SpringSecurity 如何进行邮箱登录(手机登录)

最新推荐文章于 2024-03-09 20:18:31 发布
最新推荐文章于 2024-03-09 20:18:31 发布
阅读量5.3k 收藏 22
点赞数 1
分类专栏: springsecurity 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43535259/article/details/90646441
版权

SpringSecurity 授权流程

SpringSecurity 授权流程
简而言之,
      默认的 用户名密码登录 就是 登录的时候 被对应的UsernamePasswordAuthenticationFilter拦截下来,然后通过前端传过来的Username,Password组成一个叫UsernamePasswordAuthenticationToken 的东西,这玩意基本可以看做是封装了用户名、密码、权限、SessionId 等信息的token,当然,在未验证的时候,他只有接受到用户名和密码。
      紧接着 他会把这个token 传递给你写的 provider 进行验证,用户名密码登录的话会用实现的UserDetailService进行判断,验证通过则把 详细的user 信息 以及 权限信息放入 之前的 token 中,并且把Authentication信息设置成true,即标识为已被认证。


但是 , 在手机登录以及邮箱登录的时候,并没有用到用户名,密码等,之前默认的userDetailService 实现的是根据用户名查询,并不是手机和邮箱,也没有验证验证码的功能, 那么显然我们需要重新写 以下几个模块
1.EmailCodeAuthenticationToken
用于存放前端传来的信息
2.EmailCodeAuthenticationFilter
对特定手机登录URL进行过滤,封装token交由provider进行认证
3.EmailCodeAuthenticaitonProvider
认证token
4.successHandler、failHandler
分别对应 认证成功后跳转的位置和失败后跳转的位置
5.EmailCodeAuthenticationSecurityConfig
配置过滤器 以及 handler,provider
6 配置SpringSecurityconfig

1EmailCodeAuthenticationToken

package com.how2j.copy.security.token;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import javax.security.auth.Subject;
import java.util.Collection;

public class EmailCodeAuthenticationToken extends AbstractAuthenticationToken {


    //这里的 principal 指的是 email 地址(未认证的时候)
     private final Object principal;

    public EmailCodeAuthenticationToken(Object principal) {
        super((Collection)null);
        this.principal = principal;
        setAuthenticated(false);
    }

    public EmailCodeAuthenticationToken(Collection<? extends GrantedAuthority> authorities, Object principal) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true);
    }

    //如果是Set认证状态,就无情的给一个异常,意思是:
    //不要在这里设置已认证,不要在这里设置已认证,不要在这里设置已认证
    //应该从构造方法里创建,别忘了要带上用户信息和权限列表哦
    //原来如此,是避免犯错吧
    /*
上面是复制的 接下来个人理解->
第一次 使用token 是未认证的 principal 里存放的是用户名
第二次 是认证的 该token 里面 还存放了 该用户的权限
springsecurity 通过这个标志来判断 是否被认证

     */
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        } else {
            super.setAuthenticated(false);
        }
    }



    /********************父类抽象方法***************************/


    @Override
    public boolean implies(Subject subject) {
        return false;
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }
}

2EmailCodeAuthenticationFilter

package com.how2j.copy.security.filter;

import com.how2j.copy.security.token.EmailCodeAuthenticationToken;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

public class EmailCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter  {
    /**
     * 前端传来的 参数名 - 用于request.getParameter 获取
     */
    private final String DEFAULT_EMAIL_NAME="email";
    private final String DEFAULT_EMAIL_CODE="e_code";
    //是否 仅仅post
    private boolean postOnly = true;

    /**
     * 父类中是 调用setFilterProcessesUrl(defaultFilterProcessesUrl); 方法创建可以通过的url
     * 精确绑定url
     * @param defaultFilterProcessesUrl
     */
    public EmailCodeAuthenticationFilter(String defaultFilterProcessesUrl) {
        super(defaultFilterProcessesUrl);
    }

    /**
     * 通过 传入的 参数 创建 匹配器
     * 即 Filter过滤的url
     * @param requiresAuthenticationRequestMatcher
     */
    public EmailCodeAuthenticationFilter(RequestMatcher requiresAuthenticationRequestMatcher) {
        super(new AntPathRequestMatcher("/account/login/email","POST"));
    }

