SpringSecurity自定义短信验证码认证(基于filter认证方式,不推荐)

已于 2022-06-14 07:48:59 修改
阅读量441 收藏
点赞数
分类专栏: spring-security 文章标签: spring boot java
于 2022-04-23 23:05:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43011496/article/details/124372220
版权

在这里插入图片描述
如何自定义一个全新的认证方式。首先你需要知道整个流程是什么样的。
在这里插入图片描述

1. 实现 SmsAuthenticationToken

package com.zzh.springsecurityjson.security.sms;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import java.util.Collection;

/**
 * 自定义短信验证码 AuthenticationToken
 *   为什么不将 验证码也构造进来?验证码可以在 filter中进行验证
 * @date 2022/2/1
 * @since 1.0
 */
public class SmsAuthenticationToken extends AbstractAuthenticationToken {

    /**
     * 在未认证前,存放的是电话号码
     * 认证成功后: UserDetails 对象
     */
    private final Object principal;

    public SmsAuthenticationToken(Object principal) {
        super(null);
        this.principal = principal;
        this.setAuthenticated(false);
    }

    public SmsAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }
}

2. 实现 SmsAuthenticationProvider

package com.example.security_demo.sms;

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.util.Assert;

/**
 * 自定义 认证 Provider
 *
 * @author zzh
 * @date 2022/4/26
 * @since 1.0
 */
public class SmsAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Assert.isInstanceOf(SmsAuthenticationToken.class, authentication,
                "Only SmsAuthenticationToken is supported");
        SmsAuthenticationToken token = ((SmsAuthenticationToken) authentication);
        String smsCode = token.getSmsCode();
        String  mobile = ((String) token.getPrincipal());
        // 在这里对验证码以及手机号进行验证
        if (!checkCode(smsCode)) {
            throw new UsernameNotFoundException("验证码错误");
        }
        // 如果验证码正确便可以通过电话号码到数据库或缓存中获取用户的信息,在这里需要引入一个新的概念
        // UserDetails 和 权限的概念
        System.out.println(mobile);
        return null;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return SmsAuthenticationToken.class.isAssignableFrom(authentication);
    }

    /**
     * 我在这里做了简化的处理,正常情况下应该是在session 或者  redis 等缓存中获取比对
     * 同时一定要注意: 如果是通过session,一定要把验证流程放到过滤器中,因为在provider对象中
     * 注入 request对象会比较难以处理,可以放到 SmsAuthenticationFilter中验证也可以重新定义一个
     * filter.
     * @param smsCode 短信验证码
     * @return 如果验证码正确返回true 反之返回false
     */
    private boolean checkCode(String smsCode) {
        return smsCode != null && smsCode.length() > 0;
    }
}

3. 实现SmsAuthenticationFilter

package com.example.security_demo.sms;

import com.fasterxml.jackson.databind.JsonNode;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 自定义 手机验证码认证过滤器
 *
 * @author zzh
 * @date 2022/4/23
 * @since 1.0
 */
public class SmsAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private final ObjectMapper objectMapper = new ObjectMapper();

    private final static String SMS_MOBILE_KEY = "mobile";

    private final static String SMS_CODE_KEY = "smsCode";

    private final static AntPathRequestMatcher ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/sms/login");

    private final static String POST_REQUEST_METHOD = "POST";


    public SmsAuthenticationFilter() {
        super(ANT_PATH_REQUEST_MATCHER);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equalsIgnoreCase(POST_REQUEST_METHOD)) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        // 从请求体中获取 电话号码和验证码 request
        if (request.getContentType().equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE)) {
            try {
                JsonNode jsonBody = objectMapper.readTree(request.getInputStream());
                String mobile = jsonBody.get(SMS_MOBILE_KEY).textValue();
                String smsCode = jsonBody.get(SMS_CODE_KEY).textValue();
                // 调用 AuthenticationManager 进行认证, 
                // 所以需要注入 AuthenticationManager 对象 通过父类的setAuthenticationManager 进行注入
                return this.getAuthenticationManager().authenticate(new SmsAuthenticationToken( mobile, smsCode));
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
	// 此处调用其他逻辑 不如调用form表单登录即前后端不分离的逻辑(参考UsernamePasswordAuthenticaitonFilter),此处做简化
        return null;
    }
}

4. 在 SpringSecurity 配置文件中进行配置

此处一定要注意将系统的AuthenticationManager以Bean的方式进行暴露,这样会很方便我们进行认证。同时我们可以在任何地方进行注入,而不是局限于于在filter中进行验证。不如我们完全可以在controller中调用AuthenticationManager的认证方法进行认证。
在这里插入图片描述

package com.example.security_demo.config;

import com.example.security_demo.sms.SmsAuthenticationFilter;
import com.example.security_demo.sms.SmsAuthenticationProvider;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * spring security configuration
 *  如何禁用
 * 需要理解 spring security 配置文件理解
 *  默认的配置是什么
 * @author zzh
 * @date 2022/4/15
 * @since 1.0
 */
@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
    

