springboot集成security(手机号+验证码)

已于 2023-04-06 11:46:33 修改
阅读量803 收藏 2
点赞数
分类专栏: security 文章标签: spring boot java 后端
于 2023-04-04 09:30:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlhmeng/article/details/129933100
版权

西风吹老洞庭波,
一夜湘君白发多。
醉后不知天在水,
满船清梦压星河

主要基于用户名密码的方式进行改造,不知道的可以先看一下:springboot集成security(前后端分离 用户名密码登陆)

大概思路就是我们要改变security的验证方式,需要去实现AuthenticationProvider自定义一个token给security,改成我们自定义的验证方式,而不是使用账号密码的方式

SmsCodeAuthenticationProvider

@Data
public class SmsCodeAuthenticationProvider implements AuthenticationProvider {

    private SecurityUserServiceImpl userDetailsService;

    private RedisTemplate<String, Object> redisTemplate;

    public SmsCodeAuthenticationProvider(SecurityUserServiceImpl userService, RedisTemplate redisTemplate) {
        this.userDetailsService = userService;
        this.redisTemplate = redisTemplate;
    }

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication;
        // 验证码校验
        String phone = (String) authenticationToken.getPrincipal();
        checkCode(phone);

        UserDetails user = userDetailsService.loadUserByUsername(phone);
        if (Objects.isNull(user)) {
            throw new InternalAuthenticationServiceException("用户名或密码错误!");
        }

        SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(user, user.getAuthorities());
            authenticationResult.setDetails(authenticationToken.getDetails());
        return authenticationResult;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication);
    }

    private void checkCode(String phone) {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        String inputCode = request.getParameter("captcha");

        Object code = redisTemplate.opsForValue().get(RedisKeyConstant.CAPTCHA + phone);

        if (ObjectUtils.isEmpty(code)){
            throw new CredentialsExpiredException("验证码过期,请重新获取!");
        }

        if(!Objects.equals(code, inputCode)) {
            throw new BadCredentialsException("验证码错误");
        }
    }

}

我是用阿里云发送的短信,然后存redis的,这个不用多说

验证码过滤器SmsCodeAuthenticationFilter:

public class SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private boolean postOnly = true;

    private String mobileParameter = "phone";

    public SmsCodeAuthenticationFilter() {
        super(new AntPathRequestMatcher("/phone/login", HttpMethod.POST.name()));
    }

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !HttpMethod.POST.name().equals(request.getMethod())) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        // 获取请求中的参数值
        String mobile = request.getParameter("phone");

        if (Objects.isNull(mobile)) {
            mobile = "";
        }
        mobile = mobile.trim();
        SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(mobile);
        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    protected void setDetails(HttpServletRequest request, SmsCodeAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

    public void setMobileParameter(String mobileParameter) {
        Assert.hasText(mobileParameter, "Mobile parameter must not be empty or null");
        this.mobileParameter = mobileParameter;
    }

    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getMobileParameter() {
        return mobileParameter;
    }

}

修改SecurityUserServiceImpl:

    @Override
    public UserDetails loadUserByUsername(String phone) throws UsernameNotFoundException {
        SysUser sysUser = userService.getUserByPhone(phone);
        if (ObjectUtils.isEmpty(sysUser)) {
            throw new UsernameNotFoundException("用户名或密码不正确");
        }
        return new LoginUser(sysUser.getId().longValue(), sysUser.getName(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
    }

修改loadUserByUsername方法,之前是通过用户名查的,现在要通过手机号查

修改JwtAuthenticationFilter:

@Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String token = request.getHeader("Authorization");
        if(!StringUtils.hasText(token)){
            chain.doFilter(request,response);
            return;
        }
        Claims claim = jwtUtils.getClaimByToken(token);
        if(ObjectUtils.isEmpty(claim)){
            throw new JwtException("非法请求");
        }
        String username = claim.get("username").toString();
        Object redisToken = redisTemplate.opsForValue().get(RedisKeyConstant.USER_TOKEN + ":" + username);
        if (ObjectUtils.isEmpty(redisToken)){
            throw new AccountExpiredException("登录过期");
        }
        // 重置过期时间
        redisTemplate.opsForValue().set(RedisKeyConstant.USER_TOKEN + ":" + username, token, 30, TimeUnit.MINUTES);

        SysUser sysUser = userService.getOne(new LambdaQueryWrapper<SysUser>().eq(SysUser::getName, username));
        if (ObjectUtils.isEmpty(sysUser)){
            throw new CustomerException("非法请求");
        }
//        UsernamePasswordAuthenticationToken authenticationToken =
//                new UsernamePasswordAuthenticationToken(sysUser,null, securityUserService.getUserAuthority(sysUser.getId()));
        SmsCodeAuthenticationToken smsAbstractAuthenticationToken = new SmsCodeAuthenticationToken(sysUser, securityUserService.getUserAuthority(sysUser.getId()));
        SecurityContextHolder.getContext().setAuthentication(smsAbstractAuthenticationToken);

        chain.doFilter(request,response);
    }

之前是UsernamePasswordAuthenticationToken用户名密码方式的token,要改成我们自定义的短信验证方式的token

新加secruity的配置SmsCodeAuthenticationSecurityConfig:

