SpringSecurity实现短信验证码登录验证

最新推荐文章于 2024-04-26 14:25:00 发布
最新推荐文章于 2024-04-26 14:25:00 发布
阅读量2.6k 收藏 17
点赞数 2
分类专栏: SpringSecurity 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taojin12/article/details/104330566
版权

文章目录


在这里插入图片描述
SpringSecurity进行用户登录认证时,通过UsernamePasswordAuthenticationFilter获取用户信息,获取一个UsernamePasswordAuthenticationToken,将该token设置给AuthenticationManager进行管理,选择不同的Provider进行认证处理,在Provider中通过UserDetaitlsService获取用户信息进行认证,生成新的认证信息。

在短信验证时,我们只要按照登录验证的步骤进行重新写一个自己的过滤器、token类、provider即可。

1、自己实现一个SmsAuthenticationToken类

/**
 *  短信验证码token
 *
 *  仿照UsernamePasswordAuthenticationToken
 */
public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {
    private static final long serialVersionUID = 520L;
    /**
     *  该属性没登录前放手机号,登录后的放用户信息
     */
    private final Object principal;


    public SmsCodeAuthenticationToken(String mobile) {
        super((Collection)null);
        this.principal = mobile;
        this.setAuthenticated(false);
    }

    public SmsCodeAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        } else {
            super.setAuthenticated(false);
        }
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }
}

2、自己实现一个SmsCodeAuthenticationFilter,验证用户

/**
 *  仿照UsernamePasswordAuthenticationFilter
 */
public class SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    public static final String IMOOC_FROM_MOBILE_KEY = "mobile";
    private String mobileParameter = "username";
    private boolean postOnly = true;

    public SmsCodeAuthenticationFilter() {
        super(new AntPathRequestMatcher("/authentication/mobile", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String mobile = this.obtainMobile(request);
            if (mobile == null) {
                mobile = "";
            }



            mobile = mobile.trim();
            // 生成token
            SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(mobile);
            this.setDetails(request, authRequest);
            // 调用 AuthenticationManager
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

    /**
     *  获取手机号
     * @param request
     * @return
     */
    @Nullable
    protected String obtainMobile(HttpServletRequest request) {
        return request.getParameter(this.mobileParameter);
    }

    protected void setDetails(HttpServletRequest request, SmsCodeAuthenticationToken authRequest) {
        authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
    }

    public void setUsernameParameter(String mobileParameter) {
        Assert.hasText(mobileParameter, "Username parameter must not be empty or null");
        this.mobileParameter = mobileParameter;
    }



    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getMobileParameter() {
        return this.mobileParameter;
    }

}

3、自己实现一个SmsCodeAuthenticationProvider

public class SmsCodeAuthenticationProvider implements AuthenticationProvider {

    private UserDetailsService userDetailsService;
    /**
     *   进行身份认证的逻辑
     * @param authentication
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken)authentication;
        UserDetails user = userDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal());
        if (user == null) {
            throw new InternalAuthenticationServiceException("无法获取用户信息");
        }
        SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(user, user.getAuthorities());
        authenticationResult.setDetails(authenticationToken.getDetails());
        return authenticationResult;
    }

    /**
     *  根据该方法判断 AuthenticationManager选择哪个 Provider进行认证处理
     * @param authentication
     * @return
     */
    @Override
    public boolean supports(Class<?> authentication) {
        return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

4、验证码验证过滤器

/**
 *  继承一个过滤器,实现验证码验证
 */
public class SmsCodeFilter extends OncePerRequestFilter implements InitializingBean {

    private AuthenticationFailureHandler authenticationFailureHandler;

    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    private Set<String> urls = new HashSet<>();

    private SecurityProperties securityProperties;

    private AntPathMatcher pathMatcher = new AntPathMatcher();

