05-认证服务中多种认证方式的实现

news2024/11/26 12:34:45

多种认证方式

统一认证入口

目前各大网站支持账号密码认证、手机验证码认证、扫码登录认证等多种认证方式,Spring Security框架也支持多样化的认证方案

  • 账号和密码认证: 采用OAuth2协议的密码模式即可实现
  • 手机号加验证码认证: 用户认证提交的是手机号和验证码并不是账号和密码
  • 微信扫码认证: 目标网站基于OAuth2协议从微信服务端查询授权用户的信息,当用户授权后微信服务端会先响应一个授权码,目标网站携带授权码申请令牌,拿到令牌后才能从微信服务端查询授权用户的信息,拿到用户信息后表示用户在当前网站认证通过

第一步: 由于不同的认证提交方式的数据不一样如手机加验证码方式账号加密码加验证码方式,所以我们需要创建一个DTO类用于接收各种认证参数

@Data
public class AuthParamsDto {
    // 用户名
    private String username; 
	// 域,用于扩展	
    private String password; 
	// 手机号
    private String cellphone;
	// 验证码
    private String checkcode;
	// 验证码对应的存储在Redis中的key
    private String checkcodekey;
	// 认证的类型,如password表示用户名密码模式类型,sms表示短信模式类型
    private String authType; 
	// 附加数据,不同认证类型可拥有不同的附加数据,如认证类型为短信时包含smsKey,另外所有认证都会包含clientId
    private Map<String, Object> payload = new HashMap<>();
}

第二步: 修改loadUserByUsername()方法,将URL中用户提交的请求参数username的值改为JSON字符串,该字符串包含不同的认证方式所提交的各种参数

  • 用户提交登录的信息后DaoAuthenticationProvider调用我们自定义的UserDetailsService接口的实现类UserDetailsImplloadUserByUsername()方法,然后将查询到的信息设置到UserDetails中并返回给Spring Security框架
@Service
public class UserDetailsImpl implements UserDetailsService {
    @Autowired
    XcUserMapper xcUserMapper;
    /**
     * @param s AuthParamsDto类型的json数据
     * @return UserDetails
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
   		// 参数s是包含认证参数的Json格式的字符串如username={"username":"Kyle","authType":"password","password":"111111"}转换为AuthParamsDto对象
        AuthParamsDto authParamsDto = null;
        try {
            authParamsDto = JSON.parseObject(s, AuthParamsDto.class);
        } catch (Exception e) {
            log.error("认证请求数据格式不对:{}", s);
            throw new RuntimeException("认证请求数据格式不对");
        }
        // 根据username去XcUser表中查询对应的用户信息
        String name = authParamsDto.getUsername();
        XcUser user = xcUserMapper.selectOne(new LambdaQueryWrapper<XcUser>().eq(XcUser::getUsername, name));
        // 返回空表示用户不存在,SpringSecurity会帮我们处理
        if (user == null) {
            return null;
        }
        // 取出数据库存储的密码
        String password = user.getPassword();
        user.setPassword(null);
        String userString = JSON.toJSONString(user);
        // 创建UserDetails对象并返回,注意这里的authorities必须指定
        return User.withUsername(userString).password(password).authorities("test").build();
    }
}

DaoAuthenticationProvider获取到UserDetails用户信息后会调用自身的additionalAuthenticationChecks()方法进行密码校验

  • DaoAuthenticationProviderCustom类实现了DaoAuthenticationProvider接口并实现了additionalAuthenticationChecks()方法
protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
    if (authentication.getCredentials() == null) {
        this.logger.debug("Authentication failed: no credentials provided");
        throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
    } else {
        String presentedPassword = authentication.getCredentials().toString();
        if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
            this.logger.debug("Authentication failed: password does not match stored value");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }
}