@Component
public class SmsCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    @Resource
    private SecurityUserServiceImpl userDetailsService;
    @Resource
    private LoginSuccessHandler customAuthenticationSuccessHandler;
    @Resource
    private LoginFailureHandler customAuthenticationFailureHandler;

    @Resource
    private RedisTemplate<String, Object> redisTemplate;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
        smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(customAuthenticationSuccessHandler);
        smsCodeAuthenticationFilter.setAuthenticationFailureHandler(customAuthenticationFailureHandler);

        SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider(userDetailsService, redisTemplate);

        http.authenticationProvider(smsCodeAuthenticationProvider)
                .addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }

}

之前SecurityConfig里面配置额不要的东西可以删掉:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Resource
    private JwtAccessDeniedHandler jwtAccessDeniedHandler;

    @Resource
    private SecurityUserServiceImpl securityUserService;

    @Resource
    private LoginFailureHandler loginFailureHandler;

    @Resource
    private LoginSuccessHandler loginSuccessHandler;

    @Resource
    private SmsCodeAuthenticationSecurityConfig smsCodeAuthenticationSecurityConfig;

    @Bean
    BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
        return jwtAuthenticationFilter;
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    private static final String[] URL_WHITELIST = {
        "/login",
        "/phone/login",
        "/logout",
        "/login/captcha",
        "/favicon.ico",
    };
//    protected void configure(HttpSecurity http) throws Exception {
//        http.cors().and().csrf().disable()
//                .apply(smsCodeAuthenticationSecurityConfig).and().authorizeRequests().and()
//        //登录配置
//        .formLogin()
//        .successHandler(loginSuccessHandler)
//        .failureHandler(loginFailureHandler)
//
//        //禁用session
//        .and()
//                .sessionManagement()
//                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
//        //配置拦截规则
//        .and()
//                .authorizeRequests()
//                .antMatchers(URL_WHITELIST).permitAll()
//                .anyRequest().authenticated()
//        //异常处理器
//                .and()
//                .exceptionHandling()
//                .authenticationEntryPoint(jwtAuthenticationEntryPoint)
//                .accessDeniedHandler(jwtAccessDeniedHandler)
//        //配置自定义的过滤器
//                .and()
//                .addFilter(jwtAuthenticationFilter())
//    ;
//    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.apply(smsCodeAuthenticationSecurityConfig).and()
                .authorizeRequests()
                // 如果有允许匿名的url,填在下面
                .antMatchers(URL_WHITELIST).permitAll()
                .anyRequest().authenticated()
                .and()
                // 设置登陆页
                .formLogin()
                // 设置登陆成功页
                .defaultSuccessUrl("/").permitAll()
                .and()
                .logout().permitAll();

