脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Spring Security OAuth手机验证码

Spring Security OAuth 自定义授权方式实现手机验证码

 更新时间:2021年02月01日 10:13:38   作者:Nosa  
这篇文章主要介绍了Spring Security OAuth 自定义授权方式实现手机验证码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

Spring Security OAuth 默认提供OAuth2.0 的四大基本授权方式(authorization_code\implicit\password\client_credential),除此之外我们也能够自定义授权方式。

先了解一下Spring Security OAuth提供的两个默认 Endpoints,一个是AuthorizationEndpoint,这个是仅用于授权码(authorization_code)和简化(implicit)模式的。另外一个是TokenEndpoint,用于OAuth2授权时下发Token,根据授予类型(GrantType)的不同而执行不同的验证方式。

OAuth2协议这里就不做过多介绍了,比较重要的一点是理解认证中各个角色的作用,以及认证的目的(获取用户信息或是具备使用API的权限)。例如在authorization_code模式下,用户(User)在认证服务的网站上进行登录,网站跳转回第三方应用(Client),第三方应用通过Secret和Code换取Token后向资源服务请求用户信息;而在client_credential模式下,第三方应用通过Secret直接获得Token后可以直接利用其访问资源API。所以我们应该根据实际的情景选择适合的认证模式。

对于手机验证码的认证模式,我们首先提出短信验证的通常需求:

  • 每发一次验证码只能尝试验证5次,防止暴力破解
  • 限制验证码发送频率,单个用户(这里简单使用手机号区分)1分钟1条,24小时x条
  • 限制验证码有效期,15分钟

我们根据业务需求构造出对应的模型:

@Data
public class SmsVerificationModel {

  /**
   * 手机号
   */
  private String phoneNumber;

  /**
   * 验证码
   */
  private String captcha;

  /**
   * 本次验证码验证失败次数,防止暴力尝试
   */
  private Integer failCount;

  /**
   * 该user当日尝试次数,防止滥发短信
   */
  private Integer dailyCount;

  /**
   * 限制短信发送频率和实现验证码有效期
   */
  private Date lastSentTime;

  /**
   * 是否验证成功
   */
  private Boolean verified = false;

}

我们预想的认证流程:

接下来要对Spring Security OAuth进行定制,这里直接仿照一个比较相似的password模式,首先需要编写一个新的TokenGranter,处理sms类型下的TokenRequest,这个SmsTokenGranter会生成SmsAuthenticationToken,并将AuthenticationToken交由SmsAuthenticationProvider进行验证,验证成功后生成通过验证的SmsAuthenticationToken,完成Token的颁发。

public class SmsTokenGranter extends AbstractTokenGranter {
  private static final String GRANT_TYPE = "sms";

  private final AuthenticationManager authenticationManager;

  public SmsTokenGranter(AuthenticationManager authenticationManager, AuthorizationServerTokenServices tokenServices,
              ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory){
    super(tokenServices, clientDetailsService, requestFactory, GRANT_TYPE);
    this.authenticationManager = authenticationManager;
  }

  @Override
  protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
    Map<String, String> parameters = new LinkedHashMap<>(tokenRequest.getRequestParameters());
    String phone = parameters.get("phone");
    String code = parameters.get("code");

    Authentication userAuth = new SmsAuthenticationToken(phone, code);
    try {
      userAuth = authenticationManager.authenticate(userAuth);
    }
    catch (AccountStatusException ase) {
      throw new InvalidGrantException(ase.getMessage());
    }
    catch (BadCredentialsException e) {
      throw new InvalidGrantException(e.getMessage());
    }
    if (userAuth == null || !userAuth.isAuthenticated()) {
      throw new InvalidGrantException("Could not authenticate user: " + username);
    }

    OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
    return new OAuth2Authentication(storedOAuth2Request, userAuth);
  }
}

