SpringSecurity5(5-自定义短信、手机验证码)

莱莱  金牌会员 | 2025-3-14 11:38:34 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 979|帖子 979|积分 2937

图形验证码

SpringSecurity 实现的用户名、密码登录是在 UsernamePasswordAuthenticationFilter 过滤器进行认证的,而图形验证码一样平常是在用户名、密码认证之前进行验证的,所以须要在 UsernamePasswordAuthenticationFilter 过滤器之前添加一个自定义过滤器 ImageCodeValidateFilter,用来校验用户输入的图形验证码是否正确。
实现逻辑

自定义过滤器继承 OncePerRequestFilter 类,该类是 Spring 提供的在一次哀求中只会调用一次的 filter,确保每个哀求只会进入过滤器一次,避免了多次执行的情况
自定义的过滤器 ImageCodeValidateFilter 首先会判断哀求是否为 POST 方式的登录表单提交哀求,如果是就将其拦截进行图形验证码校验。如果验证错误,会抛出自定义异常类对象 ValidateCodeException,该异常类须要继承 AuthenticationException 类。在自定义过滤器中,我们须要手动捕获自定义异常类对象,并将捕获到自定义异常类对象交给自定义失败处理器进行处理

添加验证码配置
  1. <dependency>
  2.     <groupId>com.github.penggle</groupId>
  3.     <artifactId>kaptcha</artifactId>
  4.     <version>2.3.2</version>
  5. </dependency>
复制代码
  1. /**
  2. * 图形验证码的配置类
  3. */
  4. @Configuration
  5. public class KaptchaConfig {
  7.     @Bean
  8.     public DefaultKaptcha captchaProducer() {
  9.         DefaultKaptcha defaultKaptcha = new DefaultKaptcha();
  10.         Properties properties = new Properties();
  11.         // 是否有边框
  12.         properties.setProperty(Constants.KAPTCHA_BORDER, "yes");
  13.         // 边框颜色
  14.         properties.setProperty(Constants.KAPTCHA_BORDER_COLOR, "192,192,192");
  15.         // 验证码图片的宽和高
  16.         properties.setProperty(Constants.KAPTCHA_IMAGE_WIDTH, "110");
  17.         properties.setProperty(Constants.KAPTCHA_IMAGE_HEIGHT, "40");
  18.         // 验证码颜色
  19.         properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_FONT_COLOR, "0,0,0");
  20.         // 验证码字体大小
  21.         properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_FONT_SIZE, "32");
  22.         // 验证码生成几个字符
  23.         properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_CHAR_LENGTH, "4");
  24.         // 验证码随机字符库
  25.         properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_CHAR_STRING, "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYAZ");
  26.         // 验证码图片默认是有线条干扰的,我们设置成没有干扰
  27.         properties.setProperty(Constants.KAPTCHA_NOISE_IMPL, "com.google.code.kaptcha.impl.NoNoise");
  28.         Config config = new Config(properties);
  29.         defaultKaptcha.setConfig(config);
  30.         return defaultKaptcha;
  31.     }
  32. }
复制代码
提供验证码接口
  1. public class CheckCode implements Serializable {
  3.     private String code;           // 验证码字符
  4.     private LocalDateTime expireTime;  // 过期时间
  6.     /**
  7.      * @param code 验证码字符
  8.      * @param expireTime 过期时间,单位秒
  9.      */
  10.     public CheckCode(String code, int expireTime) {
  11.         this.code = code;
  12.         this.expireTime = LocalDateTime.now().plusSeconds(expireTime);
  13.     }
  15.     public CheckCode(String code) {
  16.         // 默认验证码 60 秒后过期
  17.         this(code, 60);
  18.     }
  20.     // 是否过期
  21.     public boolean isExpried() {
  22.         return this.expireTime.isBefore(LocalDateTime.now());
  23.     }
  25.     public String getCode() {
  26.         return this.code;
  27.     }
  28. }
复制代码
  1. @Controller
  2. public class LoginController {
  4.     // Session 中存储图形验证码的属性名
  5.     public static final String KAPTCHA_SESSION_KEY = "KAPTCHA_SESSION_KEY";
  7.     @Autowired
  8.     private DefaultKaptcha defaultKaptcha;
  10.     @GetMapping("/login/page")
  11.     public String login() {
  12.         return "login";
  13.     }
  15.     @GetMapping("/code/image")