    /**
     *  初始化设置
     *   将配置文件中的值读取,存在urls中
     * @throws ServletException
     */
    @Override
    public void afterPropertiesSet() throws ServletException {
       super.afterPropertiesSet();
       String[] configUrls = StringUtils.split(securityProperties.getCode().getSms().getUrl(),",");
       // 添加配置的url
        for (String configUrl : configUrls) {
            urls.add(configUrl);
        }
        // 添加拦截的url
        urls.add("authentication/mobile");
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        /**
         *  如果是登录请求,并且是post请求就执行验证
         *
         */
        boolean action = false;
        for (String url : urls) {
            if (pathMatcher.match(url, request.getRequestURI())) {
                action = true;
            }
        }
        if (action) {
            try {
                validate(new ServletWebRequest(request));
            } catch (ValidateCodeException e) {
                authenticationFailureHandler.onAuthenticationFailure(request,response,e);
                return ;
            }
        }
//        if (StringUtils.equals("authentication/from", request.getRequestURI())
//            && StringUtils.equalsIgnoreCase(request.getMethod(),"post")){
//
//            try {
//                validate(new ServletWebRequest(request));
//            } catch (ValidateCodeException e) {
//                authenticationFailureHandler.onAuthenticationFailure(request,response,e);
//                return ;
//            }
//        }
        filterChain.doFilter(request, response);
    }

    private void validate(ServletWebRequest request) throws ServletRequestBindingException {
        // 读取session
        ValidateCode codeInSession = (ValidateCode) sessionStrategy.getAttribute(request,
                ValidateCodeController.SESSION_KEY);
       // 获取验证码的值
        String codeInRequest = ServletRequestUtils.getStringParameter(request.getRequest(),"smsCode");

        if (StringUtils.isEmpty(codeInRequest)) {
            throw new ValidateCodeException("验证码的值不能为空");
        }
        if (codeInSession == null) {
            throw  new ValidateCodeException("验证码不存在");
        }
        if (codeInSession.isExpried()) {
            sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY);
            throw  new ValidateCodeException("验证码已过期");
        }
        if (!StringUtils.equals(codeInSession.getCode(),codeInRequest)) {
            throw  new ValidateCodeException("验证码不匹配");
        }

        sessionStrategy.removeAttribute(request,ValidateCodeController.SESSION_KEY);
    }

    public AuthenticationFailureHandler getAuthenticationFailureHandler() {
        return authenticationFailureHandler;
    }

    public void setAuthenticationFailureHandler(AuthenticationFailureHandler authenticationFailureHandler) {
        this.authenticationFailureHandler = authenticationFailureHandler;
    }

    public SessionStrategy getSessionStrategy() {
        return sessionStrategy;
    }

    public void setSessionStrategy(SessionStrategy sessionStrategy) {
        this.sessionStrategy = sessionStrategy;
    }

    public Set<String> getUrls() {
        return urls;
    }

    public void setUrls(Set<String> urls) {
        this.urls = urls;
    }

    public SecurityProperties getSecurityProperties() {
        return securityProperties;
    }

    public void setSecurityProperties(SecurityProperties securityProperties) {
        this.securityProperties = securityProperties;
    }
}

5、将SmsCodeAuthenticationFitler和SmsCodeAuthenticationProvider进行配置

将短信验证码登录验证的filter和provider,进行单独配置。一般在项目中,短信验证码会是一个公共项目组件。

/**
 *  配置SmsCodeAuthenticationFilter
 *   和SmsCodeAuthenticationProvider
 */
@Component
public class SmsCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

    @Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;

    @Autowired
    private AuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void configure(HttpSecurity http) throws Exception {
       SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
       smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
       smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(authenticationSuccessHandler);
       smsCodeAuthenticationFilter.setAuthenticationFailureHandler(authenticationFailureHandler);

       SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
        smsCodeAuthenticationProvider.setUserDetailsService(userDetailsService);

        http.authenticationProvider(smsCodeAuthenticationProvider)
                .addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

6、验证码的验证进行配置

/**
 * 覆盖springboot对security的默认配置
 */
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SecurityProperties securityProperties;

    /**
     * 注入登录成功操作类
     */
    @Autowired
    private AuthenticationSuccessHandler imoocAutheticationSuccessHandler;
    /**
     * 注入登录失败的处理器
     */
    @Autowired
    private AuthenticationFailureHandler imoocAuthenticationFailuredHandler;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private UserDetailsService userDetailsService;
    /**
    *  将短信验证的单独配置引入进来,通过HttpSecurity 的apply()方法进行配置
    */
    @Autowired
    private SmsCodeAuthenticationSecurityConfig smsCodeAuthenticationSecurityConfig;

