spring security 手机号 短信验证码认证 替换默认的用户名密码认证

已于 2024-09-19 11:54:59 修改
阅读量917 收藏 29
点赞数 22
文章标签: 服务器 mysql 运维
于 2024-09-18 21:58:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45939821/article/details/142307369
版权

         spring security内置的有用户名密码认证规则,还可以调用第三方微信、qq登录接口实现登录认证,这里使用自定义的手机号和短信验证码实现登录认证。   

         要实现自定义的手机号和短信验证码认证需要了解用户名密码认证的逻辑,仿照该逻辑就可以写出任何自定义的登录认证:

                Filter用来过滤出对应的登录请求

                Manager用来寻找具体能匹配上Token的Provider对象校验

                Provider调用Service,Service返回一个已经存储的用户信息封装为Token对象,

 Provider 拿去该Token对象和用户登录封装的Token值比较。如果匹配成功返回一个新的已认证的Token。

        一、熟悉security框架用户名密码校验逻辑,Filter、Provider、Authentication。  

0)UsernamePasswordAuthenticationToken

        UsernamePasswordAuthenticationToken就是Authentication的一个实现类

        

1)UsernamePasswordAuthenticationFilter:

2)AuthenticationManager

        security实现认证的实现类为ProviderManager。

3)DaoAuthenticationProvider

                ①AbstractUserDetailsAuthenticationProvider

                                       DaoAuthenticationProvider的authenticate()方法在父类                     AbstractUserDetailsAuthenticationProvider中;

             ②  DaoAuthenticationProvider的retrieveUser()方法

   

            4)UserDetilsService

                        调用实现类WebSecurityConfigurerAdapter完成创建一个包含用户名和密码的Authentication对象。

                        密码由内部类随机生成。

 二、自定义手机号验证码登录认证。

                实现该认证,只需要重写Token,Filter,Provider,UserDetilsService。这里验证码可以使用阿里云的免费短信测试,因为我的白嫖短信已经过期,所以这里事先写死验证码,最后调用阿里云的短信验证API。

                0)登录业务的两个url

                                用户点击发送短信调用的单元方法,使用直接响应

    @RequestMapping("/sendPhoneCode")
    @ResponseBody
    public String sendPhoneCode(String phone,HttpSession session) throws ExecutionException, InterruptedException {
        String code = RandomNumberCode.creatCode();
        SendSmsResponse sendSmsResponse = SmsUtils.sendCode(phone,code);
        session.setAttribute("smsCode",code);
//        if (sendSmsResponse.getStatusCode() == 200){
//            return AjaxResultVo.success(200);
//        }
        return AjaxResultVo.success(200);
    }

                              用户点击登录的拦截url,使用过滤器实现

        

           1)Token

                             模仿UsernamePasswordAuthenticationToken,把密码删除。验证码直接在controller层比较,如果验证码不对没必要比较手机号是否注册。

public class SmsAuthenticationToekn extends AbstractAuthenticationToken {
    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    private final Object principal;


    public SmsAuthenticationToekn(Object principal) {
        super(null);
        this.principal = principal;
        setAuthenticated(false);
    }

    public SmsAuthenticationToekn(Object principal,
                                               Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        super.setAuthenticated(true); // must use super, as we override
    }




    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        Assert.isTrue(!isAuthenticated,
                "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }
}

        2)Filter

                修改拦截路径,比较发送短信的验证码和用户的验证码是否一致,不一致直接异常。这里发送短信的验证码直接为1234

package com.xja.filter;

import com.xja.domain.SmsAuthenticationToekn;
import org.springframework.lang.Nullable;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
 * @author rk
 * @description: TODO
 * @date 2024/9/16 19:27
 */
public class SmsAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";

    private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/phoneLogin",
            "POST");

    private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;

    private boolean postOnly = true;





    public SmsAuthenticationFilter() {
        super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
    }


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        System.out.println("过滤器生效");
            if (this.postOnly && !request.getMethod().equals("POST")) {
                throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
            }


        HttpSession session = request.getSession();
        String smsCode = (String) session.getAttribute("smsCode");
//        if (smsCode.equals(request.getParameter("code"))){
//                throw  new UsernameNotFoundException("用户名或验证码错误");
//            }
        if (!"1234".equals(request.getParameter("code"))){
                throw  new UsernameNotFoundException("用户名或验证码错误");
            }