  16.     public void imageCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
  17.         // 创建验证码文本
  18.         String capText = defaultKaptcha.createText();
  19.         // 创建验证码图片
  20.         BufferedImage image = defaultKaptcha.createImage(capText);
  22.         // 将验证码文本放进 Session 中
  23.         CheckCode code = new CheckCode(capText);
  24.         request.getSession().setAttribute(KAPTCHA_SESSION_KEY, code);
  26.         // 将验证码图片返回,禁止验证码图片缓存
  27.         response.setHeader("Cache-Control", "no-store");
  28.         response.setHeader("Pragma", "no-cache");
  29.         response.setDateHeader("Expires", 0);
  30.         response.setContentType("image/jpeg");
  31.         ImageIO.write(image, "jpg", response.getOutputStream());
  32.     }   
  33. }
复制代码
  1. <!DOCTYPE html>
  2. <html lang="en" xmlns:th="http://www.thymeleaf.org">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <title>登录</title>
  6. </head>
  7. <body>
  8.     <h3>表单登录</h3>
  9.     <form method="post" th:action="@{/login/form}">
  10.         <input type="text" name="username" placeholder="用户名">
  12.         <input type="password" name="password" placeholder="密码">
  14.         <input name="imageCode" type="text" placeholder="验证码">
  16.         <img th:onclick="this.src='/code/image?'+Math.random()" th:src="@{/code/image}" alt="验证码"/>
  18.         
  19.             用户名或密码错误
  20.         
  21.         <button type="submit">登录</button>
  22.     </form>
  23. </body>
  24. </html>
复制代码
自定义验证码过滤器
  1. /**
  2. * 自定义验证码校验错误的异常类,继承 AuthenticationException
  3. */
  4. public class ValidateCodeException extends AuthenticationException {
  5.     public ValidateCodeException(String msg, Throwable t) {
  6.         super(msg, t);
  7.     }
  9.     public ValidateCodeException(String msg) {
  10.         super(msg);
  11.     }
  12. }
复制代码
  1. @Component
  2. public class ImageCodeValidateFilter extends OncePerRequestFilter {
  4.     private String codeParamter = "imageCode";  // 前端输入的图形验证码参数名
  6.     @Autowired
  7.     private AuthenticationFailureHandlerImpl authenticationFailureHandler;  // 自定义认证失败处理器
  9.     @Override
  10.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  11.         // 非 POST 方式的表单提交请求不校验图形验证码
  12.         if ("/login/form".equals(request.getRequestURI()) && "POST".equals(request.getMethod())) {
  13.             try {
  14.                 // 校验图形验证码合法性
  15.                 validate(request);
  16.             } catch (ValidateCodeException e) {
  17.                 // 手动捕获图形验证码校验过程抛出的异常,将其传给失败处理器进行处理
  18.                 authenticationFailureHandler.onAuthenticationFailure(request, response, e);
  19.                 return;
  20.             }
  21.         }
  22.         // 放行请求,进入下一个过滤器
  23.         filterChain.doFilter(request, response);
  24.     }
  26.     // 判断验证码的合法性
  27.     private void validate(HttpServletRequest request) {
  28.         // 获取用户传入的图形验证码值
  29.         String requestCode = request.getParameter(this.codeParamter);
  30.         if(requestCode == null) {
  31.             requestCode = "";
  32.         }
  33.         requestCode = requestCode.trim();
  35.         // 获取 Session
  36.         HttpSession session = request.getSession();
  37.         // 获取存储在 Session 里的验证码值
  38.         CheckCode savedCode = (CheckCode) session.getAttribute(LoginController.KAPTCHA_SESSION_KEY);
  39.         if (savedCode != null) {
  40.             // 随手清除验证码,无论是失败,还是成功。客户端应在登录失败时刷新验证码
  41.             session.removeAttribute(LoginController.KAPTCHA_SESSION_KEY);
