SpringSecurity自定义短信验证码认证(基于filter认证方式,不推荐)

已于 2022-06-14 07:48:59 修改
阅读量459 收藏
点赞数
分类专栏: spring-security 文章标签: spring boot java
于 2022-04-23 23:05:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43011496/article/details/124372220
版权

在这里插入图片描述
如何自定义一个全新的认证方式。首先你需要知道整个流程是什么样的。
在这里插入图片描述

1. 实现 SmsAuthenticationToken

package com.zzh.springsecurityjson.security.sms;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import java.util.Collection;

/**
 * 自定义短信验证码 AuthenticationToken
 *   为什么不将 验证码也构造进来?验证码可以在 filter中进行验证
 * @date 2022/2/1
 * @since 1.0
 */
public class SmsAuthenticationToken extends AbstractAuthenticationToken {

    /**
     * 在未认证前,存放的是电话号码
     * 认证成功后: UserDetails 对象
     */
    private final Object principal;

    public SmsAuthenticationToken(Object principal) {
        super(null);
        this.principal = principal;
        this.setAuthenticated(false);
    }

    public SmsAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }
}

2. 实现 SmsAuthenticationProvider

package com.example.security_demo.sms;

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.util.Assert;

/**
 * 自定义 认证 Provider
 *
 * @author zzh
 * @date 2022/4/26
 * @since 1.0
 */
public class SmsAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Assert.isInstanceOf(SmsAuthenticationToken.class, authentication,
                "Only SmsAuthenticationToken is supported");
        SmsAuthenticationToken token = ((SmsAuthenticationToken) authentication);
        String smsCode = token.getSmsCode();
        String  mobile = ((String) token.getPrincipal());
        // 在这里对验证码以及手机号进行验证
        if (!checkCode(smsCode)) {
            throw new UsernameNotFoundException("验证码错误");
        }
        // 如果验证码正确便可以通过电话号码到数据库或缓存中获取用户的信息,在这里需要引入一个新的概念
        // UserDetails 和 权限的概念
        System.out.println(mobile);
        return null;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return SmsAuthenticationToken.class.isAssignableFrom(authentication);
    }

    /**
     * 我在这里做了简化的处理,正常情况下应该是在session 或者  redis 等缓存中获取比对
     * 同时一定要注意: 如果是通过session,一定要把验证流程放到过滤器中,因为在provider对象中
     * 注入 request对象会比较难以处理,可以放到 SmsAuthenticationFilter中验证也可以重新定义一个
     * filter.
     * @param smsCode 短信验证码
     * @return 如果验证码正确返回true 反之返回false
     */
    private boolean checkCode(String smsCode) {
        return smsCode != null && smsCode.length() > 0;
    }
}

3. 实现SmsAuthenticationFilter

package com.example.security_demo.sms;

import com.fasterxml.jackson.databind.JsonNode;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 自定义 手机验证码认证过滤器
 *
 * @author zzh
 * @date 2022/4/23
 * @since 1.0
 */
public class SmsAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private final ObjectMapper objectMapper = new ObjectMapper();

    private final static String SMS_MOBILE_KEY = "mobile";

    private final static String SMS_CODE_KEY = "smsCode";

    private final static AntPathRequestMatcher ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/sms/login");

    private final static String POST_REQUEST_METHOD = "POST";


    public SmsAuthenticationFilter() {
        super(ANT_PATH_REQUEST_MATCHER);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equalsIgnoreCase(POST_REQUEST_METHOD)) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        // 从请求体中获取 电话号码和验证码 request
        if (request.getContentType().equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE)) {
            try {
                JsonNode jsonBody = objectMapper.readTree(request.getInputStream());
                String mobile = jsonBody.get(SMS_MOBILE_KEY).textValue();
                String smsCode = jsonBody.get(SMS_CODE_KEY).textValue();
                // 调用 AuthenticationManager 进行认证, 
                // 所以需要注入 AuthenticationManager 对象 通过父类的setAuthenticationManager 进行注入
                return this.getAuthenticationManager().authenticate(new SmsAuthenticationToken( mobile, smsCode));
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
	// 此处调用其他逻辑 不如调用form表单登录即前后端不分离的逻辑(参考UsernamePasswordAuthenticaitonFilter),此处做简化
        return null;
    }
}