但是并不是所有的校验方式都需要密码,所以我们要自定义密码的校验逻辑

  • 自定义DaoAuthenticationProviderCustom类继续DaoAuthenticationProviderCustom类然后重写additionalAuthenticationChecks方法
@Component
public class DaoAuthenticationProviderCustom extends DaoAuthenticationProvider {
    // 由于DaoAuthenticationProvider调用UserDetailsService,所以这里需要注入一个UserDetailsService接口的实现类
    @Autowired
    public void setUserDetailsService(UserDetailsService userDetailsService){
        super.setUserDetailsService(userDetailsService);
    }
    // 屏蔽密码对比,因为不是所有的认证方式都需要校验密码
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        // 里面啥也不写就不会校验密码了
    }
}

修改认证服务工程下的config/WebSecurityConfig类,使用我们自定义的DaoAuthenticationProviderCustom

package com.xuecheng.auth.config;
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DaoAuthenticationProviderCustom daoAuthenticationProviderCustom;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(daoAuthenticationProviderCustom);
    }
}

重启认证服务,测试申请令牌接口将传入的账号信息改为包含各种认证参数的JSON格式字符串

#### 密码模式
POST localhost:53070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username={"username":"Kyle","authType":"password","password":"111111"}

自定义认证方式

有了认证参数对象AuthParamsDto,我们可以定义一个Service接口去进行各种方式的认证,通过Service接口的各种实现类来实现各种方式的认证

在这里插入图片描述

第一步: 定义用户信息,因为XcUser类对应的是数据库中的表后期不便修改,所以为了可扩展性定义一个XcUserExt类让其继承XcUser

@Data
public class XcUserExt extends XcUser {

}

第二步: 定义认证的AuthService接口

/**
 * 认证Service
 */
public interface AuthService {
    /**
     * 认证方法
     * @param authParamsDto 认证参数
     * @return  用户信息
     */
    XcUserExt execute(AuthParamsDto authParamsDto);
}

第三步: 定义AuthService接口的实现类PasswordAuthServiceImpl(实现密码认证)``WxAuthServiceImpl(扫码认证)和,依靠beanName区分不同的认证方式

@Service("password_authservice")
public class PasswordAuthServiceImpl implements AuthService {
    @Override
    public XcUserExt execute(AuthParamsDto authParamsDto) {
        return null;
    }
}
@Service("wx_authservice")// 微信扫码方式
public class WxAuthServiceImpl implements AuthService {

    @Override
    public XcUserExt execute(AuthParamsDto authParamsDto) {
        return null;
    }
}

第四步: 修改loadUserByUsername()方法,增加判断认证类型的逻辑

  • 虽然不同的认证方式的认证逻辑不同,但最后都是调用AuthService接口实现类的execute方法,查询数据库中的用户信息并返回扩展的对象XcUserExt
  • 由于所有的认证方式都会将查询得到的XcUserExt对象的信息封装到UserDetails对象中,所以我们可以将这一步抽取成一个方法
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    // 将包含认证参数的Json格式的字符串如`username={"username":"Kyle","authType":"password","password":"111111"}`转换为AuthParamsDto对象
    AuthParamsDto authParamsDto = null;
    try {
        authParamsDto = JSON.parseObject(s, AuthParamsDto.class);
    } catch (Exception e) {
        log.error("认证请求数据格式不对:{}", s);
        throw new RuntimeException("认证请求数据格式不对");
    }
    // 获取认证类型,beanName由认证类型和后缀组成,如password+_authservice=password_authservice
    String authType = authParamsDto.getAuthType();
    // 根据认证类型从Spring容器中取出对应的bean
    AuthService authService = applicationContext.getBean(authType + "_authservice", AuthService.class);
    // 不同认证方式的认证逻辑不同,但最后都是调用统一execute方法完成认证
    XcUserExt user = authService.execute(authParamsDto);
    // 封装xcUserExt用户信息为UserDetails,根据UserDetails对象生成令牌
    return getUserPrincipal(user);
}
// 查询用户的信息
public UserDetails getUserPrincipal(XcUserExt user) {
    // 设置权限
    String[] authorities = {"test"};
    // 取出数据库中用户的密码
    String password = user.getPassword();
    user.setPassword(null);
    String userJsonStr = JSON.toJSONString(user);
    // 创建UserDetails对象保存用户脱敏后的全部信息,注意这里的authorities必须指定,如果不加报`Cannot pass a null GrantedAuthority collection`错误
    UserDetails userDetails = User.withUsername(userJsonStr).password(password).authorities(authorities).build();
    // 返回UserDetails对象
    return userDetails;
}

