首页 > 编程开发 > Java

Spring Security OAuth 自定义授权方式实现手机验证码

来自:网络
时间:2021-03-07
阅读:

Spring Security OAuth 默认提供OAuth2.0 的四大基本授权方式(authorization_code\implicit\password\client_credential),除此之外我们也能够自定义授权方式。

先了解一下Spring Security OAuth提供的两个默认 Endpoints,一个是AuthorizationEndpoint,这个是仅用于授权码(authorization_code)和简化(implicit)模式的。另外一个是TokenEndpoint,用于OAuth2授权时下发Token,根据授予类型(GrantType)的不同而执行不同的验证方式。

OAuth2协议这里就不做过多介绍了,比较重要的一点是理解认证中各个角色的作用,以及认证的目的(获取用户信息或是具备使用API的权限)。例如在authorization_code模式下,用户(User)在认证服务的网站上进行登录,网站跳转回第三方应用(Client),第三方应用通过Secret和Code换取Token后向资源服务请求用户信息;而在client_credential模式下,第三方应用通过Secret直接获得Token后可以直接利用其访问资源API。所以我们应该根据实际的情景选择适合的认证模式。

对于手机验证码的认证模式,我们首先提出短信验证的通常需求:

每发一次验证码只能尝试验证5次,防止暴力破解 限制验证码发送频率,单个用户(这里简单使用手机号区分)1分钟1条,24小时x条 限制验证码有效期,15分钟

我们根据业务需求构造出对应的模型:

@Data
public class SmsVerificationModel {

  /**
   * 手机号
   */
  private String phoneNumber;

  /**
   * 验证码
   */
  private String captcha;

  /**
   * 本次验证码验证失败次数,防止暴力尝试
   */
  private Integer failCount;

  /**
   * 该user当日尝试次数,防止滥发短信
   */
  private Integer dailyCount;

  /**
   * 限制短信发送频率和实现验证码有效期
   */
  private Date lastSentTime;

  /**
   * 是否验证成功
   */
  private Boolean verified = false;

}

我们预想的认证流程:

Spring Security OAuth 自定义授权方式实现手机验证码

接下来要对Spring Security OAuth进行定制,这里直接仿照一个比较相似的password模式,首先需要编写一个新的TokenGranter,处理sms类型下的TokenRequest,这个SmsTokenGranter会生成SmsAuthenticationToken,并将AuthenticationToken交由SmsAuthenticationProvider进行验证,验证成功后生成通过验证的SmsAuthenticationToken,完成Token的颁发。

public class SmsTokenGranter extends AbstractTokenGranter {
  private static final String GRANT_TYPE = "sms";

  private final AuthenticationManager authenticationManager;

  public SmsTokenGranter(AuthenticationManager authenticationManager, AuthorizationServerTokenServices tokenServices,
              ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory){
    super(tokenServices, clientDetailsService, requestFactory, GRANT_TYPE);
    this.authenticationManager = authenticationManager;
  }

  @Override
  protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
    Map<String, String> parameters = new LinkedHashMap<>(tokenRequest.getRequestParameters());
    String phone = parameters.get("phone");
    String code = parameters.get("code");

    Authentication userAuth = new SmsAuthenticationToken(phone, code);
    try {
      userAuth = authenticationManager.authenticate(userAuth);
    }
    catch (AccountStatusException ase) {
      throw new InvalidGrantException(ase.getMessage());
    }
    catch (BadCredentialsException e) {
      throw new InvalidGrantException(e.getMessage());
    }
    if (userAuth == null || !userAuth.isAuthenticated()) {
      throw new InvalidGrantException("Could not authenticate user: " + username);
    }

    OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
    return new OAuth2Authentication(storedOAuth2Request, userAuth);
  }
}

对应的SmsAuthenticationToken,其中一个构造方法是认证后的。

public class SmsAuthenticationToken extends AbstractAuthenticationToken {

  private final Object principal;
  private Object credentials;

  public SmsAuthenticationToken(Object principal, Object credentials) {
    super(null);
    this.credentials = credentials;
    this.principal = principal;
  }

  public SmsAuthenticationToken(Object principal, Object credentials,
                        Collection<? extends GrantedAuthority> authorities) {
    super(authorities);
    this.principal = principal;
    this.credentials = credentials;
    // 表示已经认证
    super.setAuthenticated(true);
  }
 ...
}

