瀏覽器模式下驗證碼存儲策略
瀏覽器模式下,生成的短信驗證碼或者圖形驗證碼是存在session里的,用戶接收到驗證碼后攜帶過來做校驗。
APP模式下驗證碼存儲策略
在app場景下里是沒有cookie信息的,請求里也就沒有JSESSIONID,所以即使生成了驗證碼存在session里,你也接收到了驗證碼,但是沒有JSEESIONID,校驗你帶過來的驗證碼時,會找不到對應的session,所以不能用session來存儲驗證碼。
解決:在 生成 和 校驗驗證碼的時候多帶一個參數 ,設備id,生成驗證碼時,把生成的驗證碼和設備id一起存在外部存儲里(數據庫或redis里),校驗的時候拿着設備id去找對應的驗證碼即可。
將驗證碼的存取策略代碼抽取成接口,app和瀏覽器分別實現這個接口:
接口ValidateCodeRepository:
app的實現:
package com.imooc.security.app.validate.code.impl; import java.util.concurrent.TimeUnit; import org.apache.commons.lang.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.stereotype.Component; import org.springframework.web.context.request.ServletWebRequest; import com.imooc.security.core.validate.code.ValidateCode; import com.imooc.security.core.validate.code.ValidateCodeException; import com.imooc.security.core.validate.code.ValidateCodeRepository; import com.imooc.security.core.validate.code.ValidateCodeType; /** * redis驗證碼存取策略 * ClassName: RedisValidateCodeRepository * @Description: redis驗證碼存取策略 * @author lihaoyang * @date 2018年3月14日 */ @Component public class RedisValidateCodeRepository implements ValidateCodeRepository{ private Logger logger = LoggerFactory.getLogger(getClass()); @Autowired private RedisTemplate<Object, Object> redisTemplate; @Override public void save(ServletWebRequest request, ValidateCode code, ValidateCodeType validateCodeType) { String key = buildKey(request, validateCodeType); logger.info("--------->redis存進去了一個新的key:"+key+",value:"+code+"<-----------"); redisTemplate.opsForValue().set(key, code, 30, TimeUnit.MINUTES); } @Override public ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType) { Object value = redisTemplate.opsForValue().get(buildKey(request, validateCodeType)); if(value == null){ return null; } return (ValidateCode) value; } @Override public void remove(ServletWebRequest request, ValidateCodeType validateCodeType) { String key = buildKey(request, validateCodeType); logger.info("--------->redis刪除了一個key:"+key+"<-----------"); redisTemplate.delete(key); } /** * 構建驗證碼在redis中的key * @Description: 構建驗證碼在redis中的key * @param @return * @return String 驗證碼在redis中的key * @throws * @author lihaoyang * @date 2018年3月14日 */ private String buildKey(ServletWebRequest request , ValidateCodeType validateCodeType){ //獲取設備id String deviceId = request.getHeader("deviceId"); if(StringUtils.isBlank(deviceId)){ throw new ValidateCodeException("deviceId為空,請求頭中未攜帶deviceId參數"); } return "code:" + validateCodeType.toString().toLowerCase()+":"+deviceId; } }
application.properties里配置上redis:
#redis # Redis數據庫索引(默認為0) spring.redis.database=0 # Redis服務器地址 spring.redis.host=127.0.0.1 # Redis服務器連接端口 spring.redis.port=6379 # Redis服務器連接密碼(默認為空) spring.redis.password= # 連接池最大連接數(使用負值表示沒有限制) spring.redis.pool.max-active=8 # 連接池最大阻塞等待時間(使用負值表示沒有限制) spring.redis.pool.max-wait=-1 # 連接池中的最大空閑連接 spring.redis.pool.max-idle=8 # 連接池中的最小空閑連接 spring.redis.pool.min-idle=0 # 連接超時時間(毫秒) spring.redis.timeout=0
我是在windows上裝了個redis,簡單省事。
controller里生成驗證碼的地方,也換成了用 接口,具體的實現 看你引用app模塊還是browser模塊:
@GetMapping(SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/sms") public void createSmsCode(HttpServletRequest request,HttpServletResponse response) throws Exception{ //調驗證碼生成接口方式 ValidateCode smsCode = smsCodeGenerator.generator(new ServletWebRequest(request)); /** * 不能把驗證碼存在session了,調接口,app和browser不同實現 */ // sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY_SMS, smsCode); validateCodeRepository.save(new ServletWebRequest(request) , smsCode, ValidateCodeType.SMS); //獲取手機號 String mobile = ServletRequestUtils.getRequiredStringParameter(request, "mobile"); //發送短信驗證碼 smsCodeSender.send(mobile, smsCode.getCode()); }
驗證碼過濾器也換了:
/** * 短信驗證碼過濾器 * ClassName: ValidateCodeFilter * @Description: * 繼承OncePerRequestFilter:spring提供的工具,保證過濾器每次只會被調用一次 * 實現 InitializingBean接口的目的: * 在其他參數都組裝完畢的時候,初始化需要攔截的urls的值 * @author lihaoyang * @date 2018年3月2日 */ public class SmsCodeFilter extends OncePerRequestFilter implements InitializingBean{ private Logger logger = LoggerFactory.getLogger(getClass()); //認證失敗處理器 private AuthenticationFailureHandler authenticationFailureHandler; //獲取session工具類 private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy(); private ValidateCodeRepository validateCodeRepository; //需要攔截的url集合 private Set<String> urls = new HashSet<>(); //讀取配置 private SecurityProperties securityProperties; //spring工具類 private AntPathMatcher antPathMatcher = new AntPathMatcher(); /** * 重寫InitializingBean的方法,設置需要攔截的urls */ @Override public void afterPropertiesSet() throws ServletException { super.afterPropertiesSet(); //讀取配置的攔截的urls String[] configUrls = StringUtils.splitByWholeSeparatorPreserveAllTokens(securityProperties.getCode().getSms().getUrl(), ","); //如果配置了需要驗證碼攔截的url,不判斷,如果沒有配置會空指針 if(configUrls != null && configUrls.length > 0){ for (String configUrl : configUrls) { logger.info("ValidateCodeFilter.afterPropertiesSet()--->配置了驗證碼攔截接口:"+configUrl); urls.add(configUrl); } }else{ logger.info("----->沒有配置攔驗證碼攔截接口<-------"); } //短信驗證碼登錄一定攔截 urls.add(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE); } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //如果是 登錄請求 則執行 // if(StringUtils.equals("/authentication/form", request.getRequestURI()) // &&StringUtils.equalsIgnoreCase(request.getMethod(), "post")){ // try { // validate(new ServletWebRequest(request)); // } catch (ValidateCodeException e) { // //調用錯誤處理器,最終調用自己的 // authenticationFailureHandler.onAuthenticationFailure(request, response, e); // return ;//結束方法,不再調用過濾器鏈 // } // } /** * 可配置的驗證碼校驗 * 判斷請求的url和配置的是否有匹配的,匹配上了就過濾 */ boolean action = false; for(String url:urls){ if(antPathMatcher.match(url, request.getRequestURI())){ action = true; } } if(action){ try { validate(new ServletWebRequest(request)); } catch (ValidateCodeException e) { //調用錯誤處理器,最終調用自己的 authenticationFailureHandler.onAuthenticationFailure(request, response, e); return ;//結束方法,不再調用過濾器鏈 } } //不是登錄請求,調用其它過濾器鏈 filterChain.doFilter(request, response); } /** * 校驗驗證碼 * @Description: 校驗驗證碼 * @param @param request * @param @throws ServletRequestBindingException * @return void * @throws ValidateCodeException * @author lihaoyang * @date 2018年3月2日 */ private void validate(ServletWebRequest request) throws ServletRequestBindingException { //拿出session中的ImageCode對象 // ValidateCode smsCodeInSession = (ValidateCode) sessionStrategy.getAttribute(request, ValidateCodeController.SESSION_KEY_SMS); //根據不同的存儲策略調用不同的獲取方式 ValidateCode validateCode = validateCodeRepository.get(request, ValidateCodeType.SMS); //拿出請求中的驗證碼 String imageCodeInRequest = ServletRequestUtils.getStringParameter(request.getRequest(), SecurityConstants.DEFAULT_PARAMETER_NAME_CODE_SMS); //校驗 if(StringUtils.isBlank(imageCodeInRequest)){ throw new ValidateCodeException("驗證碼不能為空"); } if(validateCode == null){ throw new ValidateCodeException("驗證碼不存在,請刷新驗證碼"); } if(validateCode.isExpired()){ //從session移除過期的驗證碼 // sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY_SMS); validateCodeRepository.remove(request, ValidateCodeType.SMS); throw new ValidateCodeException("驗證碼已過期,請刷新驗證碼"); } if(!StringUtils.equalsIgnoreCase(validateCode.getCode(), imageCodeInRequest)){ throw new ValidateCodeException("驗證碼錯誤"); } //驗證通過,移除session中驗證碼 // sessionStrategy.removeAttribute(request, ValidateCodeController.SESSION_KEY_SMS); validateCodeRepository.remove(request, ValidateCodeType.SMS); } public AuthenticationFailureHandler getAuthenticationFailureHandler() { return authenticationFailureHandler; } public void setAuthenticationFailureHandler(AuthenticationFailureHandler authenticationFailureHandler) { this.authenticationFailureHandler = authenticationFailureHandler; } public SecurityProperties getSecurityProperties() { return securityProperties; } public void setSecurityProperties(SecurityProperties securityProperties) { this.securityProperties = securityProperties; } public ValidateCodeRepository getValidateCodeRepository() { return validateCodeRepository; } public void setValidateCodeRepository(ValidateCodeRepository validateCodeRepository) { this.validateCodeRepository = validateCodeRepository; } }
