Spring Security短信验证码实现详解
作者:大忽悠爱忽悠 发布时间:2023-07-04 22:27:07
标签:spring,security,验证码,登录
需求
输入手机号码,点击获取按钮,服务端接受请求发送短信
用户输入验证码点击登录
手机号码必须属于系统的注册用户,并且唯一
手机号与验证码正确性及其关系必须经过校验
登录后用户具有手机号对应的用户的角色及权限
实现步骤
获取短信验证码
短信验证码校验过滤器
短信验证码登录认证过滤器
综合配置
获取短信验证码
在这一步我们需要写一个controller接收用户的获取验证码请求。注意:一定要为“/smscode”访问路径配置为permitAll访问权限,因为spring security默认拦截所有路径,除了默认配置的/login请求,只有经过登录认证过后的请求才会默认可以访问。
@Slf4j
@RestController
public class SmsController {
@Autowired
private UserDetailsService userDetailsService;
//获取短信验证码
@RequestMapping(value="/smscode",method = RequestMethod.GET)
public String sms(@RequestParam String mobile, HttpSession session) throws IOException {
//先从数据库中查找,判断对应的手机号是否存在
UserDetails userDetails = userDetailsService.loadUserByUsername(mobile);
//这个地方userDetailsService如果使用spring security提供的话,找不到用户名会直接抛出异常,走不到这里来
//即直接去了登录失败的处理器
if(userDetails == null){
return "您输入的手机号不是系统注册用户";
}
//commons-lang3包下的工具类,生成指定长度为4的随机数字字符串
String randomNumeric = RandomStringUtils.randomNumeric(4);
//验证码,过期时间,手机号
SmsCode smsCode = new SmsCode(randomNumeric,60,mobile);
//TODO 此处调用验证码发送服务接口
//这里只是模拟调用
log.info(smsCode.getCode() + "=》" + mobile);
//将验证码存放到session中
session.setAttribute("sms_key",smsCode);
return "短信息已经发送到您的手机";
}
}
上文中我们只做了短信验证码接口调用的模拟,没有真正的向手机发送验证码。此部分接口请结合短信发送服务提供商接口实现。
短信验证码发送之后,将验证码“谜底”保存在session中。
使用SmsCode封装短信验证码的谜底,用于后续登录过程中进行校验。
public class SmsCode {
private String code; //短信验证码
private LocalDateTime expireTime; //验证码的过期时间
private String mobile; //发送手机号
public SmsCode(String code,int expireAfterSeconds,String mobile){
this.code = code;
this.expireTime = LocalDateTime.now().plusSeconds(expireAfterSeconds);
this.mobile = mobile;
}
public boolean isExpired(){
return LocalDateTime.now().isAfter(expireTime);
}
public String getCode() {
return code;
}
public String getMobile() {
return mobile;
}
}
前端初始化短信登录界面
<h1>短信登陆</h1>
<form action="/smslogin" method="post">
<span>手机号码:</span><input type="text" name="mobile" id="mobile"> <br>
<span>短信验证码:</span><input type="text" name="smsCode" id="smsCode" >
<input type="button" onclick="getSmsCode()" value="获取"><br>
<input type="button" onclick="smslogin()" value="登陆">
</form>
<script>
function getSmsCode()
{
$.ajax({
type: "GET",
url: "/smscode",
data:{"mobile":$("#mobile").val()},
success: function (res) {
console.log(res)
},
error: function (e) {
console.log(e.responseText);
}
});
}
function smslogin() {
var mobile = $("#mobile").val();
var smsCode = $("#smsCode").val();
if (mobile === "" || smsCode === "") {
alert('手机号和短信验证码均不能为空');
return;
}
$.ajax({
type: "POST",
url: "/smslogin",
data: {
"mobile": mobile,
"smsCode": smsCode
},
success: function (res) {
console.log(res)
},
error: function (e) {
console.log(e.responseText);
}
});
}
</script>
spring security配置类
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private ObjectMapper objectMapper=new ObjectMapper();
@Resource
private CaptchaCodeFilter captchaCodeFilter;
@Bean
PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/js/**", "/css/**","/images/**");
}
//数据源注入
@Autowired
DataSource dataSource;
//持久化令牌配置
@Bean
JdbcTokenRepositoryImpl jdbcTokenRepository() {
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
return jdbcTokenRepository;
}
//用户配置
@Override
@Bean
protected UserDetailsService userDetailsService() {
JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