            String username = obtainUsername(request);
            username = (username != null) ? username : "";
            username = username.trim();
            SmsAuthenticationToekn authRequest = new SmsAuthenticationToekn(username);

            setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
    }

    @Nullable
    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(this.usernameParameter);
    }

    protected void setDetails(HttpServletRequest request, SmsAuthenticationToekn authRequest) {
        authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
    }
}

        3)Provider

                如果比较成功 返回一个新创建的Token对象存储用户信息。

public class SmsAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UserDetailsService userDetailsService;


    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        System.out.println("校验器生效");
       SmsAuthenticationToekn smsAuthenticationToekn = (SmsAuthenticationToekn) authentication;
        UserDetails userDetails = userDetailsService.loadUserByUsername(smsAuthenticationToekn.getName());
        if (userDetails == null){
            throw  new UsernameNotFoundException("用户名或验证码错误");
        }
        System.out.println();
        return new SmsAuthenticationToekn(userDetails.getUsername(),userDetails.getAuthorities());
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return (SmsAuthenticationToekn.class.isAssignableFrom(authentication));
    }

}

        4)UserDetilsService

                        从数据库中校验是否有该手机号,这里的业务是没有提示用户输入有误,

很多登录界面使用手机号验证码时不需要注册,那么在这里也可以直接调用mapper注册该手机号.

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        System.out.println("service生效");
        User user = userMapper.SelectUserByUserName(name);
        System.out.println("user = " + user.toString());
        if (user == null){
            throw new UsernameNotFoundException("用户名或密码错误");
        }

        List<SimpleGrantedAuthority> powerNameList = new ArrayList<SimpleGrantedAuthority>();
        powerNameList.add(new SimpleGrantedAuthority("ROLE_"+"userManage"));
        powerNameList.add(new SimpleGrantedAuthority("system:user:add"));

        return new org.springframework.security.core.userdetails.User(
                user.getUname(),
                user.getUpassword(),
                powerNameList
                );
    }

        5)调用阿里云api发送手机验证码

        5.1)复制SDK,导入依赖

                     AccessKey需要手动创建

                     手机号和验证码在用户发送请求时获取

        5.2)创建AccessKey

        5.3)封装发送短信的工具类

package com.xja.util;

import com.aliyun.auth.credentials.Credential;
import com.aliyun.auth.credentials.provider.StaticCredentialProvider;
import com.aliyun.sdk.service.dysmsapi20170525.AsyncClient;
import com.aliyun.sdk.service.dysmsapi20170525.models.AddSmsSignRequest;
import com.aliyun.sdk.service.dysmsapi20170525.models.AddSmsSignResponse;
import com.aliyun.sdk.service.dysmsapi20170525.models.SendSmsRequest;
import com.aliyun.sdk.service.dysmsapi20170525.models.SendSmsResponse;
import com.google.gson.Gson;
import darabonba.core.client.ClientOverrideConfiguration;

import java.util.concurrent.CompletableFuture;
import java.util.concurrent.ExecutionException;

/**
 * @author rk
 * @description: TODO
 * @date 2024/9/18 17:07
 */
public class SmsUtils {

    public static SendSmsResponse sendCode(String phone,String code) throws ExecutionException, InterruptedException {
        // HttpClient Configuration
        /*HttpClient httpClient = new ApacheAsyncHttpClientBuilder()
                .connectionTimeout(Duration.ofSeconds(10)) // Set the connection timeout time, the default is 10 seconds
                .responseTimeout(Duration.ofSeconds(10)) // Set the response timeout time, the default is 20 seconds
                .maxConnections(128) // Set the connection pool size
                .maxIdleTimeOut(Duration.ofSeconds(50)) // Set the connection pool timeout, the default is 30 seconds
                // Configure the proxy
                .proxy(new ProxyOptions(ProxyOptions.Type.HTTP, new InetSocketAddress("<your-proxy-hostname>", 9001))
                        .setCredentials("<your-proxy-username>", "<your-proxy-password>"))
                // If it is an https connection, you need to configure the certificate, or ignore the certificate(.ignoreSSL(true))
                .x509TrustManagers(new X509TrustManager[]{})
                .keyManagers(new KeyManager[]{})
                .ignoreSSL(false)
                .build();*/

        // Configure Credentials authentication information, including ak, secret, token
        StaticCredentialProvider provider = StaticCredentialProvider.create(Credential.builder()
                // Please ensure that the environment variables ALIBABA_CLOUD_ACCESS_KEY_ID and ALIBABA_CLOUD_ACCESS_KEY_SECRET are set.
                .accessKeyId("xxx")
                .accessKeySecret("xxx")
                //.securityToken(System.getenv("ALIBABA_CLOUD_SECURITY_TOKEN")) // use STS token
                .build());