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/sms/login").permitAll().anyRequest().authenticated()
                .and().csrf().disable();

        // 配置 过滤器
        http.addFilterBefore(smsAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        // 配置 AuthenticationProvider, 将自定义AuthenticationProvider注入到系统AuthenticationManager中
        http.authenticationProvider(new SmsAuthenticationProvider());


    }

    /**
     *  暴露  spring security中的 AuthenticationManager 对象,使得的用户可以在需要时进行对象注入
     *  例如:
     *  
     * 通过这种方法进行注入,然后调用
     *      @autowired
     *      AuthenticationManager authenticationManager;
     *      
     * @return AuthenticationManager
     * @throws Exception 异常
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 配置 filer, 此处要注意: 一定要注入AuthenticationManager
     * @return
     * @throws Exception
     */
    @Bean
    public SmsAuthenticationFilter smsAuthenticationFilter() throws Exception {
        SmsAuthenticationFilter smsAuthenticationFilter = new SmsAuthenticationFilter();
        smsAuthenticationFilter.setAuthenticationManager(authenticationManagerBean());
        return smsAuthenticationFilter;
    }


    @Bean
    public AuthenticationFailureHandler authenticationFailureHandler() {
        return (request, response, exception) -> {

            response.setContentType("application/json;utf-8");
            response.getWriter().write("Exception Handler");
        };
    }
}
努力变得更加专业
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 810
spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
spring security自定义登录增加为短信验证码校验实战
qq_32918041的博客
07-29 482
辛苦搞了2周终于搞出来了!遇到各种问题百度各中资料,各种尝试终于不辜负啊。 主要功能:用户输入用户名、密码、短信验证码,后台校验用户名、密码和手机验证码后登录成功。 技术栈:使用spring security框架搭建饼继承 (我没有使用xml配置模式看别人有用xml文件配置的,应该是异曲同工吧) 不多废话,正文附源码,疑问可评论。 1.继承WebSecurityConfigureAdapter的类:WebApplicationSecurityConfig 网上这个类的说明一抓一大把我也就是照猫画虎的本事,
超简单实现,oauth2 增加短信登录,spring security oauth2增加短信认证sms
test1372965955的博客
03-02 1069
重写认证逻辑,通过TokenRequest 拿到手机号等参数->先校验手机验证手机号关联的用户 是否都正确 ->创建用户对象(用户信息及权限)-> 将用户信息和客户端请求信息作为参数创建 OAuth2Authentication 授权信息返回。2配置文件添加自己的授权类型 tokenGranter(endpoints) 这个方法是将sms自定义认证方式添加。请求头记得添加basic 这个就是客户端id和密码 base64加密的。3. tokenGranter(endpoints) 实现!
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7555
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
spring security 短信验证码登录
llllllStan
08-01 2622
spring security短信验证码登录
SpringSecurity整合短信验证码认证
Spring MVC入门程序
04-30 657
SMS认证 1. Sms认证原理 1.用户前端发起请求,获取短信验证码。后端通过SmsController返回结果,并将验证码保存在session中(如果是无状态就保存在缓存中,设置过期时间)。 2.用户用手机号和验证码发起登录请求,通过SmsVaildataFilter过滤器进行校验,如果失败返回失败结果,校验成功后继续往下一个过滤器走。 filterChain.doFilter(reques...
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security自定义认证登录的全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
主要介绍了SpringBoot + SpringSecurity 短信验证码登录功能实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
springsecurity自定义短信验证码认证登录流程
爱音乐的程序猿的博客
10-12 2409
文章目录前言验证码存储我们采用redis作为缓存(注意,这里为了测试方便改为手动设置验证码)经过上面接口,验证码已经存入到redis中,下面开始认证流程自定义SmsCodeAuthenticationToken短信验证码认证token有了sms认证token后,我们还要自定义登录过滤器SmsCodeAuthenticationFilter,专门用来处理短信登录路径依然是参照security默认登录的过滤器UsernamePasswordAuthenticationFilter来实现自己的代码有了这两个后,我
Spring Security短信验证码登录
Yestar123456的博客
12-27 951
Spring Security添加图形验证码一节中,我们已经实现了基于Spring Boot + Spring Security的账号密码登录,并集成了图形验证码功能。时下另一种非常常见的网站登录方式手机短信验证码登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机短信验证码登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码来实现一...
