密码模式,验证码模式)
热门推荐
zhang_ming_xuan的博客
07-09 1万+
前言 项目基于springcloud,授权决定使用提供的spring-oauth2,了解了oauth2原理之后,基于业务有很多需要重写的点; 1.获取token同时需要获取客户端信息(手机型号,app版本号等) 2.除了提供的password方式登录,还需要提供验证码登录功能 源码理解 对spring-cloud-starter-oauth2包的源码进行了简单的了解: endpoint...
谷粒商城のOAuth2.0&单点登录
最新发布
西岭千秋雪的博客
10-02 901
谷粒商城项目实战:OAuth2.0,整合阿里云短信,单点登录,Spring Session
OAuth2.0 - 自定义模式授权 - 短信验证码登录
小毕超博客
01-18 8449
一、OAuth2.0 - 自定义模式授权 上篇文章我们分析了目前的情况,演示了微服务的大环境下在保证安全的情况下通过SpringGateWay实现统一的鉴权处理,但是前面的演示中,我们都是基于用户名密码的方式,但是现在已经普及短信验证码登录、微信登录、QQ登录等这些第三方的登录方式,这些方式显然不在Oauth2.0提供的四种授权模式下,因此我们如果要实现第三方的登录需要自定义一个授权模式,下面我们就以短信验证码登录为例进行实现。 下面是上篇文章的地址: https://blog.csdn.net/qq_4
SpringCloud微服务实战——搭建企业级开发框架(二十六):自定义扩展OAuth2实现短信验证码登录
全栈程序猿的专栏
10-23 781
  我们系统集成了短信通知服务,这里我们进行OAuth2的扩展,使系统支持短信验证码登录。 1、在gitegg-oauth中新增SmsCaptchaTokenGranter 自定义短信验证码令牌授权处理类 /** * 短信验证码模式 */ public class SmsCaptchaTokenGranter extends AbstractTokenGranter { private static final String GRANT_TYPE = "sms_captcha"; p
简单梳理一下Oauth2
js0808088的博客
11-12 3971
先贴一个Spring-security的官方文档地址: 学习一门技术,最好的方法就是去看他的官方文档。 简介: OAuth2(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 简而言之,Oauth2就是经过一次验证,将客户端及个人信息保存在服务器上,当在第三方应用上需要认证或者授权时,无需再次登录认证。 这是一个简单的流程图,便于大家快速了解Oauth2的认证流程: 接下来,我会按照下面几个模块,
oauth-wx:OAth2.0之微信登录授权
05-30
采用授权方式OAuth2.0协议的出现解决了以上的各种问题,什么是OAuth2.0呢 (引导用户发起授权请求)客户端向用户询问,用户允许授权 获取到code和state 将code发送给服务端, 服务端携带code请求验证服务器,获取OpenID...
passport-keycloak-oauth2-oidc:使用 OAuth2OIDC API 使用 Keycloak 进行身份验证的 Passport.js 策略
05-30
护照-keycloak-oauth2-oidc 使用 OAuth2/OIDC API 使用进行身份...配置策略Keycloak身份验证策略通过使用OpenID Connect(OIDC / OAuth 2.0)协议委派给您的Keycloak服务器来对请求进行身份验证。 使用此策略时,它的
认证插件服务器
02-12
常见的身份验证方法包括基于密码的认证、多因素认证(如短信验证码、指纹识别)、OAuth2.0、OpenID Connect等。选择合适的认证机制对系统的安全性至关重要。 2. **加密技术**:在处理用户凭证时,必须确保数据的...
一个轻量级 Java 权限认证框架
04-22
6. **OAuth2.0**:OAuth2.0是一个开放标准,用于授权第三方应用安全地访问用户的数据。框架集成了OAuth2.0,使得第三方应用可以无缝地与主系统进行身份验证和授权交互,增加了系统的可扩展性。 7. **sa-token-dev**...
SpringCloud - Oauth2增加短信验证码验证登录
zhangdm的博客
01-26 3306
Oauth2增加短信验证码验证登录
flask学习:Web表单
懒惰的小肥肥的博客
12-12 315
这是Flask Mega-Tutorial系列的第三部分,我将告诉你如何使用Web表单。 在第二章中我为应用主页创建了一个简单的模板,并使用诸如用户和用户动态的模拟对象。在本章中,我将解决这个应用程序中仍然存在的众多遗漏之一,那就是如何通过Web表单接受用户的输入。 Web表单是所有Web应用程序中最基本的组成部分之一。 我将使用表单来为用户发表动态和登录认证提供途径。 在继续阅读本章之前,确保你...
spring security-源码流程分析(六)-oauth授权模式分析
luoxiaomei999的博客
04-13 1189
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 本文在上一篇的基础上进行,继续追踪看下不同类型模式的grant方法到底做了什么 一、ResourceOwnerPasswordTokenGranter 1、从继承关系可以看到,父类AbstractTokenGranter 2、在getOAuth2Authentication方法中进入子类自己的方法 注意,.
SpringSecurity+Oauth2集成短信登录
康小虎的博客
11-11 1805
之前的博客有写过SpringCloud+SpringSecurity+Oauth2的token刷新功能,最近又完成了短信验证码登录的功能。SpringSecurityOauth2没有直接提供集成短信登录的配置,我们可以仿照用户名密码登录的整个流程来实现短信验证码的登录。主要参考来自视频https://www.bilibili.com/video/BV16J41127jq?p=24,大家有时间的话还是可以将所有的视频看一下,照着他的做基本就可以实现短信登录的需求。
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
spring-security-oauth2 中优雅的扩展自定义(短信验证码)登录方式【Part-End】
邪影oO
11-22 3810
上一篇 中我们讨论了如何实现的思路,本篇中我们把它实现 发送验证码的Controller 首先我们需要创建一个发送验证码的 Controller, 至于如何实现,这里就不多说了,大家都会的,本篇重点说明验证部分. 【注意】在认证服务器上增加自己的 Controller, 默认情况下访问是返回403,有两种办法解决: 把认证服务器也配制为资源服务器,既: 它既是认证服务器,也是资源服务器.并配制新...
oauth2对用户状态进行修改与校验(一)—— 认证成功/失败监听
u011237918的博客
02-02 3202
项目中登录的时候使用的是oauth2获取token进行登录,最近要加入账户锁定机制,连续输错几次密码以后锁定一段时间,如果连续错误次数太多则冻结。 梳理了一下功能: 用户状态分为四种:正常、暂时封禁、冻结、停用(停用是人员离职一类的,将账号停用) 登录时,先获取用户状态,若非正常用户则直接提示对应信息 登录失败时,需要能够进入自定义的失败方法,对用户账户失败次数+1,记录本次登录时间,修改用户状态(若需要) 登录成功时,将用户状态修改为正常,连续错误次数置0,记录登录时间。 监听登录成功/失败方法 参考
Spring Cloud OAuth2 实现用户认证及单点登录
诚的博客
07-29 2846
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章。(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 本文我们将使用授权码模式和密码模式两种方式来实现用户认证和授权管理。 OAuth2 其实是
OAuth2.0详解:访问令牌与验证机制
例如,如果需要OAuth2.0认证,挑战字符串会包含"OAuth2"以及可能的参数如错误信息、错误描述和错误URI。 (三)OAuth2.0流程 OAuth2.0协议包括四个角色:资源所有者(Resource Owner),客户端(Client),授权服务器...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值