  42.         }
  44.         // 校验出错,抛出异常
  45.         if (StringUtils.isBlank(requestCode)) {
  46.             throw new ValidateCodeException("验证码的值不能为空");
  47.         }
  48.         if (savedCode == null) {
  49.             throw new ValidateCodeException("验证码不存在");
  50.         }
  51.         if (savedCode.isExpried()) {
  52.             throw new ValidateCodeException("验证码过期");
  53.         }
  54.         if (!requestCode.equalsIgnoreCase(savedCode.getCode())) {
  55.             throw new ValidateCodeException("验证码输入错误");
  56.         }
  57.     }
  58. }
复制代码
  1. @Component
  2. public class UserDetailServiceImpl implements UserDetailsService {
  4.     @Autowired
  5.     private PasswordEncoder passwordEncoder;
  7.     @Override
  8.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  9.         if ("root".equals(username)) {
  10.             return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("admin"));
  11.         } else {
  12.             throw new UsernameNotFoundException("用户名不存在");
  13.         }
  14.     }
  15. }
复制代码
设置过滤器次序
  1. @Configuration
  2. public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
  4.     @Autowired
  5.     private AuthenticationSuccessHandlerImpl authenticationSuccessHandler;
  6.     @Autowired
  7.     private AuthenticationFailureHandlerImpl authenticationFailureHandler;
  8.     @Autowired
  9.     private ImageCodeValidateFilter imageCodeValidateFilter; // 自定义过滤器(图形验证码校验)
  10.     @Autowired
  11.     private UserDetailServiceImpl userDetailService;
  13.     /**
  14.      * 密码编码器,密码不能明文存储
  15.      */
  16.     @Bean
  17.     public BCryptPasswordEncoder passwordEncoder() {
  18.         // 使用 BCryptPasswordEncoder 密码编码器,该编码器会将随机产生的 salt 混入最终生成的密文中
  19.         return new BCryptPasswordEncoder();
  20.     }
  22.     @Override
  23.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  24.         auth.userDetailsService(userDetailService).passwordEncoder(passwordEncoder());
  25.     }
  27.     /**
  28.      * 定制基于 HTTP 请求的用户访问控制
  29.      */
  30.     @Override
  31.     protected void configure(HttpSecurity http) throws Exception {
  32.         // 启动 form 表单登录
  33.         http.formLogin()
  34.             // 设置登录页面的访问路径,默认为 /login,GET 请求;该路径不设限访问
  35.             .loginPage("/login/page")
  36.             // 设置登录表单提交路径,默认为 loginPage() 设置的路径,POST 请求
  37.             .loginProcessingUrl("/login/form")
  38.             // 使用自定义的认证成功和失败处理器
  39.             .successHandler(authenticationSuccessHandler)
  40.             .failureHandler(authenticationFailureHandler);
  42.         // 开启基于 HTTP 请求访问控制
  43.         http.authorizeRequests()
  44.             // 以下访问不需要任何权限,任何人都可以访问
  45.             .antMatchers("/login/page", "/code/image").permitAll()
  46.             // 其它任何请求访问都需要先通过认证
  47.             .anyRequest().authenticated();
  49.         // 关闭 csrf 防护
  50.         http.csrf().disable();
  51.         // 将自定义过滤器(图形验证码校验)添加到 UsernamePasswordAuthenticationFilter 之前
  52.         http.addFilterBefore(imageCodeValidateFilter, UsernamePasswordAuthenticationFilter.class);        
  53.     }
  55.     /**
  56.      * 定制一些全局性的安全配置,例如:不拦截静态资源的访问
  57.      */
  58.     @Override
  59.     public void configure(WebSecurity web) throws Exception {
  60.         // 静态资源的访问不需要拦截,直接放行
  61.         web.ignoring().antMatchers("/**/*.css", "/**/*.js", "/**/*.png", "/**/*.jpg", "/**/*.jpeg");
  62.     }
  63. }
复制代码
手机短信验证码