注意SmsCodeFilter 這個類里,由於這個類不是由Spring管理的,所以這里邊不能注入 ValidateCodeRepository ,只能將其作為成員變量,生成get、set,在new SmsCodeFilter 的類里,再注入ValidateCodeRepository為成員變量,再給SmsCodeFilter set進去
/** * 資源服務器,和認證服務器在物理上可以在一起也可以分開 * ClassName: ImoocResourceServerConfig * @Description: TODO * @author lihaoyang * @date 2018年3月13日 */ @Configuration @EnableResourceServer public class ImoocResourceServerConfig extends ResourceServerConfigurerAdapter{ //自定義的登錄成功后的處理器 @Autowired private AuthenticationSuccessHandler imoocAuthenticationSuccessHandler; //自定義的認證失敗后的處理器 @Autowired private AuthenticationFailureHandler imoocAuthenticationFailureHandler; //讀取用戶配置的登錄頁配置 @Autowired private SecurityProperties securityProperties; @Autowired private SmsCodeAuthenticationSecurityConfig smsCodeAuthenticationSecurityConfig; @Autowired private ValidateCodeRepository validateCodeRepository; @Override public void configure(HttpSecurity http) throws Exception { //~~~-------------> 圖片驗證碼過濾器 <------------------ ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter(); validateCodeFilter.setValidateCodeRepository(validateCodeRepository); //驗證碼過濾器中使用自己的錯誤處理 validateCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailureHandler); //配置的驗證碼過濾url validateCodeFilter.setSecurityProperties(securityProperties); validateCodeFilter.afterPropertiesSet(); //~~~-------------> 短信驗證碼過濾器 <------------------ SmsCodeFilter smsCodeFilter = new SmsCodeFilter(); smsCodeFilter.setValidateCodeRepository(validateCodeRepository); //驗證碼過濾器中使用自己的錯誤處理 smsCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailureHandler); //配置的驗證碼過濾url smsCodeFilter.setSecurityProperties(securityProperties); smsCodeFilter.afterPropertiesSet(); http .addFilterBefore(smsCodeFilter, UsernamePasswordAuthenticationFilter.class) // .apply(imoocSocialSecurityConfig)//社交登錄 // .and() //把驗證碼過濾器加載登錄過濾器前邊 .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class) //----------表單認證相關配置--------------- .formLogin() .loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL) //處理用戶認證BrowserSecurityController .loginProcessingUrl(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_FORM) .successHandler(imoocAuthenticationSuccessHandler)//自定義的認證后處理器 .failureHandler(imoocAuthenticationFailureHandler) //登錄失敗后的處理 .and() //-----------授權相關的配置 --------------------- .authorizeRequests() // /authentication/require:處理登錄,securityProperties.getBrowser().getLoginPage():用戶配置的登錄頁 .antMatchers(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL, securityProperties.getBrowser().getLoginPage(),//放過登錄頁不過濾,否則報錯 SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE, SecurityConstants.SESSION_INVALID_PAGE, SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*").permitAll() //驗證碼 .anyRequest() //任何請求 .authenticated() //都需要身份認證 .and() .csrf().disable() //關閉csrf防護 .apply(smsCodeAuthenticationSecurityConfig);//把短信驗證碼配置應用上 } }
啟動demo項目,獲取驗證碼,注意需要在請求頭里帶上設備id
生成驗證碼:
redis:
登錄:
響應token:
登錄成功,redis清除驗證碼
就能拿着token訪問controller了:
{ "password": null, "username": "13812349876", "authorities":[ { "authority": "ROLE_USER" }, { "authority": "admin" } ], "accountNonExpired": true, "accountNonLocked": true, "credentialsNonExpired": true, "enabled": true, "userId": "13812349876" }
代碼在github :https://github.com/lhy1234/spring-security