    /**
     * 给权限
     * filter 获得 用户名(邮箱) 和 密码(验证码) 装配到 token 上 ,
     * 然后把token 交给 provider 进行授权
     * @param httpServletResponse
     * @return
     * @throws AuthenticationException
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse httpServletResponse) throws AuthenticationException, IOException, ServletException {
        HttpSession session = request.getSession();
        if(postOnly && !request.getMethod().equals("POST") ){
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }else{

            String email = getEmail(request);
            if(email == null){
                email = "";
            }
            email = email.trim();
            //如果 验证码不相等 故意让token出错 然后走springsecurity 错误的流程
            boolean flag = isCodeEquals(request);
            /*
            封装 token
             */
            EmailCodeAuthenticationToken token = null;
            if(flag){
                token  = new EmailCodeAuthenticationToken(email);
            }else{
                token = new EmailCodeAuthenticationToken("error");
            }
            this.setDetails(request,token);
            /*
            交给 manager 发证
             */
            return this.getAuthenticationManager().authenticate(token);
        }

    //    return null;
    }

    /**
     * 获取 头部信息 让合适的provider 来验证他
     * @param request
     * @param token
     */
    public void setDetails(HttpServletRequest request , EmailCodeAuthenticationToken token ){
    token.setDetails(this.authenticationDetailsSource.buildDetails(request ));
    }

    /**
     * 获取 传来 的Email信息
     */
    public String getEmail(HttpServletRequest request ){
        String result=  request.getParameter(DEFAULT_EMAIL_NAME);
        return result;
    }
    /**
     * 判断 传来的 验证码信息 以及 session 中的验证码信息
     */
    public boolean isCodeEquals(HttpServletRequest request ){
        HttpSession session = request.getSession();
        String code1 = request.getParameter(DEFAULT_EMAIL_CODE);
        System.out.println("code1**********"+code1);
        String code2 =  (String)session.getAttribute(DEFAULT_EMAIL_CODE+getEmail(request));
        System.out.println("code2***********"+code2 );
        try{
            return code1.equals(code2);
        }catch (Exception e){
            return false;
        }



    }

}

3 EmailCodeAuthentictionProvider

package com.how2j.copy.security.provider;

import com.how2j.copy.security.token.EmailCodeAuthenticationToken;
import com.how2j.copy.service.UserService;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;

public class EmailCodeAuthentictionProvider implements AuthenticationProvider {

    UserService userService ;

    public EmailCodeAuthentictionProvider(UserService userService) {
        this.userService = userService;
    }

    /**
     * 认证
     * @param authentication
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        EmailCodeAuthenticationToken token = (EmailCodeAuthenticationToken)authentication;
        UserDetails user = userService.getByEmail((String)token.getPrincipal());
        System.out.println(token.getPrincipal());
        if(user == null){
            throw new InternalAuthenticationServiceException("无法获取用户信息");
        }
        System.out.println(user.getAuthorities());
        UsernamePasswordAuthenticationToken result =
                new UsernamePasswordAuthenticationToken(user,user.getPassword(),user.getAuthorities());
                /*
                Details 中包含了 ip地址、 sessionId 等等属性
                */
        result.setDetails(token.getDetails());
        return result;
    }

    @Override
    public boolean supports(Class<?> aClass) {

        return EmailCodeAuthenticationToken.class.isAssignableFrom(aClass);
    }
}

4、handler

1

package com.how2j.copy.security.handler;

import org.springframework.context.annotation.Scope;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/*
我这里加上scope 的原因是
spring中 autowired 装配的对象是单例的;
那么问题来了,
因为我 既有 邮箱登录 又有 密码登录,这两个我使用同一个handler ,
但是它们失败后跳转的url 又是不一样的,所以通过一个 tar 属性动态的绑定不同的handle
如果是单例的 , 那么后一个配置的tar 会 覆盖 前一个配置的tar ,
从而导致 邮件也好 , 手机也好 都跳转到 同一个位置,这是我们不想要的,
所以使用 多例 的@Scope 注解来保证绑定的是不同的handle
 */
@Component
@Scope("prototype")
public class MyAuthenticationFailHandler extends SimpleUrlAuthenticationFailureHandler {
/*
要跳转的位置
 */
    String tar  ;

    public String getTar() {
        return tar;
    }

    public void setTar(String tar) {
        this.tar = tar;
    }

    /**
     * 跳转
     * @param request
     * @param response
     * @param exception
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        super.setDefaultFailureUrl("/account/login/"+tar+"?msg=error");
        super.onAuthenticationFailure(request, response, exception);
    }
}

