Spring Security实现短信登录

最新推荐文章于 2024-07-07 22:34:27 发布
最新推荐文章于 2024-07-07 22:34:27 发布
阅读量2.7k 收藏 27
点赞数 6
分类专栏: security 文章标签: Spring Security实现短信登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38927257/article/details/103118760
版权
本文详细介绍了如何使用Spring Security实现短信验证码登录。首先解释了短信验证码登录的理论流程,接着通过代码实战展示了SmsAuthenticationToken、SmsAuthenticationFilter和SmsAuthenticationProvider的创建,以及如何处理登录的成功和失败情况。最后,将这些组件整合到Spring Security配置中,实现了一个简洁的短信验证码登录系统。
摘要由CSDN通过智能技术生成

文章目录


为了省去与本篇主题无关的代码,短信验证码只是一个模拟。如果你需要具体的实际例子,在下面的源码链接中除了包括每一章的代码外,还包括从头到尾的完整整合代码,方便大家参考学习。

一、理论说明

在开始编码前,先理解下短信验证码的实现流程。如果你能对《Spring Security认证过程》这篇文章有一定的了解的话,那么这篇文章的学习你会轻松许多。

1.1 用户名密码登录逻辑

废话不多说,在上一篇文章中,以标准的用户名密码登录为例,讲解了整个认证流程。大致流程如下:

先进入 UsernamePasswordAuthenticationFilter 中,根据输入的用户名和密码信息,构造出一个暂时没有鉴权的 UsernamePasswordAuthenticationToken,并将 UsernamePasswordAuthenticationToken交给 AuthenticationManager 处理。
AuthenticationManager本身并不做验证处理,他通过 for-each 遍历找到符合当前登录方式的一个 AuthenticationProvider,并交给它进行验证处理,对于用户名密码登录方式,这个 Provider 就是 DaoAuthenticationProvider
在这个 Provider中进行一系列的验证处理,如果验证通过,就会重新构造一个添加了鉴权的 UsernamePasswordAuthenticationToken,并将这个 token 传回到 UsernamePasswordAuthenticationFilter 中。
在该 Filter 的父类 AbstractAuthenticationProcessingFilter 中,会根据上一步验证的结果,跳转到 successHandler或者是failureHandler

在这里插入图片描述

1.2 短信验证码登录逻辑

我们可以仿照用户名密码登录的逻辑,来实现短信验证码的登陆逻辑。

用户名密码登录有个 UsernamePasswordAuthenticationFilter,我们搞一个 SmsAuthenticationFilter,代码粘过来改一改。
用户名密码登录需要 UsernamePasswordAuthenticationToken,我们搞一个 SmsAuthenticationToken,代码粘过来改一改。
用户名密码登录需要 DaoAuthenticationProvider,我们模仿它也 implenments AuthenticationProvider,叫做 SmsAuthenticationProvider
在这里插入图片描述
我们自己搞了上面三个类以后,想要实现的效果如上图所示。当我们使用短信验证码登录的时候:

  1. 先经过SmsAuthenticationFilter ,构造一个没有鉴权的 SmsAuthenticationToken,然后交给
    AuthenticationManager处理。
  2. AuthenticationManager通过 for-each 挑选出一个合适的 provider进行处理,当然我们希望这个
    provider要是 SmsAuthenticationProvider
  3. 验证通过后,重新构造一个有鉴权的 SmsAuthenticationToken,并返回给
    SmsAuthenticationFilter
    4.filter 根据上一步的验证结果,跳转到成功或者失败的处理逻辑。

二、代码实战

2.1 SmsAuthenticationToken

首先我们编写 SmsAuthenticationToken,这里直接参考 UsernamePasswordAuthenticationToken源码,直接粘过来,改一改

步骤:

  1. principal原本代表用户名,这里改成mobile,代表了手机号码。
  2. credentials 原本代码密码,短信登录用不到,直接删掉。
  3. SmsCodeAuthenticationToken() 两个构造方法一个是构造没有鉴权的,一个是构造有鉴权的。
  4. 剩下的几个方法去除无用属性即可。
import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.SpringSecurityCoreVersion;

import java.util.Collection;

/**
 * 短信登录 AuthenticationToken,模仿 UsernamePasswordAuthenticationToken 实现
 */
public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {
   

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    /**
     * 在 UsernamePasswordAuthenticationToken 中该字段代表登录的用户名,
     * 在这里就代表登录的手机号码
     */
    private final Object principal; //存放认证信息。

    /**
     * 构建一个没有鉴权的 SmsCodeAuthenticationToken
     */
     //mobile:表示手机号。
    public SmsCodeAuthenticationToken(String mobile) {
   
        super(null);
        this.principal = mobile;
        setAuthenticated(false);
    }

