本篇文章為大家展示了怎么在SpringBoot中使用SpringSecurity 實(shí)現(xiàn)短信驗(yàn)證碼登錄功能���,內(nèi)容簡(jiǎn)明扼要并且容易理解,絕對(duì)能使你眼前一亮���,通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲���。
成都創(chuàng)新互聯(lián)公司于2013年開(kāi)始,先為蘭西等服務(wù)建站����,蘭西等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)�����。為蘭西企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題���。
實(shí)現(xiàn)原理
在之前的文章中���,我們介紹了普通的帳號(hào)密碼登錄的方式: SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置。 但是現(xiàn)在還有一種常見(jiàn)的方式��,就是直接通過(guò)手機(jī)短信驗(yàn)證碼登錄��,這里就需要自己來(lái)做一些額外的工作了��。
對(duì)SpringSecurity認(rèn)證流程詳解有一定了解的都知道�����,在帳號(hào)密碼認(rèn)證的過(guò)程中�,涉及到了以下幾個(gè)類:UsernamePasswordAuthenticationFilter(用于請(qǐng)求參數(shù)獲取)�����,UsernamePasswordAuthenticationToken(表示用戶登錄信息),ProviderManager(進(jìn)行認(rèn)證校驗(yàn))����,
因?yàn)槭峭ㄟ^(guò)的短信驗(yàn)證碼登錄,所以我們需要對(duì)請(qǐng)求的參數(shù)����,認(rèn)證過(guò)程,用戶登錄Token信息進(jìn)行一定的重寫(xiě)��。
當(dāng)然驗(yàn)證碼的過(guò)程我們應(yīng)該放在最前面�,如果圖形驗(yàn)證碼的實(shí)現(xiàn)一樣。這樣的做法的好處是:將驗(yàn)證碼認(rèn)證該過(guò)程解耦出來(lái)����,讓其他接口也可以使用到。
基本實(shí)現(xiàn)
驗(yàn)證碼校驗(yàn)
短信驗(yàn)證碼的功能實(shí)現(xiàn)�,其實(shí)和圖形驗(yàn)證碼的原理是一樣的。只不過(guò)一個(gè)是返回給前端一個(gè)圖片��,一個(gè)是給用戶發(fā)送短消息���,這里只需要去調(diào)用一下短信服務(wù)商的接口就好了�����。更多的原理可以參考 SpringBoot + SpringSecurity 實(shí)現(xiàn)圖形驗(yàn)證碼功能
AuthenticationToken
在使用帳號(hào)密碼登錄的時(shí)候��,UsernamePasswordAuthenticationToken里面包含了用戶的帳號(hào)����,密碼�����,以及其他的是否可用等狀態(tài)信息����。我們是通過(guò)手機(jī)短信來(lái)做登錄,所以就沒(méi)有密碼了�,這里我們就直接將UsernamePasswordAuthenticationToken的代碼copy過(guò)來(lái),把密碼相關(guān)的信息去掉就可以了
public class SmsCodeAuthenticationToken extends AbstractAuthenticationToken {
private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
private final Object principal;
public SmsCodeAuthenticationToken(String mobile) {
super(null);
this.principal = mobile;
setAuthenticated(false);
}
public SmsCodeAuthenticationToken(Object principal,
Collection authorities) {
super(authorities);
this.principal = principal;
super.setAuthenticated(true); // must use super, as we override
}
public Object getCredentials() {
return null;
}
public Object getPrincipal() {
return this.principal;
}
public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
if (isAuthenticated) {
throw new IllegalArgumentException(
"Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
}
super.setAuthenticated(false);
}
@Override
public void eraseCredentials() {
super.eraseCredentials();
}
}AuthenticationFilter
在帳戶密碼登錄的流程中��,默認(rèn)使用的是UsernamePasswordAuthenticationFilter��,它的作用是從請(qǐng)求中獲取帳戶����、密碼,請(qǐng)求方式校驗(yàn),生成AuthenticationToken�����。這里我們的參數(shù)是有一定改變的��,所以還是老方法�����,copy過(guò)來(lái)進(jìn)行簡(jiǎn)單的修改
public class SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
// 請(qǐng)求參數(shù)key
private String mobileParameter = SecurityConstants.DEFAULT_PARAMETER_NAME_MOBILE;
// 是否只支持POST
private boolean postOnly = true;
public SmsCodeAuthenticationFilter() {
// 請(qǐng)求接口的url
super(new AntPathRequestMatcher(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE, "POST"));
}
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException {
if (postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
}
// 根據(jù)請(qǐng)求參數(shù)名��,獲取請(qǐng)求value
String mobile = obtainMobile(request);
if (mobile == null) {
mobile = "";
}
mobile = mobile.trim();
// 生成對(duì)應(yīng)的AuthenticationToken
SmsCodeAuthenticationToken authRequest = new SmsCodeAuthenticationToken(mobile);
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
/**
* 獲取手機(jī)號(hào)
*/
protected String obtainMobile(HttpServletRequest request) {
return request.getParameter(mobileParameter);
}
// 省略不相關(guān)代碼
}Provider
在帳號(hào)密碼登錄的過(guò)程中���,密碼的正確性以及帳號(hào)是否可用是通過(guò)DaoAuthenticationProvider來(lái)校驗(yàn)的�����。我們也應(yīng)該自己實(shí)現(xiàn)一個(gè)Provier
public class SmsCodeAuthenticationProvider implements AuthenticationProvider {
private UserDetailsService userDetailsService;
/**
* 身份邏輯驗(yàn)證
* @param authentication
* @return
* @throws AuthenticationException
*/
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
SmsCodeAuthenticationToken authenticationToken = (SmsCodeAuthenticationToken) authentication;
UserDetails user = userDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal());
if (user == null) {
throw new InternalAuthenticationServiceException("無(wú)法獲取用戶信息");
}
SmsCodeAuthenticationToken authenticationResult = new SmsCodeAuthenticationToken(user, user.getAuthorities());
authenticationResult.setDetails(authenticationToken.getDetails());
return authenticationResult;
}
@Override
public boolean supports(Class authentication) {
return SmsCodeAuthenticationToken.class.isAssignableFrom(authentication);
}
public UserDetailsService getUserDetailsService() {
return userDetailsService;
}
public void setUserDetailsService(UserDetailsService userDetailsService) {
this.userDetailsService = userDetailsService;
}
}配置
主要的認(rèn)證流程就是通過(guò)以上四個(gè)過(guò)程實(shí)現(xiàn)的���, 這里我們?cè)俳邓鼈兣渲靡幌戮涂梢粤?/p>
@Component
public class SmsCodeAuthenticationSecurityConfig extends SecurityConfigurerAdapter {
@Autowired
private AuthenticationSuccessHandler myAuthenticationSuccessHandler;
@Autowired
private AuthenticationFailureHandler myAuthenticationFailureHandler;
@Autowired
private UserDetailsService userDetailsService;
@Override
public void configure(HttpSecurity http) throws Exception {
SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
smsCodeAuthenticationFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);
SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
smsCodeAuthenticationProvider.setUserDetailsService(userDetailsService);
http.authenticationProvider(smsCodeAuthenticationProvider)
.addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
}
}
// BrowerSecurityConfig.java
@Override
protected void configure(HttpSecurity http) throws Exception {
http.apply(smsCodeAuthenticationSecurityConfig);
}
上述內(nèi)容就是怎么在SpringBoot中使用SpringSecurity 實(shí)現(xiàn)短信驗(yàn)證碼登錄功能,你們學(xué)到知識(shí)或技能了嗎����?如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備����,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道����。
本文標(biāo)題:怎么在SpringBoot中使用SpringSecurity實(shí)現(xiàn)短信驗(yàn)證碼登錄功能
URL標(biāo)題:
http://weahome.cn/article/ipcdsc.html
重慶分公司
重慶分公司
