欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Security OAuth 自定義授權(quán)方式實現(xiàn)手機驗證碼

 更新時間:2021年02月01日 10:13:38   作者:Nosa  
這篇文章主要介紹了Spring Security OAuth 自定義授權(quán)方式實現(xiàn)手機驗證碼,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

Spring Security OAuth 默認提供OAuth2.0 的四大基本授權(quán)方式(authorization_code\implicit\password\client_credential),除此之外我們也能夠自定義授權(quán)方式。

先了解一下Spring Security OAuth提供的兩個默認 Endpoints,一個是AuthorizationEndpoint,這個是僅用于授權(quán)碼(authorization_code)和簡化(implicit)模式的。另外一個是TokenEndpoint,用于OAuth2授權(quán)時下發(fā)Token,根據(jù)授予類型(GrantType)的不同而執(zhí)行不同的驗證方式。

OAuth2協(xié)議這里就不做過多介紹了,比較重要的一點是理解認證中各個角色的作用,以及認證的目的(獲取用戶信息或是具備使用API的權(quán)限)。例如在authorization_code模式下,用戶(User)在認證服務的網(wǎng)站上進行登錄,網(wǎng)站跳轉(zhuǎn)回第三方應用(Client),第三方應用通過Secret和Code換取Token后向資源服務請求用戶信息;而在client_credential模式下,第三方應用通過Secret直接獲得Token后可以直接利用其訪問資源API。所以我們應該根據(jù)實際的情景選擇適合的認證模式。

對于手機驗證碼的認證模式,我們首先提出短信驗證的通常需求:

  • 每發(fā)一次驗證碼只能嘗試驗證5次,防止暴力破解
  • 限制驗證碼發(fā)送頻率,單個用戶(這里簡單使用手機號區(qū)分)1分鐘1條,24小時x條
  • 限制驗證碼有效期,15分鐘

我們根據(jù)業(yè)務需求構(gòu)造出對應的模型:

@Data
public class SmsVerificationModel {

  /**
   * 手機號
   */
  private String phoneNumber;

  /**
   * 驗證碼
   */
  private String captcha;

  /**
   * 本次驗證碼驗證失敗次數(shù),防止暴力嘗試
   */
  private Integer failCount;

  /**
   * 該user當日嘗試次數(shù),防止濫發(fā)短信
   */
  private Integer dailyCount;

  /**
   * 限制短信發(fā)送頻率和實現(xiàn)驗證碼有效期
   */
  private Date lastSentTime;

  /**
   * 是否驗證成功
   */
  private Boolean verified = false;

}

我們預想的認證流程:

接下來要對Spring Security OAuth進行定制,這里直接仿照一個比較相似的password模式,首先需要編寫一個新的TokenGranter,處理sms類型下的TokenRequest,這個SmsTokenGranter會生成SmsAuthenticationToken,并將AuthenticationToken交由SmsAuthenticationProvider進行驗證,驗證成功后生成通過驗證的SmsAuthenticationToken,完成Token的頒發(fā)。

public class SmsTokenGranter extends AbstractTokenGranter {
  private static final String GRANT_TYPE = "sms";

  private final AuthenticationManager authenticationManager;

  public SmsTokenGranter(AuthenticationManager authenticationManager, AuthorizationServerTokenServices tokenServices,
              ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory){
    super(tokenServices, clientDetailsService, requestFactory, GRANT_TYPE);
    this.authenticationManager = authenticationManager;
  }

  @Override
  protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
    Map<String, String> parameters = new LinkedHashMap<>(tokenRequest.getRequestParameters());
    String phone = parameters.get("phone");
    String code = parameters.get("code");

    Authentication userAuth = new SmsAuthenticationToken(phone, code);
    try {
      userAuth = authenticationManager.authenticate(userAuth);
    }
    catch (AccountStatusException ase) {
      throw new InvalidGrantException(ase.getMessage());
    }
    catch (BadCredentialsException e) {
      throw new InvalidGrantException(e.getMessage());
    }
    if (userAuth == null || !userAuth.isAuthenticated()) {
      throw new InvalidGrantException("Could not authenticate user: " + username);
    }

    OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
    return new OAuth2Authentication(storedOAuth2Request, userAuth);
  }
}

