【Spring Security OAuth2】- App认证框架- 重构短信登录

于 2024-10-10 07:53:42 发布
阅读量109 收藏 6
点赞数 3
分类专栏: Spring Security OAuth2专题 文章标签: spring OAuth2 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/142805656
版权

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实!

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析


阶段4、深入jdk其余源码解析


阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦!炸雷啦!黄光头他终于跑路啦!】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作?】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了!】

码哥讲源码【谁再说Spring不支持多线程事务,你给我抽他!】

终结B站没人能讲清楚红黑树的历史,不服等你来踢馆!

打脸系列【020-3小时讲解MESI协议和volatile之间的关系,那些将x86下的验证结果当作最终结果的水货们请闭嘴】

重构短信登录

202306181907476321.png

现有问题如上图:

  1. 浏览器中使用session存储验证码
  2. app中午cookie概念(无session)

解决方案:

  1. app发送和验证 验证码必须携带一个deviceId (设备id)
  2. 浏览器按之前的逻辑走

也就是说,这里只是验证码的存储发生了变化,那么抽出来一个存储接口,浏览器和app做不同的适配即可

    package cn.mrcode.imooc.springsecurity.securitycore.validate.code;
    
    import org.springframework.web.context.request.ServletWebRequest;
    
    /**
     * <pre>
     * 验证码存储仓库接口
     * </pre>
     * @author zhuqiang
     * @version 1.0.0
     * @date 2023/8/8 13:58
     * @since 1.0.0
     */
    public interface ValidateCodeRepository {
        /**
         * 保存验证码
         * @param request
         * @param code
         * @param validateCodeType
         */
        void save(ServletWebRequest request, ValidateCode code, ValidateCodeType validateCodeType);
    
        /**
         * 获取验证码
         * @param request
         * @param validateCodeType
         * @return
         */
        ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType);
    
        /**
         * 移除验证码
         * @param request
         * @param validateCodeType
         */
        void remove(ServletWebRequest request, ValidateCodeType validateCodeType);
    }

浏览器实现;(因为开始只有session的实现,重构线把session的抽取出来);
把session相关操作全部抽到这里了

    package cn.mrcode.imooc.springsecurity.securitybrowser.validate.code.impl;
    
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCode;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCodeRepository;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCodeType;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.impl.AbstractValidateCodeProcessor;
    import org.springframework.social.connect.web.HttpSessionSessionStrategy;
    import org.springframework.social.connect.web.SessionStrategy;
    import org.springframework.stereotype.Component;
    import org.springframework.web.context.request.ServletWebRequest;
    
    /**
     * ${desc}
     * @author zhuqiang
     * @version 1.0.1 2023/8/8 14:06
     * @date 2023/8/8 14:06
     * @since 1.0
     */
    @Component
    public class SessionValidateCodeRepository implements ValidateCodeRepository {
        /** 操作session的工具类 */
        private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
        /** 验证码放入session的时候前缀 */
        public final static String SESSION_KEY_PREFIX = "SESSION_KEY_FOR_CODE";
    
        @Override
        public void save(ServletWebRequest request, ValidateCode code, ValidateCodeType validateCodeType) {
            sessionStrategy.setAttribute(request, getSessionKey(validateCodeType), code);
        }
    
        @Override
        public ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType) {
            String sessionKey = getSessionKey(validateCodeType);
            // 拿到创建 create() 存储到session的code验证码对象
            return (ValidateCode) sessionStrategy.getAttribute(request, sessionKey);
        }
    
        @Override
        public void remove(ServletWebRequest request, ValidateCodeType validateCodeType) {
            sessionStrategy.removeAttribute(request, getSessionKey(validateCodeType));
        }
    
        /**
         * 构建验证码放入session时的key; 在保存的时候也使用该key
         * {@link AbstractValidateCodeProcessor#save(org.springframework.web.context.request.ServletWebRequest, cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCode)}
         * @param validateCodeType
         * @return
         */
        private String getSessionKey(ValidateCodeType validateCodeType) {
            return SESSION_KEY_PREFIX + validateCodeType.toString().toUpperCase();
        }
    }

app实现

    package cn.mrcode.imooc.springsecurity.securityapp.validate.code.impl;
    
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCode;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCodeException;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCodeRepository;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.ValidateCodeType;
    import cn.mrcode.imooc.springsecurity.securitycore.validate.code.impl.AbstractValidateCodeProcessor;
    import org.apache.commons.lang3.StringUtils;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.boot.autoconfigure.data.redis.RedisAutoConfiguration;
    import org.springframework.data.redis.core.RedisTemplate;
    import org.springframework.stereotype.Component;
    import org.springframework.web.context.request.ServletWebRequest;
    
    import java.util.concurrent.TimeUnit;
    
    /**
     * ${desc}
     * @author zhuqiang
     * @version 1.0.1 2023/8/8 14:06
     * @date 2023/8/8 14:06
     * @since 1.0
     */
    @Component
    public class RedisValidateCodeRepository implements ValidateCodeRepository {
        /**
         * @see RedisAutoConfiguration#redisTemplate(org.springframework.data.redis.connection.RedisConnectionFactory)
         */
        @Autowired
        private RedisTemplate<Object, Object> redisTemplate;
        /** 验证码放入redis规则模式:CODE_{TYPE}_{DEVICEId} */
        private final static String CODE_KEY_PATTERN = "CODE_%s_%s";
    