4. 在 SpringSecurity 配置文件中进行配置

此处一定要注意将系统的AuthenticationManager以Bean的方式进行暴露,这样会很方便我们进行认证。同时我们可以在任何地方进行注入,而不是局限于于在filter中进行验证。不如我们完全可以在controller中调用AuthenticationManager的认证方法进行认证。
在这里插入图片描述

package com.example.security_demo.config;

import com.example.security_demo.sms.SmsAuthenticationFilter;
import com.example.security_demo.sms.SmsAuthenticationProvider;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * spring security configuration
 *  如何禁用
 * 需要理解 spring security 配置文件理解
 *  默认的配置是什么
 * @author zzh
 * @date 2022/4/15
 * @since 1.0
 */
@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
    

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/sms/login").permitAll().anyRequest().authenticated()
                .and().csrf().disable();

        // 配置 过滤器
        http.addFilterBefore(smsAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        // 配置 AuthenticationProvider, 将自定义AuthenticationProvider注入到系统AuthenticationManager中
        http.authenticationProvider(new SmsAuthenticationProvider());


    }

    /**
     *  暴露  spring security中的 AuthenticationManager 对象,使得的用户可以在需要时进行对象注入
     *  例如:
     *  
     * 通过这种方法进行注入,然后调用
     *      @autowired
     *      AuthenticationManager authenticationManager;
     *      
     * @return AuthenticationManager
     * @throws Exception 异常
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 配置 filer, 此处要注意: 一定要注入AuthenticationManager
     * @return
     * @throws Exception
     */
    @Bean
    public SmsAuthenticationFilter smsAuthenticationFilter() throws Exception {
        SmsAuthenticationFilter smsAuthenticationFilter = new SmsAuthenticationFilter();
        smsAuthenticationFilter.setAuthenticationManager(authenticationManagerBean());
        return smsAuthenticationFilter;
    }


    @Bean
    public AuthenticationFailureHandler authenticationFailureHandler() {
        return (request, response, exception) -> {