验证流程

带有图形验证码的用户名、密码登录流程:

  • 在 ImageCodeValidateFilter 过滤器中校验用户输入的图形验证码是否正确。
  • 在 UsernamePasswordAuthenticationFilter 过滤器中将 username 和 password 天生一个用于认证的 Token(UsernamePasswordAuthenticationToken),并将其传递给 ProviderManager 接口的实现类 AuthenticationManager。
  • AuthenticationManager 管理器寻找到一个合适的处理器 DaoAuthenticationProvider 来处理 UsernamePasswordAuthenticationToken。
  • DaoAuthenticationProvider 通过 UserDetailsService 接口的实现类 CustomUserDetailsService 从数据库中获取指定 username 的相关信息,并校验用户输入的 password。如果校验乐成,那就认证通过,用户信息类对象 Authentication 标志为已认证。
  • 认证通过后,将已认证的用户信息对象 Authentication 存储到 SecurityContextHolder 中,最终存储到 Session 中。
仿照上述流程,我们分析手机短信验证码登录流程:

  • 仿照 ImageCodeValidateFilter 过滤器设计 MobileVablidateFilter 过滤器,该过滤器用来校验用户输入手机短信验证码。
  • 仿照 UsernamePasswordAuthenticationFilter 过滤器设计 MobileAuthenticationFilter 过滤器,该过滤器将用户输入的手机号天生一个 Token(MobileAuthenticationToken),并将其传递给 ProviderManager 接口的实现类 AuthenticationManager。
  • AuthenticationManager 管理器寻找到一个合适的处理器 MobileAuthenticationProvider 来处理 MobileAuthenticationToken,该处理器是仿照 DaoAuthenticationProvider 进行设计的。
  • MobileAuthenticationProvider 通过 UserDetailsService 接口的实现类 MobileUserDetailsService 从数据库中获取指定手机号对应的用户信息,此处不须要进行任何校验,直接将用户信息类对象 Authentication 标志为已认证。
  • 认证通过后,将已认证的用户信息对象 Authentication 存储到 SecurityContextHolder 中,最终存储到 Session 中,此处的操作不须要我们编写。
末了通过自定义配置类 MobileAuthenticationConfig 组合上述组件,并添加到安全配置类 SpringSecurityConfig 中。

提供短信发送接口
  1. @Controller
  2. public class LoginController {
  4.     // Session 中存储手机短信验证码的属性名
  5.     public static final String MOBILE_SESSION_KEY = "MOBILE_SESSION_KEY";
  7.     @GetMapping("/mobile/page")
  8.     public String mobileLoginPage() {  // 跳转到手机短信验证码登录页面
  9.         return "login-mobile";
  10.     }
  12.     @GetMapping("/code/mobile")
  13.     @ResponseBody
  14.     public Object sendMoblieCode(HttpServletRequest request) {
  15.         // 随机生成一个 4 位的验证码
  16.         String code = RandomStringUtils.randomNumeric(4);
  18.         // 将手机验证码文本存储在 Session 中,设置过期时间为 10 * 60s
  19.         CheckCode mobileCode = new CheckCode(code, 10 * 60);
  20.         request.getSession().setAttribute(MOBILE_SESSION_KEY, mobileCode);
  22.         return mobileCode;
  23.     }   
  24. }
复制代码
  1. <!DOCTYPE html>
  2. <html lang="en" xmlns:th="http://www.thymeleaf.org">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <title>登录页面</title>
  6.    
  7. </head>
  8. <body>
  9.     <form method="post" th:action="@{/mobile/form}">
  10.         <input id="mobile" name="mobile" type="text" placeholder="手机号码">
  12.         
  13.             <input name="mobileCode" type="text" placeholder="验证码">
  14.             <button type="button" id="sendCode">获取验证码</button>
  15.         
  16.         
  17.             用户名或密码错误
  18.         
  19.         <button type="submit">登录</button>
  20.     </form>
  22.    
  23. </body>
  24. </html>
复制代码
自定义短信验证码校验过滤器

更改自定义失败处理器 CustomAuthenticationFailureHandler,原先的处理器在认证失败时,会直接重定向到/login/page?error 显示认证异常信息。现在我们有两种登录方式,应该进行以下处理:

  • 带图形验证码的用户名、密码方式登录方式出现认证异常,重定向到/login/page?error
  • 手机短信验证码方式登录出现认证异常,重定向到/mobile/page?error
  1. /**
  2. * 继承 SimpleUrlAuthenticationFailureHandler 处理器,该类是 failureUrl() 方法使用的认证失败处理器
  3. */
  4. @Component
  5. public class CustomAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
  7.     @Override
  8.     public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
  9.         String xRequestedWith = request.getHeader("x-requested-with");
  10.         // 判断前端的请求是否为 ajax 请求
  11.         if ("XMLHttpRequest".equals(xRequestedWith)) {
  12.             // 认证成功,响应 JSON 数据
  13.             response.setContentType("application/json;charset=utf-8");
  14.             response.getWriter().write("认证失败");
  15.         }else {
  16.             // 用户名、密码方式登录出现认证异常,需要重定向到 /login/page?error
  17.             // 手机短信验证码方式登录出现认证异常,需要重定向到 /mobile/page?error
  18.             // 使用 Referer 获取当前登录表单提交请求是从哪个登录页面(/login/page 或 /mobile/page)链接过来的
  19.             String refer = request.getHeader("Referer");
  20.             String lastUrl = StringUtils.substringBefore(refer, "?");
  21.             // 设置默认的重定向路径
  22.             super.setDefaultFailureUrl(lastUrl + "?error");
  23.             // 调用父类的 onAuthenticationFailure() 方法
  24.             super.onAuthenticationFailure(request, response, e);
  25.         }
  26.     }
  27. }
复制代码
  1. /**
  2. * 手机短信验证码校验
  3. */
  4. @Component
  5. public class MobileCodeValidateFilter extends OncePerRequestFilter {
  7.     private String codeParamter = "mobileCode";  // 前端输入的手机短信验证码参数名
  9.     @Autowired
  10.     private CustomAuthenticationFailureHandler authenticationFailureHandler; // 自定义认证失败处理器
  12.     @Override
  13.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  14.         // 非 POST 方式的手机短信验证码提交请求不进行校验
  15.         if("/mobile/form".equals(request.getRequestURI()) && "POST".equals(request.getMethod())) {
  16.             try {
  17.                 // 检验手机验证码的合法性
  18.                 validate(request);
  19.             } catch (ValidateCodeException e) {
  20.                 // 将异常交给自定义失败处理器进行处理
  21.                 authenticationFailureHandler.onAuthenticationFailure(request, response, e);
  22.                 return;
  23.             }
  24.         }
  25.         // 放行,进入下一个过滤器
  26.         filterChain.doFilter(request, response);
  27.     }
  29.     /**
  30.      * 检验用户输入的手机验证码的合法性
  31.      */
  32.     private void validate(HttpServletRequest request) {
  33.         // 获取用户传入的手机验证码值
  34.         String requestCode = request.getParameter(this.codeParamter);
  35.         if(requestCode == null) {
  36.             requestCode = "";
  37.         }
  38.         requestCode = requestCode.trim();
  40.         // 获取 Session
  41.         HttpSession session = request.getSession();
  42.         // 获取 Session 中存储的手机短信验证码
  43.         CheckCode savedCode = (CheckCode) session.getAttribute(LoginController.MOBILE_SESSION_KEY);
  45.         if (savedCode != null) {
  46.             // 随手清除验证码,无论是失败,还是成功。客户端应在登录失败时刷新验证码
  47.             session.removeAttribute(LoginController.MOBILE_SESSION_KEY);
  48.         }
  50.         // 校验出错,抛出异常
  51.         if (StringUtils.isBlank(requestCode)) {
  52.             throw new ValidateCodeException("验证码的值不能为空");
  53.         }
  54.         if (savedCode == null) {
  55.             throw new ValidateCodeException("验证码不存在");
  56.         }
  57.         if (savedCode.isExpried()) {
  58.             throw new ValidateCodeException("验证码过期");
  59.         }
  60.         if (!requestCode.equalsIgnoreCase(savedCode.getCode())) {
  61.             throw new ValidateCodeException("验证码输入错误");
  62.         }
  63.     }
  64. }
复制代码
自定义短信验证码认证过滤器