        // Configure the Client
        AsyncClient client = AsyncClient.builder()
                .region("cn-hangzhou") // Region ID
                //.httpClient(httpClient) // Use the configured HttpClient, otherwise use the default HttpClient (Apache HttpClient)
                .credentialsProvider(provider)
                //.serviceConfiguration(Configuration.create()) // Service-level configuration
                // Client-level configuration rewrite, can set Endpoint, Http request parameters, etc.
                .overrideConfiguration(
                        ClientOverrideConfiguration.create()
                                // Endpoint 请参考 https://api.aliyun.com/product/Dysmsapi
                                .setEndpointOverride("dysmsapi.aliyuncs.com")
                        //.setConnectTimeout(Duration.ofSeconds(30))
                )
                .build();

        // Parameter settings for API request
        SendSmsRequest sendSmsRequest = SendSmsRequest.builder()
                .signName("阿里云短信测试")
                .templateCode("SMS_134567")
                .phoneNumbers(phone)
                .templateParam("{\"code\":\""+code+"\"}")
                // Request-level configuration rewrite, can set Http request parameters, etc.
                // .requestConfiguration(RequestConfiguration.create().setHttpHeaders(new HttpHeaders()))
                .build();

        // Asynchronously get the return value of the API request
        CompletableFuture<SendSmsResponse> response = client.sendSms(sendSmsRequest);
        // Synchronously get the return value of the API request
        SendSmsResponse resp = response.get();
        System.out.println(new Gson().toJson(resp));
        // Asynchronous processing of return values
        /*response.thenAccept(resp -> {
            System.out.println(new Gson().toJson(resp));
        }).exceptionally(throwable -> { // Handling exceptions
            System.out.println(throwable.getMessage());
            return null;
        });*/

        // Finally, close the client
        client.close();
        return resp;
    }
}