        // 关闭CSRF跨域
        http.csrf().disable();
    }

这里注意配置一下登录和发送验证码的白名单

到这里就集成完了,可能并不完美,还需要根据自己的项目进行优化,后续我也会持续优化

zlhmeng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 6.x 系列【15】认证篇之实现短信验证码登录功能
记录知识、锤炼自我
04-07 8331
我们也了解过**用户名密码**表单登录流程,我们可以完全按照表单登录流程,自定义**短信验证码登录**的**过滤器、认证提供者**等,即可实现该功能。
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码可以学习security的权限配置,菜单权限,注解权限等 有学习SPI机制的学习
(十三)springboot实战——springboot后端分离方式项目集成spring securtity安全框架
厉害哥哥的博客
02-06 1453
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
基于Spring Security实现自定义认证-以短信登录为例
ChiZng的博客
07-05 311
基于Spring Security实现自定义认证-以短信登录为例 《Spring Security实战》、慕课网《Spring Security技术栈开发企业级认证与授权》笔记 实现基于Spring Security认证有两种方式 增加一个过滤器继承OncePerRequestFilter,将这个Filter放到HttpSecurity的合适的位置。(继承OncePerRequestFilter的目的是确保一次请求只通过一次该过滤器) 基于Spring Security的自定义认证 方法1的那种过滤器
手把手带你在集成SpringSecuritySpringBoot应用中添加短信验证码登录认证功能
heshengfu1211的博客
03-25 1952
手把手带你在集成SpringSecuritySpringBoot应用中添加短信验证码登录认证功能
spring security oauth2.0搭建用户认证服务(三) - 自定义手机验证码登录
u013911102的博客
09-11 1856
项目场景: APP登录不仅仅是用户名和密码登录,同时还有手机验证码登录、第三方登录等。这回就说说手机验证码以及APP用户名和密码登录吧。 技术详解: 用户名密码登录: 1.之前的用户名和密码登录,/oauth/token的grant_type默认是password,不过这里会把请求的用户名和密码暴露出去,因此我的想法是中间加密,然后解密之后再进行认证.因此我打算把之前的认证方式进行增强。 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handle.
Springboot 整合SpringSecurity实现账号密码+手机验证码登陆
alexliu0725的博客
09-19 5129
Springboot 整合SpringSecurity实现账号密码+手机验证码登陆示例说明版本示例安装Spring-security 介绍为什么不用 shiroSpring-Security 用户认证、授权CSRF 跨站请求伪造防护iframe 嵌入提升用户、编码体验更多 SpringSecuritySpring 提供安全管理框架。核心内容包含认证、授权、攻击防护。实际上SpringSecurity 已经发展了多年了,但是在 SSM/SSH 中整合 SpringSecurity 相较于 Shiro
若依登录自定义扩展Springboot+security支持密码、验证码多种登录方式
liangshitian的博客
12-04 7006
若依开源框架登录使用的配置大部分都是security自定义的,目前希望在此框架基础上支持自定义的登录,如手机号+密码登录认证手机号+短信验证码认证。 1、自定义登录实现思路 主要是实现继承DaoAuthenticationProvider类,重写additionalAuthenticationChecks方法,将通过密码标识来判断是不是需要验证密码和免密验证。 2、继承DaoAuthenticationProvider package com.tuitui.framework.security.
SpringBoot集成SpringSecurity(十七、手机号登录
伍妖捌的小屋
05-23 913
前言 SpringSecurity默认不支持短信验证码登录,而现在手机验证码登录随处可见,下面对SpringSecurity进行集成手机短信登录。 实现 public class MobileAuthenticationToken extends AbstractAuthenticationToken { private static final long serialVersionUID = 540L; private final Object principal; // 认证前是手机号
Spring Boot + Spring-Security实现前后端分离双重身份认证初学者指南(手机号密码JWT + 短信验证码
u013652550的博客
08-30 2619
初学者想快速理解Spring-Security原理?如果学过基本的ioc思想、mvc思想、aop思想等等,不妨读一读本文吧
手机验证码java登陆_java相关:SpringBoot + SpringSecurity 短信验证码登录功能实现
weixin_39927378的博客
02-28 375
java相关:SpringBoot + SpringSecurity 短信验证码登录功能实现发布于 2020-3-30|复制链接摘记: 实现原理在之前的文章中,我们介绍了普通的帐号密码登录的方式: SpringBoot + Sp ..实现原理在之前的文章中,我们介绍了普通的帐号密码登录的方式: SpringBoot + Spring Security 基本使用及个性化登录配置。 但是现在还有一种常...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
1.传统spring boot框架 2.security框架 3.jwt取代session 4.mybatis-plus+mysql【sql文件项目中有】 5.不想下载,可以看博客,博客中有写
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springboot+security+cas集成demo
11-23
springboot+security+cas集成demo。。
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
03-10
零安装:用户只需通过微信扫一扫或搜索功能,即可打开和使用小程序,大大降低了用户的使用门槛和手机存储空间压力。 速度快:加载速度相较于传统的HTML5网页更快,依托于微信强大的基础设施,能够实现近乎原生应用...
快速构建Spring boot项目
Fxdll的博客
04-22 548
2、运行4、开发环境热部署查看目前已有的依赖。
# 使用 spring boot 时,@Autowired 注解 自动装配注入时,变量报红解决方法:
最新发布
段子手168的博客
04-29 155
# 使用 spring boot 时,@Autowired 注解 自动装配注入时,变量报红解决方法:
spring boot的项目+nginx,怎么预防点击劫持(clicekJacking)
keyboard专栏
04-23 604
通过这些措施,你可以在Spring Boot和Nginx层面有效防御点击劫持攻击。综合使用这些技术能够确保你的应用不仅安全,还能适应各种不同的部署环境和安全需求。这样的配置不仅增加了安全性,也提高了应用的健壮性。
Spring Boot集成Mybatis Plus快速入门Demo
HBLOG
04-22 855
1.什么事Mybatis Plus?MyBatis-Plus(opens new window)(简称 MP)是一个MyBatis(opens new window)的增强工具,在 MyBatis 的基础上只增强不改变,为简化开发、提高效率而生。特性无侵入:只增强不改变,引入它不会对现有工程产生影响,如丝般顺滑损耗小:启动即会自动注入基本 CURD,性能基本无损耗,直接面向对象操作强...
springboot整合security+jwt+redis
10-18
好的,针对您的问题,我可以给出以下步骤: 1. 引入相关依赖:spring-boot-starter-security、jjwt、spring-boot-starter-data-redis等。 2. 配置Security:创建一个继承自WebSecurityConfigurerAdapter的类,并重写configure方法,配置HttpSecurity和AuthenticationManagerBuilder。 3. 配置JWT:创建一个JwtTokenUtil类,实现生成token、验证token等方法。 4. 配置Redis:在application.properties中配置redis相关信息,并创建一个RedisUtil类,实现redis的操作方法。 5. 编写登录接口:在Controller中编写登录接口,验证用户名和密码,生成token并返回给前端。 6. 编写需要认证的接口:在Controller中编写需要认证的接口,并添加@PreAuthorize注解,指定需要的角色或权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值