  • 仿照 UsernamePasswordAuthenticationToken 类进行编写
  • 仿照 UsernamePasswordAuthenticationFilter 过滤器进行编写
  1. public class MobileAuthenticationToken extends AbstractAuthenticationToken {
  2.     private static final long serialVersionUID = 520L;
  3.     private final Object principal;
  5.     /**
  6.      * 认证前,使用该构造器进行封装信息
  7.      */
  8.     public MobileAuthenticationToken(Object principal) {
  9.         super(null);     // 用户权限为 null
  10.         this.principal = principal;   // 前端传入的手机号
  11.         this.setAuthenticated(false); // 标记为未认证
  12.     }
  14.     /**
  15.      * 认证成功后,使用该构造器封装用户信息
  16.      */
  17.     public MobileAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
  18.         super(authorities);          // 用户权限集合
  19.         this.principal = principal;  // 封装认证用户信息的 UserDetails 对象,不再是手机号
  20.         super.setAuthenticated(true); // 标记认证成功
  21.     }
  23.     @Override
  24.     public Object getCredentials() {
  25.         // 由于使用手机短信验证码登录不需要密码,所以直接返回 null
  26.         return null;
  27.     }
  29.     @Override
  30.     public Object getPrincipal() {
  31.         return this.principal;
  32.     }
  34.     @Override
  35.     public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
  36.         if (isAuthenticated) {
  37.             throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
  38.         } else {
  39.             super.setAuthenticated(false);
  40.         }
  41.     }
  43.     @Override
  44.     public void eraseCredentials() {
  45.         // 手机短信验证码认证方式不必去除额外的敏感信息,所以直接调用父类方法
  46.         super.eraseCredentials();
  47.     }
  48. }
复制代码
  1. /**
  2. * 手机短信验证码认证过滤器,仿照 UsernamePasswordAuthenticationFilter 过滤器编写
  3. */
  4. public class MobileAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
  6.     private String mobileParamter = "mobile";  // 默认手机号参数名为 mobile
  7.     private boolean postOnly = true;    // 默认请求方式只能为 POST
  9.     protected MobileAuthenticationFilter() {
  10.         // 默认登录表单提交路径为 /mobile/form,POST 方式请求
  11.         super(new AntPathRequestMatcher("/mobile/form", "POST"));
  12.     }
  14.     @Override
  15.     public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
  16.         //(1) 默认情况下,如果请求方式不是 POST,会抛出异常
  17.         if(postOnly && !request.getMethod().equals("POST")) {
  18.             throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
  19.         }else {
  20.             //(2) 获取请求携带的 mobile
  21.             String mobile = request.getParameter(mobileParamter);
  22.             if(mobile == null) {
  23.                 mobile = "";
  24.             }
  25.             mobile = mobile.trim();
  27.             //(3) 使用前端传入的 mobile 构造 Authentication 对象,标记该对象未认证
  28.             // MobileAuthenticationToken 是我们自定义的 Authentication 类,后续介绍
  29.             MobileAuthenticationToken authRequest = new MobileAuthenticationToken(mobile);
  30.             //(4) 将请求中的一些属性信息设置到 Authentication 对象中,如:remoteAddress,sessionId
  31.             this.setDetails(request, authRequest);
  32.             //(5) 调用 ProviderManager 类的 authenticate() 方法进行身份认证
  33.             return this.getAuthenticationManager().authenticate(authRequest);
  34.         }
  35.     }
  37.     @Nullable
  38.     protected String obtainMobile(HttpServletRequest request) {
  39.         return request.getParameter(this.mobileParamter);
  40.     }
  42.     protected void setDetails(HttpServletRequest request, MobileAuthenticationToken authRequest) {
  43.         authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
  44.     }
  46.     public void setMobileParameter(String mobileParamter) {
  47.         Assert.hasText(mobileParamter, "Mobile par ameter must not be empty or null");
  48.         this.mobileParamter = mobileParamter;
  49.     }
  51.     public void setPostOnly(boolean postOnly) {
  52.         this.postOnly = postOnly;
  53.     }
  55.     public String getMobileParameter() {
  56.         return mobileParamter;
  57.     }
  58. }
复制代码
自定义短信验证码认证方式配置类


