SpringSecurity +Jwt 使用手机号码 + 验证码登录

已于 2022-07-25 21:36:18 修改
阅读量3.4k 收藏 24
点赞数 2
分类专栏: SpringSecurity 文章标签: java spring boot mybatis
于 2022-07-25 21:33:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45524787/article/details/125982482
版权

一、pom.xml文件(关键依赖)

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

二、application.yml

spring
  security:
  user:
    password: 1234
    name: user

三、SpringSecurity.config配置文件

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  // 开启注解权限管理
public class SecurityConfig {

    // 自定义jwt解析,将登录者的权限设置到SecurityContextHolder中,其他地方进行设置权限验证
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    // 认证
    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;
    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    // 这里改变一下密码编码和比对的密码方式
    // 默认方式为将密码编码后,我们需要在密码加{noop}进行比对
    // String encode_pwd = passwordEncoder.encode("123456"); 这样便可以得到加密后的密码
    // 这里我们将它注入容器即可,默认使用当前版本+长度+随机数产生随机盐生成密码,官方推荐使用
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // 返回AuthenticationManager对象,在认证的时候需要使用到此对象进行认证
    @Autowired
    private AuthenticationConfiguration authenticationConfiguration;
    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        AuthenticationManager authenticationManager = authenticationConfiguration.getAuthenticationManager();
        return authenticationManager;
    }
    // 定义SpringSecurity不需要拦截的url
    private static final String[] URL_WHITELISTS = {
            "/common/**",
            "/user/login",
            "/user/sendMsg",
            "/doc.html",
            "/webjars/**",
            "/swagger-resources",
            "/v2/api-docs"
    };

    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        // 将跨站请求伪造防护关闭,我们使用jwt保证安全
        return http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and() // 下面三个有顺序要求
                // 拦截所有请求
                .authorizeRequests()
                // 放行一些请求,不需要认证
                .antMatchers(URL_WHITELISTS).permitAll()
                // 所有请求需要认证
                .anyRequest().authenticated()
                .and()
                // 配置自定义jwt解析过滤器,在UsernamePasswordAuthenticationFilter之前执行
                .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                // 配置异常
                .exceptionHandling()
                // 认证异常,可以自定义返回消息(可以不配)
                .authenticationEntryPoint(authenticationEntryPoint)
//                // 授权异常,可以自定义返回消息(可以不配)
                .accessDeniedHandler(accessDeniedHandler)
                .and()
                // 开启跨域访问
                .cors()
                .and()
                .build();
    }

}

四、LoginController  (登录控制)

1、发送短信接口(以手机号为key,验证码为value存入Redis,5分钟过期)

    @PostMapping("/sendMsg")
    public R sendMsg(@RequestBody User user){
        String phone = user.getPhone();
        if(StringUtils.isNotEmpty(phone)){
            String code = ValidateCodeUtils.generateValidateCode(4).toString();
//            调用阿里云的api接口发送验证码(这里没有开通服务,先模拟)

            // 优化,使用Redis缓存验证码,5分钟失效
            redisCache.setCacheObject(phone,code,5,TimeUnit.MINUTES);
            log.info("验证码--->({} --- {})",phone,code);
            return R.success("验证码发送成功,请注意查收");
        }
        return R.error("验证码发送失败");
    }

2、手机号登录(ReidsCache为工具类,自定义SmsAbstractAuthenticationToken与LoginUser,后面看)