對應的SmsAuthenticationToken,其中一個構(gòu)造方法是認證后的。

public class SmsAuthenticationToken extends AbstractAuthenticationToken {

  private final Object principal;
  private Object credentials;

  public SmsAuthenticationToken(Object principal, Object credentials) {
    super(null);
    this.credentials = credentials;
    this.principal = principal;
  }

  public SmsAuthenticationToken(Object principal, Object credentials,
                        Collection<? extends GrantedAuthority> authorities) {
    super(authorities);
    this.principal = principal;
    this.credentials = credentials;
    // 表示已經(jīng)認證
    super.setAuthenticated(true);
  }
 ...
}

SmsAuthenticationProvider是仿照AbstractUserDetailsAuthenticationProvider編寫的,這里僅僅列出核心部分。

public class SmsAuthenticationProvider implements AuthenticationProvider {

  @Override
  public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
   String username = authentication.getName();
   UserDetails user = retrieveUser(username);

   preAuthenticationChecks.check(user);
   String phoneNumber = authentication.getPrincipal().toString();
   String code = authentication.getCredentials().toString();
   // 嘗試從Redis中取出Model
   SmsVerificationModel verificationModel =
        Optional.ofNullable(
            redisService.get(SMS_REDIS_PREFIX + phoneNumber, SmsVerificationModel.class))
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_VERIFY_BEFORE_SEND));
  // 判斷短信驗證次數(shù)
   Optional.of(verificationModel).filter(x -> x.getFailCount() < SMS_VERIFY_FAIL_MAX_TIMES)
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_VERIFY_COUNT_EXCEED));

   Optional.of(verificationModel).map(SmsVerificationModel::getLastSentTime)
        // 驗證碼發(fā)送15分鐘內(nèi)有效,等價于發(fā)送時間加上15分鐘晚于當下
        .filter(x -> DateUtils.addMinutes(x,15).after(new Date()))
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_CODE_EXPIRED));

   verificationModel.setVerified(Objects.equals(code, verificationModel.getCaptcha()));
   verificationModel.setFailCount(verificationModel.getFailCount() + 1);

   redisService.set(SMS_REDIS_PREFIX + phoneNumber, verificationModel, 1, TimeUnit.DAYS);

   if(!verificationModel.getVerified()){
      throw new BusinessException(OAuthError.SmsCodeWrong);
   }

    postAuthenticationChecks.check(user);

    return createSuccessAuthentication(user, authentication, user);
  }
  ...

接下來要通過配置啟用我們定制的類,首先配置AuthorizationServerEndpointsConfigurer,添加上我們的TokenGranter,然后是AuthenticationManagerBuilder,添加我們的AuthenticationProvider。

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

  @Override
  public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    security
        .passwordEncoder(passwordEncoder)
        .checkTokenAccess("isAuthenticated()")
        .tokenKeyAccess("permitAll()")
        // 允許使用Query字段驗證客戶端,即client_id/client_secret 能夠放在查詢參數(shù)中
        .allowFormAuthenticationForClients();
  }

  @Override
  public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

    endpoints.authenticationManager(authenticationManager)
        .userDetailsService(userDetailsService)
        .tokenStore(tokenStore);
    List<TokenGranter> tokenGranters = new ArrayList<>();

    tokenGranters.add(new AuthorizationCodeTokenGranter(endpoints.getTokenServices(), endpoints.getAuthorizationCodeServices(), clientDetailsService,
        endpoints.getOAuth2RequestFactory()));
  ...
    tokenGranters.add(new SmsTokenGranter(authenticationManager, endpoints.getTokenServices(),
        clientDetailsService, endpoints.getOAuth2RequestFactory()));

    endpoints.tokenGranter(new CompositeTokenGranter(tokenGranters));
  }

}

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 ...
  @Override
  protected void configure(AuthenticationManagerBuilder auth) {
    auth.authenticationProvider(daoAuthenticationProvider());
  }

  @Bean
  public AuthenticationProvider smsAuthenticationProvider(){
    SmsAuthenticationProvider smsAuthenticationProvider = new SmsAuthenticationProvider();
    smsAuthenticationProvider.setUserDetailsService(userDetailsService);
    smsAuthenticationProvider.setSmsAuthService(smsAuthService);
    return smsAuthenticationProvider;
  }
}

那么短信驗證碼授權(quán)的部分就到這里了,最后還有一個發(fā)送短信的接口,這里就不展示了。

最后測試一下,curl --location --request POST 'http://localhost:8080/oauth/token?grant_type=sms&client_id=XXX&phone=手機號&code=驗證碼' ,成功。