 6)发送短信

        也算是成功了吧

别挡
关注
Spring Security实现短信验证码登录
技术人成长 - 聊技术,话成长
05-25 1344
Spring Security默认的一个实现是使用用户名密码登录,当初我们在开始做项目时,也是先使用这种登录方式,并没有多考虑其他的登录方式。而后面需求越来越多,我们需要支持短信验证码登录了,这时候再看了解Spring Security中如何实现短信验证码登录。 这里有一篇文章:SpringBoot 集成 Spring Security(8)——短信验证码登录,提供了一种比较正规的方法来解决这个...
SpringSecurity前后端分离登录认证
m0_67401153的博客
09-08 969
新增接口:@Autowiredreturn new Result(200,"登陆成功",loginService.login(user));}}@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证}配置redis:spring:redis:port: 6379认证逻辑:将注入到容器中@Bean@Override}
使用自定义的token认证过滤器替换security认证功能
cominglately的博客
12-21 579
spring-boot-starter-security不够灵活, 项目需要二次开发。下面展示一个替换security认证功能的替代方案。
SpringSecurity系列 - 11 前后端分离表单认证:自定义过滤器替换 UsernamePasswordAuthenticationFilter
你今天真好看呀
09-16 2677
SpringSecurity系列一:10 传统Web项目表单认证UsernamePasswordAuthenticationFilter 过滤器在前后端分离的项目中,前端会以 json 格式来传递参数,这就需要我们自定义登录过滤器链来实现。
Spring Security3.1登陆验证
lvdong5830的专栏
01-14 155
Spring Security3.1登陆验证 分类: spring2011-05-21 20:40 2401人阅读 评论(8) 收藏 举报 一、前言       在上一篇http://blog.csdn.net/k10509806/archive/2011/04/28/6369131.aspx文章中,提到的MyUserDetailServiceImpl获取用户权限,在用...
UsernamePasswordAuthenticationToken
weixin_33985507的博客
04-16 2538
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication所以当在页面中输入用户名密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication),然后生成的Authentication...
spring boot整合spring security(二)--手机号验证码登陆
热门推荐
意田天的博客
11-11 2万+
手机号验证码登陆概述搭建基础架构认证流程定义token定义过滤器filter接下来是自定义手机号验证码登陆鉴证器provider修改UserDetailService的实现类为生成验证码接口登陆接口测试未登录状态用户名 密码登陆手机号 验证码登陆 概述 spring security默认使用的是用户名密码的登陆,如果想要增加一种登陆方式, 就要仿照源码中用户名密码登陆的方式, 手写一套手机号验证码登陆校验, 话不多说, 开干! 搭建基础架构 搭建项目基础架构工作, 在(一)中已经完成, 这里直接在其基础上
SpringSecurity6--认证和授权的原理
qq_22610595的博客
07-24 807
Spring Security是一个基于Spring框架的安全解决方案,提供了认证和授权等安全方面的大服务,包括身份认证和权限处理两大服务。Spring Security的实现依赖于大量的过滤器,采用责任链模式对请求请求不同的过滤处理。在日常使用中,Spring Security已经实现了基于表单的登录认证和授权模式,只需简单的配置,即可做到拿来即用。当然Spring Security也提供了灵活的其他认证入口,通过实现其暴漏出来的接口即可自定义自己的登录认证和授权方法。
springcloud微服务架构+oauth2认证以及自定义登录方式(实现短信验证码登录)
weixin_41803602的博客
11-18 9714
111
使用SpringSecurity开发基于表单的认证
m0_37208669的博客
03-26 743
文章目录SpringSecurity核心功能SpringSecurity基本原理案例演示默认HttpBasic验证行为覆盖掉HttpBasic行为:跳转表单认证坑原理说明源代码导读用户名+密码认证自定义用户认证逻辑获取用户信息:UserDetailsService校验用户:UserDetails密码处理:PasswordEncoder自定义用户认证流程自定义登陆页坑处理不同类型的请求:html o...
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2114
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Security 自定义 UsernamePasswordAuthenticationFilter 替换原拦截器
Soutv - Hello Bug !
12-04 1万+
背景: 默认UsernamePasswordAuthenticationFilter过滤器通过 from 表单 post 请求形式获取用户名密码参数,并且请求头为 application/x-www-form-urlencoded, 并通过 ==request.getParameter(this.usernameParameter)==获取用户名密码 参考源码 : @Override public Authentication attemptAuthentication(HttpServletRequ
配置WSGI 服务器(Gunicorn)和Nginx 反向代理服务器部署Flask项目
2301_80892630的博客
10-12 811
部署 Flask 项目涉及到多个步骤,包括环境设置、依赖管理、配置、Web 服务器配置、数据库管理等。下面是一个详细的部署指南,假设你使用的是 Linux 系统(如 Ubuntu)。前三个步骤教你如何在python虚拟环境下搭建项目并给出项目结构示例,如果已有项目或项目已完成,可以直接跳过。
速盾:高防服务器防火墙的特性是什么?
zhuguowang01的博客
10-15 188
高防服务器防火墙可以识别和过滤掉DDoS攻击流量,确保服务器能够正常运行,并提供稳定的网络服务。总之,高防服务器防火墙是一种强大的安全设备,可以提供全面的保护和防御措施,确保服务器的安全性和可靠性。它的特性包括入侵检测系统、防御DDoS攻击、访问控制、网络地址转换、虚拟专用网络和流量监控和报告等,为服务器提供了完善的安全保护。高防服务器防火墙可以实现NAT功能,将服务器的私有IP地址转换为公共IP地址,以隐藏服务器的真实位置和拓扑结构。高防服务器防火墙可以实时监控服务器上的网络流量,并生成详细的流量报告。
S7-200 SMART 与 S7-1200 之间 TCP 通信— S7-200 SMART 作为服务器
最新发布
gsjkwg的博客
10-16 879
在 “项目树” > “PLC_1” > “设备组态” 中,选中 CPU ,然后在下面的属性窗口中,“属性” > “系统和时钟存储器” 下,将时钟位定义在 MB0,如图2所示。通过“项目树”>“PLC_1”>“程序块”>点击生成的 “数据块_1” ( DB4 ) ,右键属性,取消勾选“优化的块访问”。通过“项目树”>“PLC_1”>“程序块”>“添加新块”,选择“数据块” 创建全局 DB 块,点击“确定” 生成数据块。指令块位置及调用方法参考 TCON 指令的调用,调用结果如图8所示。
深入探索LINUX中AWK命令:强大的文本处理工具
Java_fenxiang的博客
10-14 533
深入探索LINUX中AWK命令:强大的文本处理工具 AWK 是一种编程语言,专为文本和数据处理设计,它以其强大的文本处理能力和简洁的语法在 Unix/Linux 系统中占据了重要地位。AWK 程序由一系列的模式(pattern)和动作(action)组成,对于输入文件中匹配特定模式的行,AWK 会执行相应的动作。本文将深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值