2

package com.how2j.copy.security.handler;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {

        super.setDefaultTargetUrl("/");
        super.onAuthenticationSuccess(request, response, authentication);
    }
}

5、EmailCodeAuthenticationSecurityConfig

package com.how2j.copy.security.config;

import com.how2j.copy.security.filter.EmailCodeAuthenticationFilter;
import com.how2j.copy.security.handler.MyAuthenticationFailHandler;
import com.how2j.copy.security.handler.MyAuthenticationSuccessHandler;
import com.how2j.copy.security.provider.EmailCodeAuthentictionProvider;
import com.how2j.copy.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.SecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.DefaultSecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.stereotype.Component;

@Component
public class EmailCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity>{

    @Autowired
    private MyAuthenticationFailHandler myAuthenticationFailHandler;

    @Autowired
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Autowired
    private UserService userService ;


    @Override
    public void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        myAuthenticationFailHandler.setTar("email");
        EmailCodeAuthenticationFilter filter = new EmailCodeAuthenticationFilter(new AntPathRequestMatcher("/account/login/email","POST")) ;
        filter .setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        filter .setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
        filter .setAuthenticationFailureHandler(myAuthenticationFailHandler);

        EmailCodeAuthentictionProvider provider = new EmailCodeAuthentictionProvider(userService) ;
        http.authenticationProvider(provider)
                .addFilterAfter(filter , UsernamePasswordAuthenticationFilter.class);
    }
}

6、configure

   protected void configure(HttpSecurity http) throws Exception {
        // TODO Auto-generated method stub

        http
                .authorizeRequests()
                .antMatchers("/css/**","/js/**","/fonts/**","/index")
                .permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .and()
                .formLogin()
                .loginPage("/account/login").failureUrl("/account/login?msg=error").defaultSuccessUrl("/")
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/")
                .and()
                .rememberMe()
                .and()
                .exceptionHandling().accessDeniedPage("/403");
        http.csrf().disable();
        http.headers().frameOptions().sameOrigin();
        http.apply(emailCodeAuthenticationSecurityConfig );
        http.apply(smsCodeAuthenticationSecurityConfig );
    }