第五步: 重启认证服务,测试申请令牌接口注意JSON数据中要带上authType

# 密码模式,账号密码正确,可以成功获取authType,并正确查询到用户信息
POST localhost:53070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username={"username":"Kyle","password":"111111","authType":"password"}
# 测试密码错误的情况
POST localhost:53070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username={"username":"Kyle","password":"111112","authType":"password"}
# 测试账号不存在的情况
POST localhost:53070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username={"username":"Ky","password":"111112","authType":"password"}

密码认证具体实现

@Service("password_authservice")
public class PasswordAuthServiceImpl implements AuthService {
    @Autowired
    XcUserMapper xcUserMapper;
    @Autowired
    PasswordEncoder passwordEncoder;
    @Override
    public XcUserExt execute(AuthParamsDto authParamsDto) {
        // 1. 获取账号
        String username = authParamsDto.getUsername();
        // 2. 根据账号去数据库中查询用户是否存在
        XcUser xcUser = xcUserMapper.selectOne(new LambdaQueryWrapper<XcUser>().eq(XcUser::getUsername, username));
        // 3. 不存在抛异常
        if (xcUser == null) {
            throw new RuntimeException("账号不存在");
        }
        // 4. 校验密码
        // 4.1 获取用户输入的密码
        String passwordForm = authParamsDto.getPassword();
        // 4.2 获取数据库中存储的密码
        String passwordDb = xcUser.getPassword();
        // 4.3 比较密码
        boolean matches = passwordEncoder.matches(passwordForm, passwordDb);
        // 4.4 密码不匹配抛异常
        if (!matches) {
            throw new RuntimeException("账号或密码错误");
        }
        // 4.5 密码匹配将查询得到的xcUser对象中的数据封装到扩展的xcUserExt对象中并返回
        XcUserExt xcUserExt = new XcUserExt();
        BeanUtils.copyProperties(xcUser, xcUserExt);
        return xcUserExt;
    }
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1342791.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软件测试/测试开发丨Windows Appium环境搭建

软件测试/测试开发丨Windows Appium环境搭建

windows 版本 Appium 环境搭建 安装 nodejs 下载.msi文件 https://nodejs.org/en/download/ 注意&#xff1a; 1、下载12.*版本双击安装即可。 2、无须配置环境变量,直接重启一个 cmd 输入下面的命令&#xff0c;能够查看这两个版本号即安装成功。 安装 appium desktop 直…
阅读更多...
如何在Docker环境下安装火狐浏览器并结合内网穿透工具实现公网访问

如何在Docker环境下安装火狐浏览器并结合内网穿透工具实现公网访问

文章目录 1. 部署Firefox2. 本地访问Firefox3. Linux安装Cpolar4. 配置Firefox公网地址5. 远程访问Firefox6. 固定Firefox公网地址7. 固定地址访问Firefox Firefox是一款免费开源的网页浏览器&#xff0c;由Mozilla基金会开发和维护。它是第一个成功挑战微软Internet Explorer浏…
阅读更多...
【LeetCode】修炼之路-0001-Two Sum(两数之和)【python】【简单】

【LeetCode】修炼之路-0001-Two Sum(两数之和)【python】【简单】

前言 计算机科学作为一门实践性极强的学科,代码能力的培养尤为重要。当前网络上有非常多优秀的前辈分享了LeetCode的最佳算法题解,这对于我们这些初学者来说提供了莫大的帮助,但对于我这种缺乏编程直觉的学习者而言,这往往难以消化吸收。&#xff08;为什么别人就能想出这么优雅…
阅读更多...
tcp/ip实现两个手机之间连接同步显示

tcp/ip实现两个手机之间连接同步显示

app主界面 选择一&#xff1a;TCP客户端 选择二&#xff1a;TCP服务端 点击下图item时进入曲线绘制页面 如果是服务器端它不需要连任何设备就可以直接进入绘制界面如果是TCP的话就不能直接进入&#xff0c;否则就会提示未连接网络连接不能放在主线程&#xff0c;页面去调方法&…
阅读更多...
Java限流方案常用算法详解 固定时间窗口 滑动时间窗口 漏桶限流 令牌桶限流