对应的SmsAuthenticationToken,其中一个构造方法是认证后的。

public class SmsAuthenticationToken extends AbstractAuthenticationToken {

  private final Object principal;
  private Object credentials;

  public SmsAuthenticationToken(Object principal, Object credentials) {
    super(null);
    this.credentials = credentials;
    this.principal = principal;
  }

  public SmsAuthenticationToken(Object principal, Object credentials,
                        Collection<? extends GrantedAuthority> authorities) {
    super(authorities);
    this.principal = principal;
    this.credentials = credentials;
    // 表示已经认证
    super.setAuthenticated(true);
  }
 ...
}

SmsAuthenticationProvider是仿照AbstractUserDetailsAuthenticationProvider编写的,这里仅仅列出核心部分。

public class SmsAuthenticationProvider implements AuthenticationProvider {

  @Override
  public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
   String username = authentication.getName();
   UserDetails user = retrieveUser(username);

   preAuthenticationChecks.check(user);
   String phoneNumber = authentication.getPrincipal().toString();
   String code = authentication.getCredentials().toString();
   // 尝试从Redis中取出Model
   SmsVerificationModel verificationModel =
        Optional.ofNullable(
            redisService.get(SMS_REDIS_PREFIX + phoneNumber, SmsVerificationModel.class))
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_VERIFY_BEFORE_SEND));
  // 判断短信验证次数
   Optional.of(verificationModel).filter(x -> x.getFailCount() < SMS_VERIFY_FAIL_MAX_TIMES)
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_VERIFY_COUNT_EXCEED));

   Optional.of(verificationModel).map(SmsVerificationModel::getLastSentTime)
        // 验证码发送15分钟内有效,等价于发送时间加上15分钟晚于当下
        .filter(x -> DateUtils.addMinutes(x,15).after(new Date()))
        .orElseThrow(() -> new BusinessException(OAuthError.SMS_CODE_EXPIRED));

   verificationModel.setVerified(Objects.equals(code, verificationModel.getCaptcha()));
   verificationModel.setFailCount(verificationModel.getFailCount() + 1);

   redisService.set(SMS_REDIS_PREFIX + phoneNumber, verificationModel, 1, TimeUnit.DAYS);

   if(!verificationModel.getVerified()){
      throw new BusinessException(OAuthError.SmsCodeWrong);
   }

    postAuthenticationChecks.check(user);

    return createSuccessAuthentication(user, authentication, user);
  }
  ...

接下来要通过配置启用我们定制的类,首先配置AuthorizationServerEndpointsConfigurer,添加上我们的TokenGranter,然后是AuthenticationManagerBuilder,添加我们的AuthenticationProvider。

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

  @Override
  public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    security
        .passwordEncoder(passwordEncoder)
        .checkTokenAccess("isAuthenticated()")
        .tokenKeyAccess("permitAll()")
        // 允许使用Query字段验证客户端,即client_id/client_secret 能够放在查询参数中
        .allowFormAuthenticationForClients();
  }

  @Override
  public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

    endpoints.authenticationManager(authenticationManager)
        .userDetailsService(userDetailsService)
        .tokenStore(tokenStore);
    List<TokenGranter> tokenGranters = new ArrayList<>();

    tokenGranters.add(new AuthorizationCodeTokenGranter(endpoints.getTokenServices(), endpoints.getAuthorizationCodeServices(), clientDetailsService,
        endpoints.getOAuth2RequestFactory()));
  ...
    tokenGranters.add(new SmsTokenGranter(authenticationManager, endpoints.getTokenServices(),
        clientDetailsService, endpoints.getOAuth2RequestFactory()));

    endpoints.tokenGranter(new CompositeTokenGranter(tokenGranters));
  }

}

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 ...
  @Override
  protected void configure(AuthenticationManagerBuilder auth) {
    auth.authenticationProvider(daoAuthenticationProvider());
  }