manager.setDataSource(dataSource);
if (!manager.userExists("dhy")) {
manager.createUser(User.withUsername("dhy").password("123").roles("admin").build());
}
if (!manager.userExists("大忽悠")) {
manager.createUser(User.withUsername("大忽悠").password("123").roles("user").build());
}
//模拟电话号码
if (!manager.userExists("123456789")) {
manager.createUser(User.withUsername("123456789").password("").roles("user").build());
}
return manager;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.//处理需要认证的请求
authorizeRequests()
//放行请求,前提:是对应的角色才行
.antMatchers("/admin/**").hasRole("admin")
.antMatchers("/user/**").hasRole("user")
//无需登录凭证,即可放行
.antMatchers("/kaptcha","/smscode").permitAll()//放行验证码的显示请求
//剩余的请求都需要认证才可以放行
.anyRequest().authenticated()
.and()
//表单形式登录的个性化配置
.formLogin()
.loginPage("/login.html").permitAll()
.loginProcessingUrl("/login").permitAll()
.defaultSuccessUrl("/main.html")//可以记住上一次的请求路径
//登录失败的处理器
.failureHandler(new MyFailHandler())
.and()
//退出登录相关设置
.logout()
//退出登录的请求,是再没退出前发出的,因此此时还有登录凭证
//可以访问
.logoutUrl("/logout")
//此时已经退出了登录,登录凭证没了
//那么想要访问非登录页面的请求,就必须保证这个请求无需凭证即可访问
.logoutSuccessUrl("/logout.html").permitAll()
//退出登录的时候,删除对应的cookie
.deleteCookies("JSESSIONID")
.and()
//记住我相关设置
.rememberMe()
//预定义key相关设置,默认是一串uuid
.key("dhy")
//令牌的持久化
.tokenRepository(jdbcTokenRepository())
.and()
.addFilterBefore(captchaCodeFilter, UsernamePasswordAuthenticationFilter.class)
//csrf关闭
.csrf().disable();
}
//角色继承
@Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
hierarchy.setHierarchy("ROLE_admin > ROLE_user");
return hierarchy;
}
}
短信验证码校验过滤器
短信验证码的校验过滤器,和图片验证码的验证实现原理是一致的。都是通过继承OncePerRequestFilter实现一个Spring环境下的过滤器。其核心校验规则如下:
用户登录时手机号不能为空
用户登录时短信验证码不能为空
用户登陆时在session中必须存在对应的校验谜底(获取验证码时存放的)
用户登录时输入的短信验证码必须和“谜底”中的验证码一致
用户登录时输入的手机号必须和“谜底”中保存的手机号一致
用户登录时输入的手机号必须是系统注册用户的手机号,并且唯一
@Component
public class SmsCodeValidateFilter extends OncePerRequestFilter {
@Resource
UserDetailsService userDetailsService;
@Resource
MyFailHandler myAuthenticationFailureHandler;
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain)
throws ServletException, IOException {
//该过滤器只负责拦截验证码登录的请求
//并且请求必须是post
if (request.getRequestURI().equals("/smslogin")
&& request.getMethod().equalsIgnoreCase("post")) {
try {
validate(new ServletWebRequest(request));
}catch (AuthenticationException e){
myAuthenticationFailureHandler.onAuthenticationFailure(
request,response,e);
return;
}
}
filterChain.doFilter(request,response);
}
private void validate(ServletWebRequest request) throws ServletRequestBindingException {
HttpSession session = request.getRequest().getSession();
//从session取出获取验证码时,在session中存放验证码相关信息的类
SmsCode codeInSession = (SmsCode) session.getAttribute("sms_key");
//取出用户输入的验证码
String codeInRequest = request.getParameter("smsCode");
//取出用户输入的电话号码
String mobileInRequest = request.getParameter("mobile");
//common-lang3包下的工具类
if(StringUtils.isEmpty(mobileInRequest)){
throw new SessionAuthenticationException("手机号码不能为空!");
}
if(StringUtils.isEmpty(codeInRequest)){
throw new SessionAuthenticationException("短信验证码不能为空!");
}
if(Objects.isNull(codeInSession)){
throw new SessionAuthenticationException("短信验证码不存在!");
}
if(codeInSession.isExpired())
{
//从session中移除保存的验证码相关信息
session.removeAttribute("sms_key");
throw new SessionAuthenticationException("短信验证码已过期!");
}
if(!codeInSession.getCode().equals(codeInRequest)){