    /**
     * 用户密码加密类配置
     *
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 这里可以返回自己实现的加密类
        return new BCryptPasswordEncoder();
    }

    /**
     *  记住我的配置
     * @return
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository () {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        // 启动的时候创建表
//        tokenRepository.setCreateTableOnStartup(true);
        return tokenRepository;
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 验证码过滤器配置
        ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
        // 设置失败处理器
        validateCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailuredHandler);
        validateCodeFilter.setSecurityProperties(securityProperties);
        validateCodeFilter.afterPropertiesSet();

        // 短信验证码过滤器配置
        SmsCodeFilter smsCodeFilter = new SmsCodeFilter();
        // 设置失败处理器
        smsCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailuredHandler);
        smsCodeFilter.setSecurityProperties(securityProperties);
        smsCodeFilter.afterPropertiesSet();

        http.addFilterBefore(smsCodeFilter, UsernamePasswordAuthenticationFilter.class)
                .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
                .formLogin() // 表单登录  http.httpBasic() httpbasic登录
//                .loginPage("/imooc-signIn.html")  // 配置登录页面
                .loginPage("/authentication/require")
                .loginProcessingUrl("/authentication/from") // 配置登录请求
                .successHandler(imoocAutheticationSuccessHandler) // 登录成功处理器
                .failureHandler(imoocAuthenticationFailuredHandler)
                .and()
                .rememberMe()  // 配置记住我
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())
                 .userDetailsService(userDetailsService)
                .and()
                .authorizeRequests()  // 请求验证
//                .antMatchers("/imooc-signIn.html").permitAll()// 匹配不需要身份认证的路径
                .antMatchers("/authentication/require",
                        securityProperties.getBrowser().getLoginPage(),
                        "/code/*").permitAll()
                .anyRequest() // 任何请求
                .authenticated() // 都需要身份认证
                .and()
                .csrf().disable()
                .apply(smsCodeAuthenticationSecurityConfig); // 关闭伪造跨站请求防护功能
    }
}
taojin12
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot + Spring Security 学习笔记(五)实现验证码+登录功能
Candour_0的博客
01-13 541
SpringBoot + Spring Security 学习笔记(五)实现验证码+登录功能
SpringBoot + SpringSecurity 验证登录功能实现
08-27
SpringBoot + SpringSecurity 验证登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 验证登录功能实现的详细过程,该功能可以使用户通过手机验证登录系统,而不是传统的用户名密码登录...
Spring Security(学习笔记)--用户名密码登录验证码(模拟登录同时支持怎么弄?
最新发布
TONGZHOUGONGDU的博客
04-26 1950
账号密码与验证登录怎么同时支持?
Spring Security实现验证登录
波板糖的博客
05-12 1656
概述 手机验证登录是目前很常见的一种登录方式,本文阐述基于Spring Security快速实现手机验证登录。本文建立在你对Spring Security基本原理有所了解的基础上,有兴趣的同学戳这里是关于Spring Security基本原理的文章:https://www.jianshu.com/p/e22fdeedc9a3 本文实验环境: SpringBoot:2.2.0.RELEASE IDE:IntelliJ IDEA 2018.2.4 思路 创建手机验证码实体和相关工具(生成器,发送器)