        @Override
        public void save(ServletWebRequest request, ValidateCode code, ValidateCodeType validateCodeType) {
            redisTemplate.opsForValue().set(buildKey(request, validateCodeType), code, 180, TimeUnit.MINUTES);
        }
    
        @Override
        public ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType) {
            String key = buildKey(request, validateCodeType);
            // 拿到创建 create() 存储到session的code验证码对象
            return (ValidateCode) redisTemplate.opsForValue().get(key);
        }
    
        @Override
        public void remove(ServletWebRequest request, ValidateCodeType validateCodeType) {
            String key = buildKey(request, validateCodeType);
            redisTemplate.delete(key);
        }
    
        /**
         * 构建验证码放入redis时的key; 在保存的时候也使用该key
         * {@link AbstractValidateCodeProcessor#save(ServletWebRequest, ValidateCode)}
         * @param validateCodeType
         * @return
         */
        private String buildKey(ServletWebRequest request, ValidateCodeType validateCodeType) {
            String deviceId = request.getHeader("deviceId");
            if (StringUtils.isBlank(deviceId)) {
                throw new ValidateCodeException("请在请求头中携带deviceId参数");
            }
            return String.format(CODE_KEY_PATTERN, validateCodeType, deviceId);
        }
    }

测试

打开之前屏蔽掉的图形验证码过滤器配置
发送验证码的是不用登陆的

    GET /code/sms?mobile=13012345678 HTTP/1.1
    Host: localhost:8080
    deviceId: 1

登陆,记得携带client信息

    POST /authentication/mobile HTTP/1.1
    Host: localhost:8080
    Authorization: Basic bXlpZDpteWlk
    deviceId: 1
    Content-Type: application/x-www-form-urlencoded
    