    @PostMapping("/login")
    public R login(@RequestBody Map map, HttpServletRequest request) {
        log.info("用户登录--->(map={})",map.toString());
        // 优化:从Redis中获取验证码
        Object code = redisCache.getCacheObject((String) map.get("phone"));
        if(Objects.isNull(code) || !code.equals(map.get("code"))){
            // 在session中查询不到数据,与前端传递的phone不一致
            return R.error("验证码错误");
        }
        // 判断用户是否在数据库存在,不存在则添加
        User userInDB = userService.getOne(new LambdaQueryWrapper<User>().eq(User::getPhone, map.get("phone")));
        if(Objects.isNull(userInDB)){
            userInDB = new User();
            userInDB.setPhone((String) map.get("phone"));
            userInDB.setType(0);
            userInDB.setStatus(1);
            userInDB.setCreateTime(LocalDateTime.now());
            userInDB.setUpdateTime(LocalDateTime.now());
            userService.save(userInDB);
        }
        // 这里权限信息可以去数据库中查询
        LoginUser user = new LoginUser(userInDB, Arrays.asList("ROLE_SMS"));
        // 优化:登录成功,将Redis中验证码删掉
        redisCache.deleteObject(userInDB.getPhone());
        Long userId = userInDB.getId();
        redisCache.setCacheObject("login:"+userId,user,3, TimeUnit.DAYS);
        // 5、返回给客户端JwtToken
        String jwt_token = JwtUtil.createJWT(userId.toString());
        map.put("token",jwt_token);
        map.put("userPhone",userInDB.getPhone());
        return R.success(map);
    }

a、前端点击 获取验证码 ,后端将从 一些api接口发送验证码 接收到,以 手机号 为 key验证码为 value,存入Redis,过期时间 5分钟,这里展示前端 

b、用户填写手机号与接收到的 验证码,发送登录请求

c、后端接收登录请求,从Redis中以前端传递的 手机号 为键进行取值、比对 验证码,取值为空抛异常,取出验证码与前端传递验证码进行比对,验证码比对失败抛异常

d、两者比对成功,判断用户是否在数据库存在,不存在则添加

e、将用户信息和权限信息封装成UserDetails对象(这里使用LoginUser实现了UserDetails), 为什么要自定义UserDetails实现类,RedisCache与JwtUtil工具类等等隔壁获取:

SpringSecurity +Jwt 使用用户名密码登录_独繁华的博客-CSDN博客

f、从Redis当中删除验证码,userId 为key,loginUser(将具有权限信息,用户信息)为value存入Redis

g、生成jwt,将token与用户信息返回给前端

h、前端接收token,设置到请求头,每一次携带token去请求资源

service.interceptors.request.use((config) => {
    // 判断是否存在token,如果存在的话,则每个http header中都加上token
    if (window.localStorage.getItem('token')) {  
        config.headers.token = localStorage.getItem('token');
    }
}

i、后端拦截验证token,使用过滤器拦截每一次请求解析token,从Redis中以userId获取用户信息,用户权限,设置到SecurityContext中。

// 自定义认证信息过滤,解析请求中的token信息,放在UsernamePasswordAuthenticationFilter前面,继承只执行一次的filter
@Component
@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 从请求头中获取token信息
        String token = request.getHeader("token");
        log.info("token:{}", token);
        log.info("当前线程名称:{}", Thread.currentThread().getName());
        // 判断token是否为空
        if (!StringUtils.hasText(token)) {
            log.info("token为空");
            // 为空放行
            filterChain.doFilter(request, response);
            // 停止向下执行
            return;
        }
        String id;
        try {
            // 解析token
            Claims claims = JwtUtil.parseJWT(token);
            id = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }
        // 根据键从Redis中获取用户信息
        String redisKey = "login:" + id;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if (Objects.isNull(loginUser)) {
            throw new RuntimeException("登录失败");
        }
        // 获取ip等信息
        WebAuthenticationDetails credentials = new WebAuthenticationDetails(request);
        // 短信登录权限
        SmsAbstractAuthenticationToken smsAbstractAuthenticationToken = new SmsAbstractAuthenticationToken(loginUser.getUser().getPhone(), loginUser, null, credentials, loginUser.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(smsAbstractAuthenticationToken);
        }
        // 放行
        filterChain.doFilter(request, response);
    }
}

j、自定义SmsAbstractAuthenticationToken类继AbstractAuthenticationToken,封装用户信息(自定义UserDetails实现类LoginUser),用户权限,用户ip等信息,设置到SecurityContext中,用户名和密码登录时使用UsernamePasswordAuthenticationToken,封装权限信息,这里贴官方UsernamePasswordAuthenticationToken实现过程,用户名和密码具体认证过程请看:SpringSecurity +Jwt 使用用户名密码登录_独繁华的博客-CSDN博客