spring security 短信验证 + Jwt (完整版,有源码)
张楠的博客
09-07 1913
首先 我们需要了解spring security的基本工作流程当登录请求进来时,会在UsernamePasswordAuthenticationFilter 里构建一个没有权限的 Authentication ,然后把Authentication 交给 AuthenticationManager 进行身份验证管理而AuthenticationManager 本身不做验证 ,会交给 AuthenticationProvider 进行验证
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
Candour_0的博客
01-13 519
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
springboot集成security手机号+验证码)
zlhmeng的博客
04-04 803
springboot集成security手机验证码的方式
SpringSecurity(十四)---实现过滤器(下)整合短信认证
学习不止境的博客
11-01 670
学习完Spring Security中的过滤器后,我们就可以整合新的认证方式并且让Spring Security帮我们完成认证的整个过程,那么这一章我们将通过加入短信验证码认证的例子带大家巩固之前的学习。 当然由于本人并没有开通短信业务,所以这里通过生成4位随机数并配合redis完成相关业务,大家如果集成了想尝试完全可以平替,主要学习的是原理和流程。首先 我们需要了解spring security的基本工作流程 之后我们就可以模仿上面的密码登录流程完成短信验证认证方法,流程如下: 根据上图 我们要重写 S
SpringSecurity-6-基于Filter实现图形验证
zhoubangbang1的博客
03-25 751
SpringSecurity-6-基于Filter实现图形验证SpringSecurity中有多种方式实现图像验证码,使用自定义过滤器去处理验证码逻辑是最简单的方式,只要将过滤器添加到合适的位置,当登录的时候,对验证码进行校验,成功就放行,失败则抛出异常。图形验证流程 流程图如下使用kaptcha生成图形验证码 kaptcha是谷歌提供的一款开源验证码jar包,只需简单配置就可以生成图片,源码地址:https://github.com/penggle/kaptcha添加kaptcha依赖在项目的pom.x
spring security 使用示例
红衣女妖仙的博客
08-19 1892
用户名密码认证短信验证码认证、踢人下线、 AuthorizationFilter 授权、FilterSecurityInterceptor url / expression 授权、登出、分布式配置。 2、SecurityConfig   先添加一个 SecurityConfig 配置类,作为整个 spring security 的核心配置,后续的认证、授权等功能都将在整个配置类中完成。 3、用户名密码认证   用户名密码认证主要是自定义实现 UserDetails、UserDetailsService、A
SpringSecurity自定义短信验证码登录怎么实现
最新发布
05-24
要实现Spring Security自定义短信验证码登录,需要遵循以下步骤: 1. 配置短信验证码的过滤器 在Spring Security的配置类中,添加一个短信验证码过滤器,用于拦截短信验证码登录请求,并校验验证码是否正确。可以参考以下代码: ``` @Bean public SmsCodeFilter smsCodeFilter() throws Exception { SmsCodeFilter smsCodeFilter = new SmsCodeFilter(); smsCodeFilter.setAuthenticationManager(authenticationManagerBean()); smsCodeFilter.setAuthenticationFailureHandler(authenticationFailureHandler()); return smsCodeFilter; } ``` 2. 实现短信验证码的校验逻辑 创建一个实现了`AuthenticationProvider`接口的短信验证码认证提供者,并在其中实现短信验证码的校验逻辑。可以参考以下代码: ``` @Component public class SmsCodeAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication; String mobile = (String) authenticationToken.getPrincipal(); String smsCode = (String) authenticationToken.getCredentials(); // 校验短信验证码 if (smsCodeIsValid(mobile, smsCode)) { // 构造认证通过的令牌 SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(mobile); authenticationResult.setDetails(authenticationToken.getDetails()); return authenticationResult; } else { throw new BadCredentialsException("短信验证码不正确"); } } private boolean smsCodeIsValid(String mobile, String smsCode) { // 根据手机号和短信验证码进行校验 // ... return true; } @Override public boolean supports(Class<?> authentication) { return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication); } } ``` 3. 配置AuthenticationManager 在Spring Security的配置类中,配置`AuthenticationManager`,并将自定义短信验证码认证提供者加入到其中。可以参考以下代码: ``` @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(smsCodeAuthenticationProvider()); } ``` 4. 配置登录接口 在Spring Security的配置类中,配置短信验证码登录的登录接口。可以参考以下代码: ``` @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(smsCodeFilter(), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/sms-login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .and() .csrf().disable(); } ``` 5. 发送短信验证码 在登录接口中,添加发送短信验证码的逻辑。可以参考以下代码: ``` @PostMapping("/sms-code") @ResponseBody public String sendSmsCode(@RequestParam String mobile) { // 发送短信验证码 // ... return "success"; } ``` 以上就是Spring Security自定义短信验证码登录的实现步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值