    /**
     * 构建拥有鉴权的 SmsCodeAuthenticationToken
     */
    public SmsCodeAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
   
        super(authorities);
        this.principal = principal;
        // must use super, as we override
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
   
        return null;
    }

    @Override
    public Object getPrincipal() {
   
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
   
        if (isAuthenticated) {
   
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }

        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
   
        super.eraseCredentials();
    }
}

2.2 SmsAuthenticationFilter

然后编写 SmsAuthenticationFilter,参考 UsernamePasswordAuthenticationFilter的源码,直接粘过来,改一改。

步骤:

  1. 认证请求的方法必须为POST
  2. 从request中获取手机号
  3. 封装成自己的Authenticaiton的实现类SmsCodeAuthenticationToken(未认证)
  4. 调用 AuthenticationManager</
最低0.47元/天 解锁文章
Kevin-Zeng
关注
  • 6
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Spring Security实现短信验证码登录
技术人成长 - 聊技术,话成长
05-25 1324
Spring Security默认的一个实现是使用用户名密码登录,当初我们在开始做项目时,也是先使用这种登录方式,并没有多考虑其他的登录方式。而后面需求越来越多,我们需要支持短信验证码登录了,这时候再看了解Spring Security中如何实现短信验证码登录。 这里有一篇文章:SpringBoot 集成 Spring Security(8)——短信验证码登录,提供了一种比较正规的方法来解决这个...
springsecurity实现手机短信和微信扫码登录
m0_67523500的博客
07-29 592
PhoneNumAuthenticationFilter类,用于接收指定路径传递过来的参数,并且也会有一个重写方法来判断参数是否正确,或者做其他操作,最后将获取到的参数封装到 PhoneNumAuthenticationToken中,方便认证逻辑中获取参数。1.SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链,那么意为着,springsecurity是通过一个个过滤器在实现的,那么我们自定义手机号短信登录,以及微信扫码登录,也是通过创建过滤器来实现呢。
spring security 实现短信登录---若依RuoYi整合短信验证码登录
最新发布
2201_75600005的博客
07-07 1523
仿照 UsernamePasswordAuthenticationToken 类,编写短信登录 token 验证。我们自己构造的这个SmsCodeAuthenticationToken 里面不需要传递密码,因为短信登录不需要注意看里面的两个构造函数,有鉴权 就是通过了验证,一般在jwt过滤器中使用有鉴权的这个构造器,第一次登录的时候调用的是没有鉴权的(一般就是已经登陆过了,发送请求的时候从解析出token的userid 去redis中取得认证信息)/*** 自定义短信登录token验证。
Spring Security短信登录
weixin_34187862的博客
10-23 274
为什么80%的码农都做不了架构师?>>> ...
springsecurity短信登录
佛说"獨" 的博客
05-09 802
springsecurity短信登录SendSmsFilter 类SendSmsAuthenticationFilter类SendSmsAuthenticationToken类SendSmsAuthenticationProvider类SendSmsSecurityConfig类 继springboot+springsecurity+JWT文章,实现短信登录 springboot+springse...
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity+Oauth2集成短信登录
康小虎的博客
11-11 1649
之前的博客有写过SpringCloud+SpringSecurity+Oauth2的token刷新功能,最近又完成了短信验证码登录的功能。SpringSecurityOauth2没有直接提供集成短信登录的配置,我们可以仿照用户名密码登录的整个流程来实现短信验证码的登录。主要参考来自视频https://www.bilibili.com/video/BV16J41127jq?p=24,大家有时间的话还是可以将所有的视频看一下,照着他的做基本就可以实现短信登录的需求。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
若依RuoYi整合短信验证码登录
踮脚敲代码
01-03 8026
背景:若依默认使用账号密码进行登录,但是咱们客户需要增加一个短信登录功能,即在不更改原有账号密码登录的基础上,整合短信验证码登录
spring security 短信验证码登录
llllllStan
08-01 2702
spring security短信验证码登录
SpringSecurity实现短信登录功能
weixin_30411239的博客
03-31 388
⒈封装短信验证码类 1 package cn.coreqi.security.validate; 2 3 import java.time.LocalDateTime; 4 5 public class ValidateCode { 6 private String code; 7 private LocalDateTime expir...
SpringSecurity短信登入
chen1092248901的博客
09-06 317
1.原理 通过之前的分析我们理解了密码登入的整个逻辑,短信验证码登入参考密码登入 根据原理我们构建对应的类 2.步骤 构建SmsAuthenticationToken ,参照UsernamePasswordAuthenticationToken public class SmsAuthenticationToken extends AbstractAuthenticationToken {...
SpringSecurity短信验证码登录
Curtisjia的博客
10-31 3022
短信验证码登录 时下另一种非常常见的网站登录方式为手机短信验证码登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机短信验证码登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码来实现一套自己的认证逻辑。 短信验证码生成 我们先定义一个短信验证码对象SmsCode : public class SmsCode { private String code; private LocalDateTime expireTime;
Spring Security源码分析五:Spring Security实现短信登录
郑龙飞
01-14 4820
目前常见的社交软件、购物软件、支付软件、理财软件等,均需要用户进行登录才可享受软件提供的服务。目前主流的登录方式主要有 3 种:账号密码登录短信验证码登录和第三方授权登录。我们已经实现了账号密码和第三方授权登录。本章我们将使用Spring Security实现短信验证码登录。 概述在Spring Security源码分析一:Spring Security认证过程和Spring Security源码
springsecurity实现短信验证码登录
05-24