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
    // UserDetailsService.loadUserByUsername中查询用户信息与权限信息就封装到这个对象中(UserDetails)
	private final Object principal;
    
	private Object credentials;

	public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
		super(null);
		this.principal = principal;
		this.credentials = credentials;
		setAuthenticated(false);
	}

	public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
			Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		this.credentials = credentials;
		super.setAuthenticated(true); 
	}

	@Override
	public Object getCredentials() {
		return this.credentials;
	}

	@Override
	public Object getPrincipal() {
		return this.principal;
	}

	@Override
	public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
		Assert.isTrue(!isAuthenticated,
				"Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
		super.setAuthenticated(false);
	}

	@Override
	public void eraseCredentials() {
		super.eraseCredentials();
		this.credentials = null;
	}

}

SmsAbstractAuthenticationToken实现

public class SmsAbstractAuthenticationToken extends AbstractAuthenticationToken {

    // 这里返回自定义LoginUser实现UserDetails对象,存入用户信息与权限信息
    private final UserDetails principal;

    private final Object credentials;

    private final WebAuthenticationDetails details;

    private final String phone;

    public SmsAbstractAuthenticationToken(String phone, UserDetails principal, Object credentials,
                                          WebAuthenticationDetails details,
                                          Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        this.details = details;
        this.phone = phone;

        // 必须设置
        setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return credentials;
    }

    @Override
    public WebAuthenticationDetails getDetails() {
        return details;
    }

    @Override
    public UserDetails getPrincipal() {
        return principal;
    }