    smsCode=270058&mobile=13012345678

因为图形验证码和短信验证码存储只有存储这一块变更了。所以只要短信验证码的可以使用,图形验证码的也应该可以使用

smart哥
关注
专栏目录
Spring Security OAuth2】- App认证框架- 重构用户名密码登录
smart_an的专栏
10-10 198
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security OAuth2笔记系列】- App认证框架- 重构短信登录
代码有毒的博客
08-24 955
重构短信登录 现有问题如上图: 1. 浏览器中使用session存储验证码 2. app中午cookie概念(无session) 解决方案: 1. app发送和验证 验证码必须携带一个deviceId (设备id) 2. 浏览器按之前的逻辑走 也就是说,这里只是验证码的存储发生了变化,那么抽出来一个存储接口,浏览器和app做不同的适配即可 package cn...
Spring-Security(二)OAuth2认证详解(持续更新)
lbmydream的博客
06-06 1727
深入了解Spring Oauth2.0 认证流程及自定义扩展
Spring Security OAuth2笔记系列】- App认证框架- 重构社交登录
代码有毒的博客
08-24 2735
重构社交登录 app里面的第三方登录不向浏览器中一样,一般是通过调用sdk,引导到第三方app应用登录后返回; 浏览器模式 可能以下两种模式; 简化模式 上图来看,拿到openId之后,只要我们支持使用openid登录,即可; 可以大部分模仿短信验证码登录的代码,只有一点不同,提交的openid是属于social表中的数据, 所以相关的用户信息SocialUserDetail...
SPRING SECURITY构建REST服务-1200-SPRINGSECURITY OAUTH开发APP认证框架
alfsan的专栏
04-05 254
基于服务器Session的认证方式:前边说的用户名密码登录短信登录、第三方登录,都是普通的登录,是基于服务器Session保存用户信息的登录方式。登录信息都是存在服务器的session(服务器的一块内存)里 ,用户通过浏览器访问服务的时候,每一次服务器都会检查浏览器的cookie里有没有JESSIONID,如果不存在JESSIONID服务器会新建一个session,将新建的session的id写...
Spring Security OAuth开发APP认证框架】--- APP认证框架下社交登陆过程中注册逻辑处理
nrsc
10-23 816
文章目录1 原理2 代码实现 项目源码地址https://github.com/nieandsun/security 1 原理 上两篇文章讲解了开发APP认证框架时社交登陆的重构,但是这种重构其实是在一个前提下的,即用户已经在我们的系统里存在本系统账号与其社交账号的绑定关系。 但当这种关系不存在时,会发生什么呢? 回想一下之前写的一篇文章《springsocial/oauth2—第三方登陆之QQ...
Spring Security OAuth2】- spring security - 个性化用户认证流程1
最新发布
smart_an的专栏
10-10 369
标准登录页面
Spring Security OAuth2笔记系列】- App认证框架- 重构用户名密码登录
代码有毒的博客
08-24 2006
重构用户名密码登录 让自己的逻辑获取token的话,oath前面的逻辑都不能使用。使用我们自己的逻辑来代替。 也就是相当于只使用后面的功能;把自定义认证模式添加进来 在AuthenticationSuccessHandle中存在authentication对象, 所以只要获取到 ClientDetails和TokenRequest即可; 有时间了查看源码找这些吧 思路 提交登...
spring-security-oauth2(二十一) 重构社交登录
codeing-tiger
04-23 810
重构社交登录 app里面的第三方登录不像浏览器中一样,一般是通过调用sdk(服务提供商),一般有2中模式。 浏览器社交登录流程 简化模式 从流程图分析,我们要提供一个用openId登录后台,这个流程和短信登录很相似,只是openId是从我们的社交用户表(UserConnection)中获取。直接上代码 OpenIdAuthenticationToken package co...
Spring Security技术栈开发企业级认证与授权】-----------Spring Security OAuth开发APP认证框架
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
07-04 314
博客分享JWT,令牌配置,JWT实现SSO单点登录
springcloud集成springsecurity oauth2 实现服务统一认证,应该是很简单的教程了~
热门推荐
myth_g的博客
11-07 2万+
#重构项目,整理maven父子结构,改善认证及资源服务器配置,增加注释更清晰好理解~ #2019.11.4 新增自定义返回token数据; #2019.11.5新增自定义登陆及授权页面(没有前后端分离,其实这种小页面也没必要分离出去) 1.项目结构 服务名 端口号 备注 auth 8082 认证服务器 mechant 8081 ...
初识Spring Security OAuth2
weixin_38927257的博客
11-21 1231
文章目录SpringSecurityOAuth来开发认证服务器和资源服务器SpringSecurityOAuth其实已经帮我们默认实现了以下一些东西:项目准备1. 添加依赖2. 配置认证服务器登录并授权获取token3. 配置资源服务器带着token去访问资源spring security oauth2 登录核心源码TokenEndpointClientDetailsTokenRequestCom...
从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (上)
峡谷电光马仔的博客
01-18 2717
从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (上)
SpringBoot - OAuth2第三方登录之QQ登录
江南烟雨却痴缠丶
12-18 2319
之前写过一篇OAuth2 - 第三方登录之新浪登录,提到过QQ审核很复杂,我之前提交审核很多次,各种原因失败,这一次总算成功了,所以便来记录一下其中过程。 QQ登录需要做哪些准备? 1、服务器+备案过的域名。 2、一个能跑起来的服务,且登录页面正常,有QQ登录的跳转按钮。 可以通过ICP备案这个网站去查询你的备案信息。 红框标出来的,就是下面创建应用要使用的。 QQ互联 - 创建应用 进入到QQ互联官网,登录之后需要先进行一把开发者身份认证(需要手持身份证)。开发者身份审核通过之后,就可以去应用管理里创建
RabbitTemplate与AmqpTemplate:Spring AMQP中的消息传递模板
qq_51321722的博客
10-05 597
Spring AMQP框架的核心接口,它定义了一套标准的AMQP操作,如发送和接收消息、声明队列和交换机等。这个接口是对AMQP协议的抽象,提供了一种面向对象的方式来操作AMQP协议。它基于RabbitMQ的Java客户端库实现,使得开发者可以通过Spring框架的依赖注入和配置机制来简化与AMQP消息队列系统的交互。而则是Spring AMQP为RabbitMQ提供的一个高级消息操作模板。它实现了接口,并添加了一些针对RabbitMQ的特性和优化。不仅提供了与。
Spring Security】基于SpringBoot3.3.4版本②如何配置免鉴权Path
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-03 1290
[【Spring Security】基于SpringBoot3.3.4版本①整合JWT的使用教程](https://blog.csdn.net/friendlytkyj/article/details/142679120) 在这篇文章中,详细演示了使用最新版`Spring Boot`,完成一个微服务开发,并使用`Spring Security`组件完成登录认证,同时整合了`JWT`,使用的`RSA`公私钥签名、验签。 接下来继续讲解下一个业务场景:一个真实场景的微服务,难免会有一些请求`Path`不需要任
springboot实战学习(12)(优化更新用户基本信息接口)(Validation实体参数校验)
岁岁岁平安的博客
10-09 655
本篇博客主要是对用户模块的更新用户基本信息接口的代码的一个小优化(实体参数校验)。其中用到了Spring Validation参数校验框架提供的一些注解(如@NotNull、@NotEmpty、@Email、@Validated)去完成实体类对象的参数校验以及完成了功能的测试...
springboot 整合 rabbitMQ(2)
WYH1233211234567的博客
10-09 780
解决重复消费问题,实现订阅者模式
spring-security-oauth2-authorization-server 框架
06-10
Spring Security OAuth2 Authorization Server 是 Spring Security 提供的一款 OAuth2 授权服务器框架,它可以帮助开发者快速构建出符合 OAuth2 协议标准的授权服务器。在授权服务器中,开发者可以定义客户端、授权范围、授权码模式、令牌刷新等信息,同时可以对用户进行身份认证和授权操作,从而保障资源服务器的安全访问。此外,Spring Security OAuth2 Authorization Server 还提供了方便的 API,使得开发者可以轻松地将其集成到现有的应用程序中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值