  • 将上述组件进行管理,仿照 SecurityConfigurerAdapter类进行编写
  • 绑定到最终的安全配置类 SpringSecurityConfig 中
  1. public class MobileAuthenticationProvider implements AuthenticationProvider {
  3.     private UserDetailsService userDetailsService;
  4.     protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
  5.     private UserDetailsChecker authenticationChecks = new MobileAuthenticationProvider.DefaultAuthenticationChecks();
  7.     /**
  8.      * 处理认证
  9.      */
  10.     @Override
  11.     public Authentication authenticate(Authentication authentication) throws AuthenticationException {
  12.         //(1) 如果入参的 Authentication 类型不是 MobileAuthenticationToken,抛出异常
  13.         Assert.isInstanceOf(MobileAuthenticationToken.class, authentication, () -> {
  14.             return this.messages.getMessage("MobileAuthenticationProvider.onlySupports", "Only MobileAuthenticationToken is supported");
  15.         });
  17.         // 获取手机号
  18.         String mobile = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
  19.         //(2) 根据手机号从数据库中查询用户信息
  20.         UserDetails user = this.userDetailsService.loadUserByUsername(mobile);
  21.         if (user == null) {
  22.             //(3) 未查询到用户信息,抛出异常
  23.             throw new AuthenticationServiceException("该手机号未注册");
  24.         }
  26.         //(4) 检查账号是否锁定、账号是否可用、账号是否过期、密码是否过期
  27.         this.authenticationChecks.check(user);
  29.         //(5) 查询到了用户信息,则认证通过,构建标记认证成功用户信息类对象 AuthenticationToken
  30.         MobileAuthenticationToken result = new MobileAuthenticationToken(user, user.getAuthorities());
  31.         // 需要把认证前 Authentication 对象中的 details 信息加入认证后的 Authentication
  32.         result.setDetails(authentication.getDetails());
  33.         return result;
  34.     }
  36.     /**
  37.      * ProviderManager 管理器通过此方法来判断是否采用此 AuthenticationProvider 类
  38.      * 来处理由 AuthenticationFilter 过滤器传入的 Authentication 对象
  39.      */
  40.     @Override
  41.     public boolean supports(Class<?> authentication) {
  42.         // isAssignableFrom 返回 true 当且仅当调用者为父类.class,参数为本身或者其子类.class
  43.         // ProviderManager 会获取 MobileAuthenticationFilter 过滤器传入的 Authentication 类型
  44.         // 所以当且仅当 authentication 的类型为 MobileAuthenticationToken 才返回 true
  45.         return MobileAuthenticationToken.class.isAssignableFrom(authentication);
  46.     }
  48.     /**
  49.      * 此处传入自定义的 MobileUserDetailsSevice 对象
  50.      */
  51.     public void setUserDetailsService(UserDetailsService userDetailsService) {
  52.         this.userDetailsService = userDetailsService;
  53.     }
  55.     public UserDetailsService getUserDetailsService() {
  56.         return userDetailsService;
  57.     }
  59.     /**
  60.      * 检查账号是否锁定、账号是否可用、账号是否过期、密码是否过期
  61.      */
  62.     private class DefaultAuthenticationChecks implements UserDetailsChecker {
  63.         private DefaultAuthenticationChecks() {
  64.         }
  66.         @Override
  67.         public void check(UserDetails user) {
  68.             if (!user.isAccountNonLocked()) {
  69.                 throw new LockedException(MobileAuthenticationProvider.this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.locked", "User account is locked"));
  70.             } else if (!user.isEnabled()) {
  71.                 throw new DisabledException(MobileAuthenticationProvider.this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.disabled", "User is disabled"));
  72.             } else if (!user.isAccountNonExpired()) {
  73.                 throw new AccountExpiredException(MobileAuthenticationProvider.this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.expired", "User account has expired"));
  74.             } else if (!user.isCredentialsNonExpired()) {
  75.                 throw new CredentialsExpiredException(MobileAuthenticationProvider.this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.credentialsExpired", "User credentials have expired"));
  76.             }
  77.         }
  78.     }
  79. }
复制代码
  1. @Service
  2. public class MobileUserDetailsService implements UserDetailsService {
  4.     @Autowired
  5.     private UserMapper userMapper;
  7.     @Override
  8.     public UserDetails loadUserByUsername(String mobile) throws UsernameNotFoundException {
  9.         //(1) 从数据库尝试读取该用户
  10.         User user = userMapper.selectByMobile(mobile);
  11.         // 用户不存在,抛出异常
  12.         if (user == null) {
  13.             throw new UsernameNotFoundException("用户不存在");
  14.         }
  16.         //(2) 将数据库形式的 roles 解析为 UserDetails 的权限集合
  17.         // AuthorityUtils.commaSeparatedStringToAuthorityList() 是 Spring Security 提供的方法,用于将逗号隔开的权限集字符串切割为可用权限对象列表
  18.         user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));
  20.         //(3) 返回 UserDetails 对象
  21.         return user;
  22.     }
  23. }
复制代码


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

莱莱

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表