Spring Security实现手机号和验证码认证
F_angT的博客
04-16 932
Spring Security 是一个很常用的安全框架,当然老外写的框架很多时候还是不会适应咱们的国情,比如现在的登录,手机号加验证码才是主流,毕竟密码太多,谁都会忘。而其默认的认证方式还是username 加 password的方式:`UsernamePasswordAuthenticationToken`。本文讲述了如何使用解决手机号和验证码的方式完成认证。
SpringSecurity验证登录
Curtisjia的博客
10-31 2995
验证登录 时下另一种非常常见的网站登录方式为手机验证登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机验证登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码来实现一套自己的认证逻辑。 验证码生成 我们先定义一个验证码对象SmsCode : public class SmsCode { private String code; private LocalDateTime expireTime;
spring security oauth2.0搭建用户认证服务(三) - 自定义手机验证登录
u013911102的博客
09-11 1966
项目场景: APP登录不仅仅是用户名和密码登录,同时还有手机验证登录、第三方登录等。这回就说说手机验证码以及APP用户名和密码登录吧。 技术详解: 用户名密码登录: 1.之前的用户名和密码登录,/oauth/token的grant_type默认是password,不过这里会把请求的用户名和密码暴露出去,因此我的想法是中间加密,然后解密之后再进行认证.因此我打算把之前的认证方式进行增强。 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handle.
Spring Security自定义验证登录
大后生大大大的博客
11-19 2099
验证登录
Spring Security 实现验证登录功能
08-19
主要介绍了Spring Security 实现验证登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security Oauth2.0 实现验证登录示例
08-28
Spring Security Oauth2.0 实现验证登录示例 本篇文章主要介绍了 Spring Security ...该示例展示了如何使用 Spring Security Oauth2.0 实现验证登录功能,提供了灵活的身份验证机制和强大的安全功能。
spring security 实现动态权限和验证登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和验证登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
Spring Security OAuth2集成验证登录以及第三方登录
08-27
实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
Spring Security:添加登录验证
​​
05-29 3354
登录添加验证码是一个非常常见的需求,网上也有非常成熟的解决方案。在传统的登录流程中加入一个登录验证码也不是难事,但是如何在 Spring Security 中添加登录验证码,对于初学者来说还是一件蛮有挑战的事情,因为默认情况下,在 Spring Security 中我们并不需要自己写登录认证逻辑,只需要自己稍微配置一下就可以了,所以如果要添加登录验证码,就涉及到如何在 Spring Security 即有的认证体系中,加入自己的验证逻辑。 准备验证码 要有验证码,首先得先准备好验证码,本文采用 Java 自
SpringSecurity 手机号登录
weixin_42679286的博客
12-14 998
1.前端先做非机器人验证。2.生成随机码,与手机号存入缓存或数据库。3.掉第三方接口发送到用户手机。4.用户拿验证码去登录接口校验验证码。5.在过滤器里校验安全性。
9-SpringSecurity登录时的图片验证码,小白看完都会了
2401_83977554的博客
04-02 938
分布式技术专题+面试解析+相关的手写和学习的笔记pdf还有更多Java笔记分享如下:程,基本涵盖了95%以上Java开发知识点,真正体系化!**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)[外链图片转存中…(img-B54g3xjL-1712066022808)]分布式技术专题+面试解析+相关的手写和学习的笔记pdf。
Spring Security 如何添加登录验证码?松哥手把手教你给微人事添加登录验证
2301_79099373的博客
04-10 1117
在登陆页展示验证码这个就不需要我多说了,接下来我们来看看如何自定义验证码处理器:@Component@Override// 验证验证throw new AuthenticationServiceException(“验证码不能为空!”);if (!throw new AuthenticationServiceException(“验证码错误!”);
SpringSecurity登录添加验证
啊啊啊啊2
02-26 3013
登录添加验证码是一个非常常见的需求,网上也有非常成熟的解决方案,其实,要是自己自定义登录实现这个并不难,但是如果需要在SpringSecurity框架中实现这个功能,还得...
SpringSecurity实现验证码功能
weixin_41359273的博客
03-23 2496
SpringSecurity实现验证码功能1.pom.xml2.建表语句3. application.properties4.model5.mapper及其对应的xml文件6.UserService7.controller8.验证码配置9.自定义AuthenticationProvider,对验证码进行校验10.security配置11.测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://ma
【JAVA】微服务中使用Spring Security OAuth2集成验证登录和自定义登录(2)
Hey-Girl
12-07 1442
Spring Security Oauth2中自定义grant_type
springsecurity实现验证登录
05-24
Spring Security 支持多种认证方式,其中包括验证登录。下面是一个简单的实现步骤: 1. 添加依赖 在 `pom.xml` 文件中添加以下依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值