Java限流方案常用算法详解 固定时间窗口 滑动时间窗口 漏桶限流 令牌桶限流

前言 为什么要做限流&#xff1f; 服务需要保护自己&#xff0c;以免被太多的请求淹没&#xff08;无论是恶意或无意的&#xff09;&#xff0c;从而保持可用性。 举个生活中的例子&#xff0c;某个景区&#xff0c;平时可能根本没什么人前往&#xff0c;但是一旦到了国庆假日…
阅读更多...
Python中的并发编程(7)异步编程

Python中的并发编程(7)异步编程

异步编程 Python3.4后新增了asyncio模块&#xff0c;支持异步编程。 异步是在一个线程中通过任务切换的方式让多个任务”同时“进展。asyncio不涉及线程/进程切换&#xff0c;减少了线程/进程创建、上下文切换的开销&#xff0c;更轻量级。 asyncio的核心是事件循环&#xff0…
阅读更多...
仓储3代电子标签接口文档-V1.2

仓储3代电子标签接口文档-V1.2

电子标签标签注册 通过手动触发电子标签注册到系统&#xff0c;注册成功就可以进行功能测试。 仓储3代注册 方式1:&#xff08;四灯外供电版本标签&#xff09; 标签左测中间按键连按三次 方式2:&#xff08;电池供电版本标签&#xff09; 标签右下角左下角按键&#xff0…
阅读更多...
开放网络+私有云=?星融元的私有云承载网络解决方案实例

开放网络+私有云=?星融元的私有云承载网络解决方案实例

在全世界范围内的云服务市场上&#xff0c;开放网络一直是一个备受关注的话题。相比于传统供应商的网络设备&#xff0c;开放网络具备软硬件解耦、云原生、可选组件丰富等优势&#xff0c;对云服务商和超大型企业有足够的吸引力。 SONiC作为开源的网络操作系统&#xff0c;使得…
阅读更多...
SV接口的驱动和采样_2023.12.27】

SV接口的驱动和采样_2023.12.27】

cb 使用cloking block进行信号的同步 在cloking block&#xff0c;所有信号的采样和驱动&#xff0c;都是和时钟同步的 clocking cb &#xff08;posedge clk&#xff09;; input grant; output request; endclocking接口同步 用和wait来同步测试平台中的信号 bus.cb; 接口…
阅读更多...
QT UI自动化测试(1)

QT UI自动化测试(1)

一、框架选择 想结合公司产品搭建一套自动化测试框架&#xff0c;一方面自己学习用&#xff0c;一方面也希望跟公司业务结合起来&#xff0c;双赢。公司软件最多的产品是部署在Linux系统上&#xff0c;基于QT QML开发的UI&#xff0c;本来奔着免费的自动化框架去的&#xff0c;…
阅读更多...
PulseGAN

PulseGAN

研究背景 远程光电容积描记术 (rPPG) 是一种非接触式技术&#xff0c;用于测量面部视频中的心脏信号。健康监测和情绪识别等许多领域都迫切需要高质量的 rPPG 脉冲信号。然而&#xff0c;由于脉搏信号不准确的限制&#xff0c;现有的大多数rPPG方法只能用于获取平均心率&#…
阅读更多...
Selenium自动化教程03:延时等待的3种方式

Selenium自动化教程03:延时等待的3种方式

我们经常会碰到用selenium操作页面上某个元素的时候&#xff0c;需要等待页面加载完成后&#xff0c;才能操作。否则页面上的元素不存在&#xff0c;会抛出异常。或者碰到AJAX异步加载&#xff0c;我们需要等待元素加载完成后&#xff0c;才能操作。在进行UI自动化测试时&#…
阅读更多...
骑砍MOD天芒传奇-任务列表