只要加最后的apply即可

一般男性黄黄黄
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 之 用户名/密码认证
悟已往之不谏,知来者之可追
01-22 171
通常,Spring Security会在内部构建一个由DaoAuthenticationProvider组成的AuthenticationManager,用于处理用户名/密码身份验证。在某些情况下,可能仍然希望自定义Spring Security使用的AuthenticationManager实例。例如,您可能需要简单地禁用对缓存用户的凭据擦除。推荐的做法是简单地发布您自己的AuthenticationManager bean,Spring Security会使用它。
不需要springsercurity的 自动登录后跳转原先的我键入的url,一直都因应该跳到指定的
qq_28929589的博客
04-25 1856
springsercurity 登陆有一个功能,就能记录一开始键入的url,然后跳到登陆,登陆成功后,调到一开始键入的url,如果想要关掉这个功能在spring-security的配置文件里面关掉这个功能&lt;form-login authentication-failure-url="/ewe/loginPage?error=true" login-page="/ewe/loginPage" ...
使用Spring Boot Security 实现多认证 手机登录 微信扫码登录 微信扫码注册
Likefr
03-09 1602
利用Spring Security 实现基于手机号密码的登录功能,并结合微信扫码实现用户注册的功能。通过我这种方案,用户可以选择使用手机号密码登录,或者通过微信扫码进行注册。我们将详细介绍了如何获取微信授权二维码、微信授权回调、注册接口以及自定义认证提供者等方面的实现细节。您将了解到如何使用Spring Security构建安全可靠的身份认证系统,并且为用户提供多样的登录与注册选择
Spring Security 默认登录页面
justlpf的专栏
04-14 190
通过这一方式,Spring Security默认过滤器中生成了登录页面。
SpringSercurity登录验证之密码编码器
qq_55414449的博客
07-28 102
我们自己可以修改我们在springsecurity登录进来得用户和密码,相当于下面这两条数据都是数据库中得数据。通过实现UserDetailsService (用户详细信息服务),我们可以实现在SpringSecurity自带的登入验证框架中,设置我们自己设置的用户名和密码,当然,要实现的前提时将我们的用户存入InMemoryUserDetailsManager (内存中用户详细信息管理器),并且将这个对象返回,就说明我么可以通过该设置的用户名和密码进行登录和验证。
Spring Boot开发之SpringSercurity(续)
不服输的小乌龟
11-13 1570
今天接着学习SpringSercurity的相关知识以及实现,都非常基础。首先打开上次项目以及数据库,上次我们学习到了认证,今天接着学习。
Spring Security 中定义多种登录方式,比如邮箱手机验证码登录
xxxzzzqqq_的博客
03-21 3318
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证码登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
SpringSecurity配置多种登录方式
qq_53318060的博客
10-13 3889
SpringSecurity配置多种登陆方式
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7561
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
SpringSecurity同时整合短信登录验证和邮箱登录验证
weixin_44569326的博客
08-02 607
【代码】SpringSecurity同时整合短信登录验证和邮箱登录验证。
二、Spring Security +JWT实现登录
zcccc_的博客
01-15 1172
SpringCloud和SpringBoot项目的实现方式差不多,本文主要是SpringCloud,boot的大致也会概括,我会在需要注意的地方用橙色标注。实现这个需求,我也是借鉴了多位优秀博主的文章,过程也遇到各种问题。本文章整理了实现需求的步骤和遇到的所有的问题。优化中……token自动续期;JWT类型token自动续期-CSDN博客携带短标识给前端,jwt数据存入redis,避免token过长;注解式实现接口是否需要拦截;鉴权;
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
基于Spring Boot Security 2.5.8,扩展了核心功能,支持用户名,手机号,邮箱登录,以及记住密码,JWT等功能。有完整的数据库脚本及功能演示。
springsecurity6.x实战学习笔记,可完美的移植到生产环境
03-28
springboot3.x springsecurity6.x 实战教程,可用于生产项目工程 本地账号、手机号、邮箱多账号登录,账号与用户信息分离表结构设计,区别于常见表设计方法
MaxKey单点登录认证系统-其他
06-11
SpringSecurity OAuth 2客户端登录适配 移除Desktop的支持,后续可以开发FormBase的适配器定制 application.properties profiles的优化,不同环境启动更加简单 删除maxkey.properties,配置整合到 application....
基于springboot+security+mysql+thymeleaf+layui 实现的仿四级报名系统
最新发布
04-23
功能简述: 主要是分有三种角色,管理员、教师、以及学生,每个角色登录进来同一个访问地址但是界面功能不一样。...登录验证,可以使用手机号和邮箱号,模糊查询,Excel表格导入学生。 增删改查等基础功能
JAVA毕业设计之springboot摄影跟拍预定管理系统项目(springboot完整源码+说明).zip
02-28
同时,使用Spring Security进行用户身份验证和授权管理,确保系统安全性。该项目的源码结构清晰,代码注释完善,便于理解和二次开发。开发者可以根据自身需求对系统进行扩展和定制,实现更多个性化的功能和特色。...
使用 Spring Cloud + Spring Cloud Security + OAuth2 实现单点登录
洪晓鸿
04-12 418
使用 Spring Cloud + Spring Cloud Security + OAuth2 实现单点登录
也该来学习微服务网关与用户身份识别,SpringSecurity原理和实战
公众号:该用户快成仙了
08-26 540
Spring Security原理和实战 Web服务提供者的安全访问无疑是十分重要的,而SpringSecurity安全模块是保护Web应用的一个非常好的选择。 Spring SecuritySpring应用项目中的一个安全模块,特别是在Spring Boot项目中,Spring Security默认为自动开启,可见其重要性。 在微服务架构下,建议仅将Spring Security组件应用于网关(如Zuul),对于集群内部的微服务提供者,不建议启用Spring Security组件,因为重复的验证会
Spring Security 6.x
08-17
- *3* [springsecurity6.x实战学习笔记,可完美的移植到生产环境](https://download.csdn.net/download/weixin_44020302/87623408)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值