SmsAuthenticationProvider是仿照AbstractUserDetailsAuthenticationProvider编写的,这里仅仅列出核心部分。

public class SmsAuthenticationProvider implements AuthenticationProvider {

  @Override
  public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
   String username = authentication.getName();
   UserDetails user = retrieveUser(username);

   preAuthenticationChecks.check(user);
   String phoneNumber = authentication.getPrincipal().toString();
   String code = authentication.getCredentials().toString();
   // 尝试从Redis中取出Model
   SmsVerificationModel verificationModel =
        Optional.ofNullable(
            redisService.get(SMS_REDIS_PREFIX + phoneNumber, SmsVerificationModel.class))
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_VERIFY_BEFORE_SEND));
  // 判断短信验证次数
   Optional.of(verificationModel).filter(x -> x.getFailCount() < SMS_VERIFY_FAIL_MAX_TIMES)
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_VERIFY_COUNT_EXCEED));

   Optional.of(verificationModel).map(SmsVerificationModel::getLastSentTime)
        // 验证码发送15分钟内有效,等价于发送时间加上15分钟晚于当下
        .filter(x -> DateUtils.addMinutes(x,15).after(new Date()))
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_CODE_EXPIRED));

   verificationModel.setVerified(Objects.equals(code, verificationModel.getCaptcha()));
   verificationModel.setFailCount(verificationModel.getFailCount() + 1);

   redisService.set(SMS_REDIS_PREFIX + phoneNumber, verificationModel, 1, TimeUnit.DAYS);

   if(!verificationModel.getVerified()){
      throw new BusinessException(OAuthError.SmsCodeWrong);
   }

    postAuthenticationChecks.check(user);

    return createSuccessAuthentication(user, authentication, user);
  }
  ...

接下来要通过配置启用我们定制的类,首先配置AuthorizationServerEndpointsConfigurer,添加上我们的TokenGranter,然后是AuthenticationManagerBuilder,添加我们的AuthenticationProvider。

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

  @Override
  public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    security
        .passwordEncoder(passwordEncoder)
        .checkTokenAccess("isAuthenticated()")
        .tokenKeyAccess("permitAll()")
        // 允许使用Query字段验证客户端,即client_id/client_secret 能够放在查询参数中
        .allowFormAuthenticationForClients();
  }

  @Override
  public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

    endpoints.authenticationManager(authenticationManager)
        .userDetailsService(userDetailsService)
        .tokenStore(tokenStore);
    List<TokenGranter> tokenGranters = new ArrayList<>();

    tokenGranters.add(new AuthorizationCodeTokenGranter(endpoints.getTokenServices(), endpoints.getAuthorizationCodeServices(), clientDetailsService,
        endpoints.getOAuth2RequestFactory()));
  ...
    tokenGranters.add(new SmsTokenGranter(authenticationManager, endpoints.getTokenServices(),
        clientDetailsService, endpoints.getOAuth2RequestFactory()));

    endpoints.tokenGranter(new CompositeTokenGranter(tokenGranters));
  }

}

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 ...
  @Override
  protected void configure(AuthenticationManagerBuilder auth) {
    auth.authenticationProvider(daoAuthenticationProvider());
  }

  @Bean
  public AuthenticationProvider smsAuthenticationProvider(){
    SmsAuthenticationProvider smsAuthenticationProvider = new SmsAuthenticationProvider();
    smsAuthenticationProvider.setUserDetailsService(userDetailsService);
    smsAuthenticationProvider.setSmsAuthService(smsAuthService);
    return smsAuthenticationProvider;
  }
}

那么短信验证码授权的部分就到这里了,最后还有一个发送短信的接口,这里就不展示了。

最后测试一下,curl --location --request POST 'http://localhost:8080/oauth/token?grant_type=sms&client_id=XXX&phone=手机号&code=验证码' ,成功。

{
  "access_token": "39bafa9a-7e5b-4ba4-9eda-e307ac98aad1",
  "token_type": "bearer",
  "expires_in": 3599,
  "scope": "ALL"
}
最新文章 相关文章

Spring Cloud Config:配置管理的艺术,让你的应用弹性十足

spring cloud Config:配置管理的艺术php小编苹果为您介绍Spring Cloud Config——一门配置管理的艺术。通过Spring Cloud Config,您可以实现配置的集中管理和动态刷

2024-03-17 01:57:39

Java RESTful API 与大数据分析的结合:解锁数据洞察力的强大潜力

Java RESTful API 与大数据分析的结合,为数据洞察力的提升带来了强大潜力。php小编子墨将为大家深度剖析这一融合应用的优势及技术实现,帮助读者更好地理解如何利用Java RESTf

2024-03-17 01:57:21

Java 封装与继承的陷阱和最佳实践:避免常见的错误

過度封裝:過度限制資料和方法的存取會導致程式碼變得僵化和難以維護。應適度地提供存取,同時保持資料的完整性。 無效封裝:無效封裝會允許未經授權的存取,從而導致資料洩露和安

2024-03-17 01:53:54

Java 线程池实战:提升程序性能与效率

Java 线程池是一种管理线程的机制,有助于提升并发程序的性能和效率。通过集中管理线程资源,线程池可以避免线程创建和销毁的开销,减少内存消耗,并提高代码的可维护性。创建线程

2024-03-17 01:53:33

MapStructPlus 1.4.0 发布,体积更轻量!性能更强!