            response.setContentType("application/json;utf-8");
            response.getWriter().write("Exception Handler");
        };
    }
}
努力变得更加专业
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security自定义登录增加为短信验证码校验实战
qq_32918041的博客
07-29 506
辛苦搞了2周终于搞出来了!遇到各种问题百度各中资料,各种尝试终于不辜负啊。 主要功能:用户输入用户名、密码、短信验证码,后台校验用户名、密码和手机验证码后登录成功。 技术栈:使用spring security框架搭建饼继承 (我没有使用xml配置模式看别人有用xml文件配置的,应该是异曲同工吧) 不多废话,正文附源码,疑问可评论。 1.继承WebSecurityConfigureAdapter的类:WebApplicationSecurityConfig 网上这个类的说明一抓一大把我也就是照猫画虎的本事,
超简单实现,oauth2 增加短信登录,spring security oauth2增加短信认证sms
test1372965955的博客
03-02 1185
重写认证逻辑,通过TokenRequest 拿到手机号等参数->先校验手机号 验证码 手机号关联的用户 是否都正确 ->创建用户对象(用户信息及权限)-> 将用户信息和客户端请求信息作为参数创建 OAuth2Authentication 授权信息返回。2配置文件添加自己的授权类型 tokenGranter(endpoints) 这个方法是将sms自定义认证方式添加。请求头记得添加basic 这个就是客户端id和密码 base64加密的。3. tokenGranter(endpoints) 实现!
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7642
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
spring security 短信验证码登录
llllllStan
08-01 2673
spring security短信验证码登录
SpringSecurity整合短信验证码认证
Spring MVC入门程序
04-30 674
SMS认证 1. Sms认证原理 1.用户前端发起请求,获取短信验证码。后端通过SmsController返回结果,并将验证码保存在session中(如果是无状态就保存在缓存中,设置过期时间)。 2.用户用手机号和验证码发起登录请求,通过SmsVaildataFilter过滤器进行校验,如果失败返回失败结果,校验成功后继续往下一个过滤器走。 filterChain.doFilter(reques...
spring security 实现动态权限和短信验证码登录
最新发布
07-23
Spring Security中,这可以通过实现`UserDetailsService`接口来完成,该接口允许自定义用户信息的加载方式。此外,我们可以使用`AccessDecisionManager`和`AccessDecisionVoter`来决定是否允许访问某个资源,这些...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
spring security3.1 实现验证码自定义登录
03-29
Spring Security 3.1 实现验证码自定义登录详解》 在现代Web应用程序的安全管理中,Spring Security是一个不可或缺的框架,它提供了强大的访问控制和身份验证功能。在本文中,我们将深入探讨如何在Spring ...
spring security4 添加验证码的示例代码
08-28
Spring Security 4中,如果你需要添加验证码功能来增强用户登录的安全性,可以通过自定义组件来实现。以下是一个具体的步骤介绍: 1. **自定义入口点(EntryPoint)**: 通常,当用户尝试访问受保护的资源但未...
Spring Security 图片验证码功能的实例代码
08-27
总的来说,集成Spring Security的图片验证码功能涉及到了过滤器链、自定义异常处理、会话管理以及验证码的生成与验证逻辑。这个过程既增加了应用的安全性,又提供了用户友好的验证体验。通过理解和实践这些步骤,...
springsecurity自定义短信验证码认证登录流程
爱音乐的程序猿的博客
10-12 2460
文章目录前言验证码存储我们采用redis作为缓存(注意,这里为了测试方便改为手动设置验证码)经过上面接口,验证码已经存入到redis中,下面开始认证流程自定义SmsCodeAuthenticationToken短信验证码认证token有了sms认证token后,我们还要自定义登录过滤器SmsCodeAuthenticationFilter,专门用来处理短信登录路径依然是参照security默认登录的过滤器UsernamePasswordAuthenticationFilter来实现自己的代码有了这两个后,我
Spring Security短信验证码登录
Yestar123456的博客
12-27 967
Spring Security添加图形验证码一节中,我们已经实现了基于Spring Boot + Spring Security的账号密码登录,并集成了图形验证码功能。时下另一种非常常见的网站登录方式为手机短信验证码登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机短信验证码登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码来实现一...
spring security 短信验证 + Jwt (完整版,有源码)
张楠的博客
09-07 2052
首先 我们需要了解spring security的基本工作流程当登录请求进来时,会在UsernamePasswordAuthenticationFilter 里构建一个没有权限的 Authentication ,然后把Authentication 交给 AuthenticationManager 进行身份验证管理而AuthenticationManager 本身不做验证 ,会交给 AuthenticationProvider 进行验证。
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
Candour_0的博客
01-13 541
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
springboot集成security(手机号+验证码)
zlhmeng的博客
04-04 848
springboot集成security,手机号验证码的方式
SpringSecurity(十四)---实现过滤器(下)整合短信认证
学习不止境的博客
11-01 754
学习完Spring Security中的过滤器后,我们就可以整合新的认证方式并且让Spring Security帮我们完成认证的整个过程,那么这一章我们将通过加入短信验证码认证的例子带大家巩固之前的学习。 当然由于本人并没有开通短信业务,所以这里通过生成4位随机数并配合redis完成相关业务,大家如果集成了想尝试完全可以平替,主要学习的是原理和流程。首先 我们需要了解spring security的基本工作流程 之后我们就可以模仿上面的密码登录流程完成短信验证认证方法,流程如下: 根据上图 我们要重写 S
spring security 使用示例
红衣女妖仙的博客
08-19 2006
用户名密码认证短信验证码认证、踢人下线、 AuthorizationFilter 授权、FilterSecurityInterceptor url / expression 授权、登出、分布式配置。 2、SecurityConfig   先添加一个 SecurityConfig 配置类,作为整个 spring security 的核心配置,后续的认证、授权等功能都将在整个配置类中完成。 3、用户名密码认证   用户名密码认证主要是自定义实现 UserDetails、UserDetailsService、A
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8168
Spring Security 学习之配置 HttpSecurity
Spring——Security安全框架针对请求追加限制
专注写bug
02-22 683
文章目录前言往期博客地址项目配置依赖、配置等增加访问路径配置项增加登录页面增加部分接口请求测试请求不需要验证的接口请求需要验证的接口git代码下载 前言 前两篇博客,分别对基于内存保存登录账户进行了验证,和采取数据库方式进行了配置和测试。 本篇博客主要说明: 如何配置部分接口需要认证后才能请求,某些接口不需要认证就能请求。 往期博客地址 Spring——Security安全框架使用详解(基于内存实习认证) Spring——Security安全框架基于数据库实现认证 项目配置 创建springboot-s
SpringSecurity自定义短信验证码登录怎么实现
05-24
要实现Spring Security自定义短信验证码登录,需要遵循以下步骤: 1. 配置短信验证码的过滤器 在Spring Security的配置类中,添加一个短信验证码过滤器,用于拦截短信验证码登录请求,并校验验证码是否正确。可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值