{
  "access_token": "39bafa9a-7e5b-4ba4-9eda-e307ac98aad1",
  "token_type": "bearer",
  "expires_in": 3599,
  "scope": "ALL"
}

到此這篇關于Spring Security OAuth 自定義授權(quán)方式實現(xiàn)手機驗證碼的文章就介紹到這了,更多相關Spring Security OAuth手機驗證碼內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • 解決javac不是內(nèi)部或外部命令,也不是可運行程序的報錯問題

    解決javac不是內(nèi)部或外部命令,也不是可運行程序的報錯問題

    在學著使用Java的命令行來編譯java文件的時候,遇到了這個問題,本文主要介紹了解決javac不是內(nèi)部或外部命令,也不是可運行程序的報錯問題,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2022-04-04
  • Spring使用@Conditional進行條件裝配的實現(xiàn)

    Spring使用@Conditional進行條件裝配的實現(xiàn)

    在spring中有些bean需要滿足某些環(huán)境條件才創(chuàng)建某個bean,這個時候可以在bean定義上使用@Conditional注解來修飾,所以本文給大家介紹了Spring使用@Conditional進行條件裝配的實現(xiàn),文中通過代碼示例給大家介紹的非常詳細,需要的朋友可以參考下
    2023-12-12
  • Java抽象的本質(zhì)解析

    Java抽象的本質(zhì)解析

    對于面向?qū)ο缶幊虂碚f,抽象是它的一大特征之一,在 Java 中可以通過兩種形式來體現(xiàn)OOP的抽象:接口和抽象類,下面這篇文章主要給大家介紹了關于Java基礎抽象的相關資料,需要的朋友可以參考下
    2022-03-03
  • Java開發(fā)之request對象常用方法整理

    Java開發(fā)之request對象常用方法整理

    這篇文章主要介紹了 Java開發(fā)之request對象常用方法整理的相關資料,需要的朋友可以參考下
    2017-02-02
  • SpringCloud的Gateway網(wǎng)關詳解

    SpringCloud的Gateway網(wǎng)關詳解

    這篇文章主要介紹了SpringCloud的Gateway網(wǎng)關詳解,Gateway 是 Spring Cloud 官方推出的一個基于 Spring 5、Spring Boot 2 和 Project Reactor 的 API 網(wǎng)關實現(xiàn),本文將介紹 Spring Cloud Gateway 的基本概念、核心組件以及如何配置和使用它,需要的朋友可以參考下
    2023-09-09
  • MyBatis深入解讀動態(tài)SQL的實現(xiàn)

    MyBatis深入解讀動態(tài)SQL的實現(xiàn)

    動態(tài) SQL 是 MyBatis 的強大特性之一。如果你使用過 JDBC 或其它類似的框架,你應該能理解根據(jù)不同條件拼接 SQL 語句有多痛苦,例如拼接時要確保不能忘記添加必要的空格,還要注意去掉列表最后一個列名的逗號。利用動態(tài) SQL,可以徹底擺脫這種痛苦
    2022-04-04
  • Java日常練習題,每天進步一點點(34)

    Java日常練習題,每天進步一點點(34)

    下面小編就為大家?guī)硪黄狫ava基礎的幾道練習題(分享)。小編覺得挺不錯的,現(xiàn)在就分享給大家,也給大家做個參考。一起跟隨小編過來看看吧,希望可以幫到你
    2021-07-07
  • Day14基礎不牢地動山搖-Java基礎

    Day14基礎不牢地動山搖-Java基礎

    這篇文章主要給大家介紹了關于Java中方法使用的相關資料,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2021-08-08
  • Java隨機生成手機短信驗證碼的方法

    Java隨機生成手機短信驗證碼的方法

    這篇文章主要介紹了Java隨機生成手機短信驗證碼的方法,涉及Java數(shù)學運算計算隨機數(shù)及字符串操作的相關技巧,具有一定參考借鑒價值,需要的朋友可以參考下
    2015-11-11
  • 使用idea將工具類打包使用的詳細教程

    使用idea將工具類打包使用的詳細教程

    這篇文章主要介紹了使用idea將工具類打包使用的詳細教程,本文通過圖文并茂給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-03-03

最新評論