  @Bean
  public AuthenticationProvider smsAuthenticationProvider(){
    SmsAuthenticationProvider smsAuthenticationProvider = new SmsAuthenticationProvider();
    smsAuthenticationProvider.setUserDetailsService(userDetailsService);
    smsAuthenticationProvider.setSmsAuthService(smsAuthService);
    return smsAuthenticationProvider;
  }
}

那么短信验证码授权的部分就到这里了,最后还有一个发送短信的接口,这里就不展示了。

最后测试一下,curl --location --request POST 'http://localhost:8080/oauth/token?grant_type=sms&client_id=XXX&phone=手机号&code=验证码' ,成功。

{
  "access_token": "39bafa9a-7e5b-4ba4-9eda-e307ac98aad1",
  "token_type": "bearer",
  "expires_in": 3599,
  "scope": "ALL"
}

到此这篇关于Spring Security OAuth 自定义授权方式实现手机验证码的文章就介绍到这了,更多相关Spring Security OAuth手机验证码内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • 解决javac不是内部或外部命令,也不是可运行程序的报错问题

    解决javac不是内部或外部命令,也不是可运行程序的报错问题

    在学着使用Java的命令行来编译java文件的时候,遇到了这个问题,本文主要介绍了解决javac不是内部或外部命令,也不是可运行程序的报错问题,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-04-04
  • Spring使用@Conditional进行条件装配的实现

    Spring使用@Conditional进行条件装配的实现

    在spring中有些bean需要满足某些环境条件才创建某个bean,这个时候可以在bean定义上使用@Conditional注解来修饰,所以本文给大家介绍了Spring使用@Conditional进行条件装配的实现,文中通过代码示例给大家介绍的非常详细,需要的朋友可以参考下
    2023-12-12
  • Java抽象的本质解析

    Java抽象的本质解析

    对于面向对象编程来说,抽象是它的一大特征之一,在 Java 中可以通过两种形式来体现OOP的抽象:接口和抽象类,下面这篇文章主要给大家介绍了关于Java基础抽象的相关资料,需要的朋友可以参考下
    2022-03-03
  • Java开发之request对象常用方法整理

    Java开发之request对象常用方法整理

    这篇文章主要介绍了 Java开发之request对象常用方法整理的相关资料,需要的朋友可以参考下
    2017-02-02
  • SpringCloud的Gateway网关详解

    SpringCloud的Gateway网关详解

    这篇文章主要介绍了SpringCloud的Gateway网关详解,Gateway 是 Spring Cloud 官方推出的一个基于 Spring 5、Spring Boot 2 和 Project Reactor 的 API 网关实现,本文将介绍 Spring Cloud Gateway 的基本概念、核心组件以及如何配置和使用它,需要的朋友可以参考下
    2023-09-09
  • MyBatis深入解读动态SQL的实现

    MyBatis深入解读动态SQL的实现

    动态 SQL 是 MyBatis 的强大特性之一。如果你使用过 JDBC 或其它类似的框架,你应该能理解根据不同条件拼接 SQL 语句有多痛苦,例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL,可以彻底摆脱这种痛苦
    2022-04-04
  • Java日常练习题,每天进步一点点(34)

    Java日常练习题,每天进步一点点(34)

    下面小编就为大家带来一篇Java基础的几道练习题(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧,希望可以帮到你
    2021-07-07
  • Day14基础不牢地动山摇-Java基础

    Day14基础不牢地动山摇-Java基础

    这篇文章主要给大家介绍了关于Java中方法使用的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-08-08
  • Java随机生成手机短信验证码的方法

    Java随机生成手机短信验证码的方法

    这篇文章主要介绍了Java随机生成手机短信验证码的方法,涉及Java数学运算计算随机数及字符串操作的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
    2015-11-11
  • 使用idea将工具类打包使用的详细教程

    使用idea将工具类打包使用的详细教程

    这篇文章主要介绍了使用idea将工具类打包使用的详细教程,本文通过图文并茂给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-03-03

最新评论