Spring Security 支持多种认证方式,其中包括短信验证码登录。下面是一个简单的实现步骤: 1. 添加依赖 在 `pom.xml` 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </dependency> ``` 2. 配置 Security 在 `application.yml` 文件中添加以下配置: ```yaml spring: security: user: name: admin password: password sms: login: url: /login/sms parameter: phone: phone code: code ``` 其中,`user` 节点用于配置默认的用户名和密码,`sms.login` 节点用于配置短信验证码登录的 URL 和参数名。 3. 实现短信验证码登录逻辑 创建一个实现 `UserDetailsService` 接口的类,用于通过手机号查询用户信息。在该类中实现 `loadUserByUsername` 方法,根据手机号查询用户信息并返回 `UserDetails` 对象。 ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserService userService; @Override public UserDetails loadUserByUsername(String phone) throws UsernameNotFoundException { User user = userService.getByPhone(phone); if (user == null) { throw new UsernameNotFoundException("手机号不存在"); } return new User(user.getUsername(), user.getPassword(), user.getAuthorities()); } } ``` 创建一个实现 `AuthenticationProvider` 接口的类,用于处理短信验证码登录。在该类中实现 `authenticate` 方法,根据手机号和验证码验证用户信息并返回 `Authentication` 对象。 ```java @Component public class SmsAuthenticationProvider implements AuthenticationProvider { @Autowired private UserService userService; @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String phone = authentication.getName(); String code = authentication.getCredentials().toString(); User user = userService.getByPhone(phone); if (user == null) { throw new UsernameNotFoundException("手机号不存在"); } // 验证短信验证码 if (!"123456".equals(code)) { throw new BadCredentialsException("短信验证码错误"); } return new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities()); } @Override public boolean supports(Class<?> authentication) { return SmsAuthenticationToken.class.isAssignableFrom(authentication); } } ``` 其中,`SmsAuthenticationToken` 是自定义的认证对象,用于封装手机号和验证码信息。 4. 配置 Security 登录流程 在 Security 配置类中添加以下配置: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsServiceImpl userDetailsService; @Autowired private SmsAuthenticationProvider smsAuthenticationProvider; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/login/sms").permitAll() .anyRequest().authenticated() .and() .formLogin().disable() .logout().disable() .authenticationProvider(smsAuthenticationProvider) .addFilterAfter(smsAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public SmsAuthenticationFilter smsAuthenticationFilter() throws Exception { SmsAuthenticationFilter filter = new SmsAuthenticationFilter(); filter.setAuthenticationManager(authenticationManagerBean()); filter.setAuthenticationSuccessHandler(new SimpleUrlAuthenticationSuccessHandler("/")); filter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler("/login?error")); return filter; } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); auth.authenticationProvider(smsAuthenticationProvider); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } ``` 其中,`SmsAuthenticationFilter` 是自定义的过滤器,用于处理短信验证码登录请求。在该过滤器中,获取手机号和验证码信息,封装为 `SmsAuthenticationToken` 对象并调用 `AuthenticationManager` 进行认证。 ```java public class SmsAuthenticationFilter extends AbstractAuthenticationProcessingFilter { private String phoneParameter = "phone"; private String codeParameter = "code"; public SmsAuthenticationFilter() { super(new AntPathRequestMatcher("/login/sms", "POST")); } @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { String phone = obtainPhone(request); String code = obtainCode(request); if (phone == null) { phone = ""; } if (code == null) { code = ""; } phone = phone.trim(); SmsAuthenticationToken authRequest = new SmsAuthenticationToken(phone, code); setDetails(request, authRequest); return this.getAuthenticationManager().authenticate(authRequest); } private String obtainPhone(HttpServletRequest request) { return request.getParameter(phoneParameter); } private String obtainCode(HttpServletRequest request) { return request.getParameter(codeParameter); } private void setDetails(HttpServletRequest request, SmsAuthenticationToken authRequest) { authRequest.setDetails(authenticationDetailsSource.buildDetails(request)); } public void setPhoneParameter(String phoneParameter) { this.phoneParameter = phoneParameter; } public void setCodeParameter(String codeParameter) { this.codeParameter = codeParameter; } } ``` 至此,短信验证码登录已经实现。在登录页面中,用户输入手机号和验证码后,发送 POST 请求到 `/login/sms`,即可完成短信验证码登录
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值