throw new SessionAuthenticationException("短信验证码不正确!");
}
if(!codeInSession.getMobile().equals(mobileInRequest)){
throw new SessionAuthenticationException("短信发送目标与该手机号不一致!");
}
//数据库查询当前手机号是否注册过
UserDetails myUserDetails = userDetailsService.loadUserByUsername(mobileInRequest);
if(Objects.isNull(myUserDetails)){
throw new SessionAuthenticationException("您输入的手机号不是系统的注册用户");
}
//校验完毕并且没有抛出异常的情况下,移除session中保存的验证码信息
session.removeAttribute("sms_key");
}
}
注意:一定要为"/smslogin"访问路径配置为permitAll访问权限
到这里,我们可以讲一下整体的短信验证登录流程,如上面的时序图。
首先用户发起“获取短信验证码”请求,SmsCodeController中调用短信服务商接口发送短信,并将短信发送的“谜底”保存在session中。
当用户发起登录请求,首先要经过SmsCodeValidateFilter对谜底和用户输入进行比对,比对失败则返回短信验证码校验失败
当短信验证码校验成功,继续执行过滤器链中的SmsCodeAuthenticationFilter对用户进行认证授权。
短信验证码登录认证
我们可以仿照用户密码登录的流程,完成相关类的动态替换
由上图可以看出,短信验证码的登录认证逻辑和用户密码的登录认证流程是一样的。所以:
SmsCodeAuthenticationFilter仿造UsernamePasswordAuthenticationFilter进行开发
SmsCodeAuthenticationProvider仿造DaoAuthenticationProvider进行开发。
模拟实现:只不过将用户名、密码换成手机号进行认证,短信验证码在此部分已经没有用了,因为我们在SmsCodeValidateFilter已经验证过了。
/**
* 仿造UsernamePasswordAuthenticationFilter开发
*/
public class SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
public static final String SPRING_SECURITY_FORM_MOBILE_KEY = "mobile";
private String mobileParameter = SPRING_SECURITY_FORM_MOBILE_KEY ; //请求中携带手机号的参数名称
private boolean postOnly = true; //指定当前过滤器是否只处理POST请求
//默认处理的请求
private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/smslogin", "POST");
public SmsCodeAuthenticationFilter() {
//指定当前过滤器处理的请求
super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
}
//尝试进行认证
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response)
throws AuthenticationException {
if (this.postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
} else {
String mobile = this.obtainMobile(request);
if (mobile == null) {
mobile = "";
}
mobile = mobile.trim();
//认证前---手机号码是认证主体
SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(mobile);
//设置details---默认是sessionid和remoteaddr
this.setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
}
protected String obtainMobile(HttpServletRequest request) {
return request.getParameter(this.mobileParameter);
}
protected void setDetails(HttpServletRequest request, SmsCodeAuthenticationToken authRequest) {
authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
}
public void setMobileParameter(String mobileParameter) {
Assert.hasText(mobileParameter, "Username parameter must not be empty or null");
this.mobileParameter = mobileParameter;
}
public void setPostOnly(boolean postOnly) {
this.postOnly = postOnly;
}
public final String getMobileParameter() {
return this.mobileParameter;
}
}
认证令牌也需要替换:
public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {
private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
//存放认证信息,认证之前存放手机号,认证之后存放登录的用户
private final Object principal;
//认证前
public SmsCodeAuthenticationToken(String mobile) {
super((Collection)null);
this.principal = mobile;
this.setAuthenticated(false);
}
//认证后,会设置相关的权限
public SmsCodeAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
super(authorities);
this.principal = principal;
super.setAuthenticated(true);
}
public Object getCredentials() {
return null;
}
public Object getPrincipal() {
return this.principal;
}
public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
if (isAuthenticated) {
throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
} else {
super.setAuthenticated(false);
}
}
public void eraseCredentials() {
super.eraseCredentials();
}
}
当前还需要提供能够对我们当前自定义令牌对象起到认证作用的provider,仿照DaoAuthenticationProvider
public class SmsCodeAuthenticationProvider implements AuthenticationProvider{
private UserDetailsService userDetailsService;
public UserDetailsService getUserDetailsService() {
return userDetailsService;
}
public void setUserDetailsService(UserDetailsService userDetailsService) {
this.userDetailsService = userDetailsService;
}
/**
* 进行身份认证的逻辑
* @param authentication 就是我们传入的Token
* @return
* @throws AuthenticationException
*/
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//利用UserDetailsService获取用户信息,拿到用户信息后重新组装一个已认证的Authentication
SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken)authentication;
UserDetails user = userDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal()); //根据手机号码拿到用户信息
if(user == null){
throw new InternalAuthenticationServiceException("无法获取用户信息");
}
//设置新的认证主体
SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(user,user.getAuthorities());
//copy details
authenticationResult.setDetails(authenticationToken.getDetails());
//返回新的令牌对象
return authenticationResult;
}
/**
* AuthenticationManager挑选一个AuthenticationProvider
* 来处理传入进来的Token就是根据supports方法来判断的
* @param aClass
* @return
*/
@Override
public boolean supports(Class<?> aClass) {
//isAssignableFrom: 判断当前的Class对象所表示的类,
// 是不是参数中传递的Class对象所表示的类的父类,超接口,或者是相同的类型。
// 是则返回true,否则返回false。
return SmsCodeAuthenticationToken.class.isAssignableFrom(aClass);
}
}
配置类进行综合组装
最后我们将以上实现进行组装,并将以上接口实现以配置的方式告知Spring Security。因为配置代码比较多,所以我们单独抽取一个关于短信验证码的配置类SmsCodeSecurityConfig,继承自SecurityConfigurerAdapter。
@Component
public class SmsCodeSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
@Resource
private MyFailHandler myAuthenticationFailureHandler;
//这里不能直接注入,否则会造成依赖注入的问题发生
private UserDetailsService myUserDetailsService;
@Resource
private SmsCodeValidateFilter smsCodeValidateFilter;
@Override
public void configure(HttpSecurity http) throws Exception {
SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
//有则配置,无则不配置
//smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
smsCodeAuthenticationFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);
// 获取验证码登录令牌校验的提供者
SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
smsCodeAuthenticationProvider.setUserDetailsService(myUserDetailsService);
//在用户密码过滤器前面加入短信验证码校验过滤器
http.addFilterBefore(smsCodeValidateFilter, UsernamePasswordAuthenticationFilter.class);
//在用户密码过滤器后面加入短信验证码认证授权过滤器
http.authenticationProvider(smsCodeAuthenticationProvider)
.addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
}
}
该配置类可以用以下代码,集成到SecurityConfig中。
完整配置
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private ObjectMapper objectMapper=new ObjectMapper();
@Resource
private CaptchaCodeFilter captchaCodeFilter;
@Resource
private SmsCodeSecurityConfig smsCodeSecurityConfig;
@Bean
PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/js/**", "/css/**","/images/**");
}
//数据源注入
@Autowired
DataSource dataSource;
//持久化令牌配置
@Bean
JdbcTokenRepositoryImpl jdbcTokenRepository() {
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
return jdbcTokenRepository;
}
//用户配置
@Override
@Bean
protected UserDetailsService userDetailsService() {
JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
manager.setDataSource(dataSource);
if (!manager.userExists("dhy")) {
manager.createUser(User.withUsername("dhy").password("123").roles("admin").build());
}
if (!manager.userExists("大忽悠")) {
manager.createUser(User.withUsername("大忽悠").password("123").roles("user").build());
}
//模拟电话号码
if (!manager.userExists("123456789")) {
manager.createUser(User.withUsername("123456789").password("").roles("user").build());
}
return manager;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
//设置一下userDetailService
smsCodeSecurityConfig.setMyUserDetailsService(userDetailsService());
http.//处理需要认证的请求
authorizeRequests()
//放行请求,前提:是对应的角色才行
.antMatchers("/admin/**").hasRole("admin")
.antMatchers("/user/**").hasRole("user")
//无需登录凭证,即可放行
.antMatchers("/kaptcha","/smscode","/smslogin").permitAll()//放行验证码的显示请求
//剩余的请求都需要认证才可以放行
.anyRequest().authenticated()
.and()
//表单形式登录的个性化配置
.formLogin()
.loginPage("/login.html").permitAll()
.loginProcessingUrl("/login").permitAll()
.defaultSuccessUrl("/main.html")//可以记住上一次的请求路径
//登录失败的处理器
.failureHandler(new MyFailHandler())
.and()
//退出登录相关设置
.logout()
//退出登录的请求,是再没退出前发出的,因此此时还有登录凭证
//可以访问
.logoutUrl("/logout")
//此时已经退出了登录,登录凭证没了
//那么想要访问非登录页面的请求,就必须保证这个请求无需凭证即可访问
.logoutSuccessUrl("/logout.html").permitAll()
//退出登录的时候,删除对应的cookie
.deleteCookies("JSESSIONID")
.and()
//记住我相关设置
.rememberMe()
//预定义key相关设置,默认是一串uuid
.key("dhy")
//令牌的持久化
.tokenRepository(jdbcTokenRepository())
.and()
//应用手机验证码的配置
.apply(smsCodeSecurityConfig)
.and()
//图形验证码
.addFilterBefore(captchaCodeFilter, UsernamePasswordAuthenticationFilter.class)
//csrf关闭
.csrf().disable();
}
//角色继承
@Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
hierarchy.setHierarchy("ROLE_admin > ROLE_user");
return hierarchy;
}
}
来源:https://blog.csdn.net/m0_53157173/article/details/121438527
0
投稿猜你喜欢
项目结构项目路径可以自己定义,只要路径映射正确就可以pom.xml <properties> <spring.versio- Java数组初始化需要指定数组容量,但是在许多情况下需要动态扩充容量。有两种方法可以实现:1.采用ArrayList类数组,它可以在需要时自
- 入住博客园4年多了,一直都是看别人的博客,学习别人的知识,为各个默默无私贡献自己技术总结的朋友们顶一个;这几天突然觉得是时候加入该队列中,贡
- idea 鼠标悬浮显示详情2020 版 idea 之前file -> settings设置如下 2020 版 idea 之后
- 流行的应用的导航一般分为两种,一种是底部导航,一种是侧边栏。说明IDE:AS,Android studio;模拟器:genymotion;实
- 一、ehcahe的介绍EhCache 是一个纯Java的进程内缓存框架,具有高速、精干等特点,是Hibernate中默认的CacheProv
- 本文以实例形式讲述了C#通过反射创建自定义泛型的实现方法,分享给大家供大家参考。具体如下:比如有这样一个泛型:Demo.GenericsSi
- 本文实例展示了DevExpress实现自定义TreeListNode的Tooltip的方法,具体方法如下所示:主要功能代码如下:/// &l
- java Mybatis存进时间戳封装了一个实体类,里面有个字段 Integer createTime。要利用这个实体类将一个时间戳存进数据
- 项目记录:1.图像原理通常图像都是2D,对一副图像,可以看做其宽w*高h的一个二维数组, 即 图像=int[w][h],在w和h位置的每一个
- 最近.一个朋友跟我说想,我给她弄个闹钟APP软件...功能其实很简单...只需要弄个简单的闹钟.自己设计设计时间.然后时间到了的时候,闹铃放
- Java7引入了Fork Join的概念,来更好的支持并行运算。顾名思义,Fork Join类似与流程语言的分支,合并的概念。也就是说Jav
- 目录一、什么是 RUNNABLE?二、与传统的ready状态的区别三、与传统的running状态的区别四、当I/O阻塞时五、如何看待RUNN
- 基本介绍BottomSheetDialog是底部操作控件,可在屏幕底部创建一个支持滑动关闭视图。目前依赖使用如下:implementatio
- 相同点:1. ref 和 out 都是按地址传递的,使用后都将改变原来参数的数值;2. 方法定义和调用方法都必须显式使用 ref 或者 ou
- 问题说明:IDEA编译的时候乱码,Build Output提示信息乱码�����。解决方案一:将Help—>Edit Cusuom V
- 在《阿里巴巴java开发手册》中指出了线程资源必须通过线程池提供,不允许在应用中自行显示的创建线程,这样一方面是线程的创建更加规范,可以合理
- 命名空间的特性首先熟悉一下命名空间的两个概念。声明区域:可以在其中进行声明的区域,如全局文件的声明区域是文件,函数内声明的变量声明区域为代码
- 手动将本地jar添加到Maven仓库将jar添加到本地仓库的做法以下面pom.xml依赖的jar包为例:实际项目中pom.xml依赖写法:&
- 前言BeanPostProcessor 接口定义了一个你可以自己实现的回调方法,来实现你自己的实例化逻辑、依赖解决逻辑等,如果你想要在Spr