MapStruct Plus 是 MapStruct 的增强工具,在 Mapstruct 的基础上,实现了自动生成 Mapper 接口的功能,并强化了部分功能,使 Java 类型转换更加便捷、优雅。MapStructPlus官网此次

2024-03-17 01:39:15

JVM内存结构

我们都知道,我们写的Java程序需要先经过编译,生成了.class文件(字节码文件)。然而,计算机并不能直接解释.class文件里面的内容,这时候就需要一个能加载、解释.class文件并且能按.c

2024-03-15 20:58:13

Spring状态机(FSM),让订单状态流转如丝般顺滑

引言在复杂的应用程序设计中,尤其是那些涉及多个状态变迁和业务流程控制的场景,有限状态机(Finite State Machine, FSM)是一种强大而有效的建模工具。Spring框架为此提供了Sprin

2024-03-12 12:05:41

『Java 语法基础』面向对象有哪些特性

面向对象编程(OOP) 是一个将现实世界抽象为一系列对象的编程范式,这些对象通过消息传递机制来互相交流和协作。OOP 的主要特性包括四个基本概念:封装(Encapsulation)、继承(Inherit

2024-03-11 18:44:45

Spring动态定时任务之ScheduledTaskRegistrar

前言​ 在做SpringBoot项目的过程中,有时客户会提出按照指定时间执行一次业务的需求。​ 如果客户需要改动业务的执行时间,即动态地调整定时任务的执行时间,那么可以采用Spring

2024-03-11 18:39:05

分享 Java 开发中常用到的设计模式

前言不知道大家在开发的时候,有没有想过(遇到)这些问题: 大家都是按需要开发,都是一个职级的同事,为什么有些人的思路就很清晰,代码也很整洁、易懂;而自己开发,往往不知道怎么下手设

2024-03-11 18:38:21

Java 实际开发中积累的几个小技巧

目录 前言 一、枚举类的注解 二、RESTful 接口 三、类属性转换 四、Stream 流 五、判空和断言 5.1判空部分 5.2断言部分 文章小结 前言笔者目前从事一线 Java 开发今年

2024-03-11 18:37:52

Java 互联网项目如何防止集合堆内存溢出(一)

目录 前言 一、代码优化 1.1Stream 流自分页 1.2数据库分页 1.3其它思考 二、硬件配置 2.1云服务器配置 三、文章小结 前言OOM 几乎是笔者工作中遇到的线上 bug 中

2024-03-11 18:37:25

日常工作中关于 JSON 转换的经验大全(Java)

目录 前言 一、JSON 回顾 1.1结构形式 二、其它类型 -> JSON相关 2.1 JavaBean 转 JsonObject 2.2 JavaBean 转 Json 字符串 2.3 List 转 JsonArray 2.4 List 转Jso

2024-03-11 18:36:19

从零开始学Spring Boot系列-集成mybatis

在Spring Boot的应用开发中,MyBatis是一个非常流行的持久层框架,它支持定制化SQL、存储过程以及高级映射。在本篇文章中,我们将学习如何在Spring Boot项目中集成MyBatis,以便通

2024-03-11 00:05:13

Jpackage-制作无需预装Java环境的Jar可执行程序

JAR 包要在预装 JRE 环境的系统上执行。如果没有预先安装 JRE 环境,又想直接运行 Java 程序,该怎么办呢?这篇文章我们会先学习如何将 Java 程序打包成一个可执行的 Java JAR 文

2024-03-08 22:43:01

Java 8 Supplier函数式接口介绍及代码样例

介绍供应商接口(Supplier Interface)是 Java 8 引入的 java.util.function 包的一部分,用于在 Java 中实现函数式编程。它表示一个函数,该函数不接收任何参数,但会产生一个类型为

2024-03-08 22:31:58

Java核心之细说泛型

泛型是什么?等你使用java逐渐深入以后会了解或逐步使用到Java泛型。Java 中的泛型是 JDK 5 中引入的功能之一。"Java 泛型 "是一个技术术语,表示一组与定义和使用泛型类型和方

2024-03-08 22:30:26

从零开始搭建Springboot开发环境(Java8+Git+Maven+MySQL+Idea)之一步到位

说明所谓万事开头难,对于初学Java和Springboot框架的小伙伴往往会花不少时间在开发环境搭建上面。究其原因其实还是不熟悉,作为在IT界摸爬滚打数年的老司机,对于各种开发环境搭