骑砍MOD天芒传奇-任务列表

一.真假仁宗 进入场景后找到假的仁宗并击杀,只能问一个问题.但你不知道他是否是说真话的那个人&#xff01; dlga_rz_question_list:question1|那 个 是 仁 宗 &#xff1f; dlga_rz_question_list:question2|你 是 个 说 真 话 的 人 吗 &#xff1f; dlga_rz_question_lis…
阅读更多...
【Linux】虚拟内存

【Linux】虚拟内存

文章目录 一、 介绍二、虚拟内存改配置多大&#xff1f;三、配置步骤 一、 介绍 虚拟内存&#xff08;也称为交换空间&#xff09;&#xff0c;是一种计算机操作系统的内存管理技术&#xff0c;它通过将部分存储器空间用作硬盘上的临时扩展&#xff0c;使得程序能够使用比实际…
阅读更多...
.NetCore NPOI 读取excel内容及单元格内图片

.NetCore NPOI 读取excel内容及单元格内图片

由于数据方提供的数据在excel文件中不止有文字内容还包含图片信息&#xff0c;于是编写相关测试代码&#xff0c;读取excel文件内容及图片信息. 本文使用的是 NPOI-2.6.2 版本&#xff0c;此版本持.Net4.7.2;.NetStandard2.0;.NetStandard2.1;.Net6.0。 测试文档内容&#xf…
阅读更多...
基于Spring Cloud + Spring Boot的企业电子招标采购系统源码

基于Spring Cloud + Spring Boot的企业电子招标采购系统源码

随着企业的快速发展&#xff0c;招采管理逐渐成为企业运营中的重要环节。为了满足公司对内部招采管理提升的要求&#xff0c;建立一个公平、公开、公正的采购环境至关重要。在这个背景下&#xff0c;我们开发了一款电子招标采购软件&#xff0c;以最大限度地控制采购成本&#…
阅读更多...
SSM驾校预约管理系统----计算机毕业设计

SSM驾校预约管理系统----计算机毕业设计

项目介绍 本项目分为管理员、教练、学员三种角色&#xff0c; 管理员角色包含以下功能&#xff1a; 学员管理、教练管理、车辆管理、关系管理、车辆维修管理、个人中心等功能。 教练角色包含以下功能&#xff1a; 我的课程、我的学员、车辆中心、个人中心等功能。 学员角色包…
阅读更多...
软件测试/测试开发丨Python、pycharm 安装与环境配置

软件测试/测试开发丨Python、pycharm 安装与环境配置

Python 安装与环境配置 1. Python 安装 版本推荐 3.10.0下载地址&#xff1a;www.python.org/downloads/w… 若需要安装旧版本&#xff0c;在页面下方选择对应版本即可&#xff0c;MacOS选择对应系统即可 图示下载windows 3.11.4版本 安装Python 执行安装程序&#xff0c;安…
阅读更多...
FreeRTOS学习--53讲 任务通知

FreeRTOS学习--53讲 任务通知

任务通知定义 a.任务通知像个用于通知的任务&#xff0c;由一个32位无符号整数和8位的通知状态组成&#xff0c;通过任务通知函数改写其他任务的32位无符号整数数据。 b.改写方式如下(1.可以让这个整数加1: 模拟信号量 2. 设置该整数的指定的某些位&#xff1a;模拟事件组 3.直…
阅读更多...
C++ 类和对象 (上)

C++ 类和对象 (上)

类的引入&#xff1a; 由于C语言是面向过程的编程语言&#xff0c;我们在完成一件事的时候通常习惯将一件事拆分成一个一个小过程来实现&#xff0c;而到了C就习惯将一件事分成不同的模块&#xff0c;交给不同的对象来处理&#xff0c;每一个对象中承载着数据类型和函数。 &am…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023