    public String getPhone() {
        return phone;
    }

    @Override
    public String getName() {
        return super.getName();
    }
}

3、授权

  这个接口便需要ROLE_root权限才能访问。

独繁华
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring boot整合spring security(二)--手机验证码登陆
意田天的博客
11-11 2万+
手机验证码登陆概述搭建基础架构认证流程定义token定义过滤器filter接下来是自定义手机验证码登陆鉴证器provider修改UserDetailService的实现类为生成验证码接口登陆接口测试未登录状态用户名 密码登陆手机验证码登陆 概述 spring security默认使用的是用户名密码的登陆,如果想要增加一种登陆方式, 就要仿照源码中用户名密码登陆的方式, 手写一套手机验证码登陆校验, 话不多说, 开干! 搭建基础架构 搭建项目基础架构工作, 在(一)中已经完成, 这里直接在其基础上
Springsecurity实现短信验证码的登录
weixin_42030357的博客
08-26 1077
@Component public class SmsCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> { @Autowired private AuthenticationSuccessHandler myAu...
spring boot jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-04 642
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
基于Spring Boot Security 2.5.8,扩展了核心功能,支持用户名,手机号,邮箱登录,以及记住密码,JWT等功能。有完整的数据库脚本及功能演示。
springsecurity整合短信登录
jockha的博客
12-22 1324
逻辑图: 逻辑: 原有用户密码的逻辑: 1.先进入 UsernamePasswordAuthenticationFilter 中,根据输入的用户名和密码信息,构造出一个暂时没有鉴权的 UsernamePasswordAuthenticationToken,并将 UsernamePasswordAuthenticationToken 交给 AuthenticationManager 处理。 2.AuthenticationManager 本身并不做验证处理,他通过 for-each 遍历找到符合当前登录方式
SpringSecurity 手机登录
weixin_42679286的博客
12-14 1011
1.前端先做非机器人验证。2.生成随机码,与手机号存入缓存或数据库。3.掉第三方接口发送到用户手机。4.用户拿验证码去登录接口校验验证码。5.在过滤器里校验安全性。
SpringSecurity(四):自定义登陆认证实现手机号登陆
MJ丶的博客
10-28 9187
SpringSecurity默认提供了两种登陆,一种basic登陆一种表单登陆(分别在一三章有讲到),但是如果我们要实现其他方式的登陆(例如邮箱登陆,手机号登陆)又该怎么做呢? 第二章中讲到了Security的登录原来,以及最后给出的流程图,结合它们这章来实现自定义登陆认证  1.MobileAuthenticationToken /** * 手机登录认证token * * 仿Us
Spring Security05--手机验证登录
fengxianaa的博客
05-11 4428
上一篇:https://blog.csdn.net/fengxianaa/article/details/124717243 1. 手机验证登录 账号密码是最常见的登录方式,但是现在的登录多种多样:手机验证码、二维码、第三方授权等等 下面模仿账号密码登录,新增一下手机验证登录 1. 获取手机验证码 修改 SecController 增加: @GetMapping("/phone/code") public String phoneCode(HttpSession session) th
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
用户登录后,Spring Security会生成一个JWT令牌,用于后续请求的身份验证。 3. **JWT**: JWT是一种轻量级的身份认证和授权机制,通常用于无状态API。它包含用户信息,如用户名,角色等,并通过签名确保令牌的安全...
spring security 实现动态权限和短信验证登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
Spring Security OAuth2集成短信验证登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot使用JWT实现单点登录.zip
09-16
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和...
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码的登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
springboot+security.zip
06-05
在本文中,我们将深入探讨如何使用Spring Boot与Spring Security整合,并结合JWT(JSON Web Tokens)实现单点登录功能。此外,我们还将讨论如何利用Redis来存储和验证这些令牌,以及如何实现短信登录这一额外的安全...
3. SpringSecurity 自定义手机登录
Earth_Programer的博客
04-08 2668
距离上一次更新,不知不觉已经过去了半个月了,人真的是不能放松,一放松就肆意妄为了。希望这个月内可以把 SpringSecurity 系列更新完毕吧,加油!。 OK,言归正传上一章我们利用 SpringSecurity 提供的一些可选配置,实现了自定义表单登录。但是在我们的日常需求中,仅仅是表单登录时满足不了的。所以这一章,我给大家带来 SpringSecurity 下自定义登录方式的示例。 首先我...
SpringSecurity自定义实现手机短信登录
roydon
05-10 2159
其实实现原理上跟账号密码登录一样的定义一个仅使用手机验证权限的鉴权Token,SpringSecurity原生的是使用username和password,如下图/*** 短信登录令牌/*** SmsCodeAuthenticationFilter中构建的未认证的Authentication} /*** SmsCodeAuthenticationProvider中构建已认证的Authentication} }
Spring Security 6.x 系列【15】认证篇之实现短信验证登录功能
记录知识、锤炼自我
04-07 8553
我们也了解过**用户名密码**表单登录流程,我们可以完全按照表单登录流程,自定义**短信验证登录**的**过滤器、认证提供者**等,即可实现该功能。
使用Spring Boot Security 实现多认证 手机登录 微信扫码登录 微信扫码注册
Likefr
03-09 2293
利用Spring Security 实现基于手机号密码的登录功能,并结合微信扫码实现用户注册的功能。通过我这种方案,用户可以选择使用手机号密码登录,或者通过微信扫码进行注册。我们将详细介绍了如何获取微信授权二维码、微信授权回调、注册接口以及自定义认证提供者等方面的实现细节。您将了解到如何使用Spring Security构建安全可靠的身份认证系统,并且为用户提供多样的登录与注册选择
springsecurity +jwt 使用手机号码 + 验证登录
03-11
可以使用springsecurityjwt实现手机号码验证登录。首先,用户输入手机号码验证码,然后将其发送到后端进行验证。如果验证通过,后端将生成一个jwt令牌并将其返回给前端。前端将在后续请求中使用该令牌进行身份验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值