2024-03-07 01:02:41

接口 vs. 抽象类:揭开 Java 世界中的神秘面纱

小编带您揭开Java世界中的神秘面纱:接口与抽象类。面向对象编程中,接口与抽象类是常用的概念,但它们的区别与应用场景常让人困惑。通过本文,您将了解到接口与抽象类的定义、特点

2024-03-05 23:25:48

解密MyBatis操作过程:深入探讨ORM框架的关键原理

ORM(Object-Relational Mapping)是一种将对象模型和关系数据库之间的映射的技术,它让我们可以通过面向对象的方式操作数据库,避免了繁琐的SQL语句编写,提高了开发效率。MyBatis是

2024-03-05 23:25:29

Java Lambda 表达式与传统编程范式的比较:函数式编程的优势与劣势

Java Lambda 表达式简介Java Lambda表达式是Java 8引入的函数式编程特性,与传统编程范式相比,具有独特的优势和劣势。通过Lambda表达式,Java可以更简洁地实现函数式编程,提高代

2024-03-05 23:25:10

Lambda表达式在Java中的奇妙之旅:函数式编程的实践指南!

php小编西瓜带你探索Lambda表达式在Java中的奇妙之旅!本文将为您提供函数式编程的实践指南,深入剖析Lambda表达式在Java中的应用场景和优势,帮助您更好地理解和运用这一强大的

2024-03-05 23:24:50

Java JNDI 性能优化技巧:如何提高 Java JNDI 的性能和效率

1. 使用连接池Java JNDI(Java Naming and Directory Interface)是Java中用于访问命名和目录服务的API。在实际开发中,优化Java JNDI性能是非常重要的,可以提高系统的效率和响应

2024-03-05 23:24:31

Java JNDI 与 Spring 集成的秘诀:揭秘 Java JNDI 与 Spring 框架的无缝协作

Java JNDI 与 spring 集成的优势php小编西瓜带你揭秘Java JNDI与Spring框架的无缝协作。Java Naming and Directory Interface(JNDI)是Java平台提供的一种API,可用于访问各种命

2024-03-05 23:24:12

深度探究MyBatis的一对多查询配置:灵活运用关联查询

MyBatis是一个优秀的持久层框架,它不仅简化了数据库操作,还提供了强大的查询功能。在实际开发中,经常会涉及到多表关联查询的情况,而MyBatis通过配置一对多查询可以轻松实现这种

2024-03-05 23:23:51

深入解析MyBatis一对多查询配置:提升SQL语句执行效率

MyBatis是一款非常流行的持久层框架,其灵活的SQL映射和强大的查询功能使得开发人员可以轻松地处理复杂的数据操作。在实际开发中,经常会遇到一对多查询的场景,即一个主体对象对

2024-03-05 23:23:34

一文讲明白Java中线程与进程、并发与并行、同步与异步

写在开头ok,everybody,在过去的两周内,我们大体上讲完了Java的集合,在最后我们探讨了关于HashMap线程不安全的原因,又提出了ConcurrentHashMap这个线程安全的集合解决方案,那么在

2024-03-05 23:09:48

从零开始学Spring Boot系列-前言

在数字化和信息化的时代,Java作为一种成熟、稳定且广泛应用的编程语言,已经成为构建企业级应用的首选。而在Java生态系统中,Spring框架无疑是其中最为耀眼的一颗明星。它提供了

2024-03-03 22:52:19

在 Spring Boot 3.x 中使用 SpringDoc 2 / Swagger V3

SpringDoc V1 只支持到 Spring Boot 2.xspringdoc-openapi v1.7.0 is the latest Open Source release supporting Spring Boot 2.x and 1.x.Spring Boot 3.x 要用 SpringDo

2024-03-01 20:25:28

Java HashMap 详解

HashMapHashMap 继承自 AbstractMap,实现了 Map 接口,基于哈希表实现,元素以键值对的方式存储,允许键和值为 null。因为 key 不允许重复,因此只能有一个键为 null。HashMap 不能

2024-03-01 00:00:17

热点内容

IDEA 2020.3最新永久激活码(免费激活到 2099 年,亲测有效)
2021-02-06
IDEA2020.2.2激活与IntelliJ IDEA2020注册码及IntelliJ全家桶激活码的详细教程(有你足
2020-09-18
解决IDEA 2020.3 lombok失效问题
2020-12-12
springboot yml定义属性,下文中${} 引用说明
2020-05-05
java怎么判断两个集合之间是否有交集
2020-11-20
Java8使用stream实现list中对象属性的合并(去重并求和)
2021-01-09
mybatis-plus 版本不兼容问题的解决
2020-09-25
基于redis setIfAbsent的使用说明
2021-02-06
关于IDEA中spring-cloud-starter-alibaba-nacos-discovery 无法引入问题
2021-03-07
java简短表白代码是什么
2020-09-27
返回顶部
顶部