最近实现了一个多端登录的Spring Security组件,用起来非常丝滑,开箱即用,可插拔,而且灵活性非常强。我觉得能满足大部分场景的需要。目前完成了手机号验证码和微信小程序两种自定义登录,加上默认的Form登录,一共三种,现在开源分享给大家,接下来简单介绍一下这个插件包。

DSL配置风格

切入正题,先来看看配置:

    @Bean

    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {

        http.csrf().disable()

                .authorizeRequests()

                .mvcMatchers("/foo/**")

                .access("hasAuthority('ROLE_USER')").anyRequest().authenticated()

                .and()

                // 默认form表单登录

                .formLogin()

                .and()

                .apply(new LoginFilterSecurityConfigurer<>())

                // 验证码登录

                .captchaLogin(captchaLoginConfigurer ->

                                // 验证码校验 1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                captchaLoginConfigurer.captchaService(this::verifyCaptchaMock)

                                        // 根据手机号查询用户UserDetials  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                        .captchaUserDetailsService(this::loadUserByPhoneMock)

                                        // 生成JWT 返回  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                        .jwtTokenGenerator(this::tokenResponseMock)

                        //todo 其它配置省略……

                )

                // 小程序登录 同时支持多个小程序

                .miniAppLogin(miniAppLoginConfigurer -> miniAppLoginConfigurer

                                // 实现小程序多租户

                                // 根据请求携带的clientid 查询小程序的appid和secret 1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .miniAppClientService(this::miniAppClientMock)

                                // 小程序用户 自动注册和检索  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .miniAppUserDetailsService(new MiniAppUserDetailsServiceMock())

                                // 小程序sessionkey缓存 过期时间应该小于微信官方文档的声明   1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .miniAppSessionKeyCache(new MiniAppSessionKeyCacheMock())

                                // 生成JWT 返回  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .jwtTokenGenerator(this::tokenResponseMock)

                        //todo 其它配置省略……

                );

        return http.build();

    }

这种风格完全贴合了Spring SecurityDSL配置风格,不仅仅高大上,而且可以按需配置。如果你没有验证码登录直接删掉captchaLogin方法;如果你没有微信小程序登录直接删掉miniAppLogin方法。甚至还可以对单种登录进行细粒度定制化,formLogin有的功能基本验证码登录和微信小程序登录的都有。

为什么这么灵活?

这里抽象了一个登录配置类:

 public abstract class AbstractLoginFilterConfigurer<H extends HttpSecurityBuilder<H>,

         C extends AbstractLoginFilterConfigurer<H, C, F>,

         F extends AbstractAuthenticationProcessingFilter>

         extends AbstractHttpConfigurer<AbstractLoginFilterConfigurer<H, C, F>, H> {

             // 省略……

         }

所有额外的登录渠道大都可以通过这个类来扩展,负责验证码登录的CaptchaLoginFilterConfigurer和微信小程序登录的MiniAppLoginFilterConfigurer都是该类实现的,基本上你看了源码也能照葫芦画瓢来一个。

另外上面这些配置项接口,都可以放在Spring IoC中,配置类能自动获取,不过优先级最高的还是通过上面代码中配置的具体实现,原理参见下面的的样例:

  @Override

     protected AuthenticationSuccessHandler defaultSuccessHandler(H http) {

         // 如果配置类没有配置 就尝试去Spring IoC中发现

         if (this.jwtTokenGenerator == null) {

             ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);

             jwtTokenGenerator = getBeanOrNull(applicationContext, JwtTokenGenerator.class);

         }

         Assert.notNull(jwtTokenGenerator, "jwtTokenGenerator is required");

         return new LoginAuthenticationSuccessHandler(jwtTokenGenerator);

     }

 ​

 ​

     public final <T> T getBeanOrNull(ApplicationContext applicationContext, Class<T> beanType) {

         String[] beanNames = applicationContext.getBeanNamesForType(beanType);

         if (beanNames.length == 1) {

             return applicationContext.getBean(beanNames[0], beanType);

         }

         return null;

     }

使用方法

自行使用Maven命令mvn install到本地仓库,然后引入:

        <dependency>

            <groupId>cn.felord</groupId>

            <artifactId>spring-security-extension</artifactId>

            <version>1.0.0</version>

        </dependency>

然后参考样例sample项目进行开发,登录方式有三种。

普通登录

原生Spring Security接口



POST /login?username=user&password=12345 HTTP/1.1

Host: localhost:8080

验证码登录

需要先实现必须的配置接口

发送验证码后调用验证码登录接口:



POST /login/captcha?phone=11111111111&captcha=123123 HTTP/1.1

Host: localhost:8080

小程序登录

需要先实现必须的配置接口

前端先调用微信授权登录接口获取openid:



POST /miniapp/preauth?clientId=wxxda23234&jsCode=051A23234ZHa1tZ5yj3AOlFr HTTP/1.1

Host: localhost:8080

响应:

{

    "code": 200,

    "data": {

        "errcode": null,

        "errmsg": null,

        "sessionKey": null,

        "openid": "oWmZj5QBrZxxxxx8OUxRrZJi4",

        "unionid": "oS-dxxxxxx4w_x7dA-h9MIuA"

    },

    "msg": "",

    "identifier": true

}

然后调用小程序登录接口:

POST /login/miniapp HTTP/1.1

Host: localhost:8080

Content-Type: application/json

{

    "clientId": "wxd14qr6",

    "openId": "oWmZj5QBrZIBks0xx8OUxRrZJi4",

    "unionId": "oS-dK520tgW8xxxx7dA-h9MIuA",

    "iv":"LQUOt8BSTa7xxxpe1Q==",

    "encryptedData": "10hn3o4xxxxxrO/Ag5nRD3QkLSzduKnWuzN9B/H4Y0G5mDPR8siA7T8yaaqZsrMycLAoe2qrd1J75yYetYuWifiq3jUrcceRZHVxxl9LnQdW8f5+pMTnQtCYiMJ7Jm9paCw2Bh+5Lowkyqkx1q0fALvCQ9LXPPLAbLOB9CavRfKoenAmyyHQjZ/6lz0njzA=="

}

获取方式

Gitee: felord/spring-security-login-extension

关注公众号:Felordcn 获取更多资讯

个人博客:https://felord.cn

Spring Security 一键接入验证码登录和小程序登录的更多相关文章

  1. Spring Security 整合 微信小程序登录的思路探讨

    1. 前言 原本打算把Spring Security中OAuth 2.0的机制讲完后,用小程序登录来实战一下,发现小程序登录流程和Spring Security中OAuth 2.0登录的流程有点不一样 ...

  2. 【手摸手,带你搭建前后端分离商城系统】03 整合Spring Security token 实现方案,完成主业务登录

    [手摸手,带你搭建前后端分离商城系统]03 整合Spring Security token 实现方案,完成主业务登录 上节里面,我们已经将基本的前端 VUE + Element UI 整合到了一起.并 ...

  3. spring mvc+redis实现微信小程序登录

    本文将详细的介绍微信小程序的登录流程以及在ssm框架下如何实现小程序用户登录 登录流程概要 主要的登录流程可以参考官方提供的一张流程图: 1.微信前台页面: 在微信版本更新之后,提高了安全机制,我们需 ...

  4. 小程序登录、微信网页授权(Java版)

    首先呢,“登录”.“授权”.“授权登录”,是一样的意思,不用纠结. 写小程序授权登录的代码前,需要了解清楚openid与unionid的区别,这里再简单介绍一下: 腾讯有个 “微信·开放平台”,只有企 ...

  5. 基于Shiro,JWT实现微信小程序登录完整例子

    小程序官方流程图如下,官方地址 : https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html ...

  6. 微信小程序登录JAVA后台

    代码地址如下:http://www.demodashi.com/demo/12736.html 登录流程时序登录流程时序 具体的登录说明查看 小程序官方API 项目的结构图: springboot项目 ...

  7. 做一个开源的小程序登录模块组件(token)

    先了解下SSO 对于单点登陆浅显一点的说就是两种,一种web端的基于Cookie.另一种是跨端的基于Token,一般想要做的都优先做Token吧,个人建议,因为后期扩展也方便哦. 小程序也是呢,做成t ...

  8. Flask与微信小程序登录(后端)

    开发微信小程序时,接入小程序的授权登录可以快速实现用户注册登录的步骤,是快速建立用户体系的重要一步.这篇文章将介绍 python + flask + 微信小程序实现用户快速注册登录方案(本文主要进行后 ...

  9. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(四):客户端强类型约束,自动生成 API TS 类型定义

    系列 云原生 API 网关,gRPC-Gateway V2 初探 Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务:第一篇 Go + gRPC-Gateway(V2) ...

随机推荐

  1. larav jq ajax 登录

    //自高自测登录8.10 Route::get('name/login','nameLoginController@login'); Route::post('/name/logins','nameL ...

  2. NOIP集训题目解析

    11.01 子段和 题目大意 给定一个长度为 \(n\) 的序列 \(a\) ,\(a_i=\{ -1,0,1 \}\) ,需要将 \(a\) 中的 \(0\) 变为 \(1\) 或 \(-1\) , ...

  3. JavaSE 千寻简学习笔记

    JavaSE 千寻简学习笔记 简介 TIOBE:编程语言排行榜 官网:https://hellogithub.com/report/tiobe/ 如何高效的学习Java 多写(代码)多写(笔记)多写( ...

  4. spring——AOP(静态代理、动态代理、AOP)

    一.代理模式 代理模式的分类: 静态代理 动态代理 从租房子开始讲起:中介与房东有同一的目标在于租房 1.静态代理 静态代理角色分析: 抽象角色:一般使用接口或者抽象类来实现(这里为租房接口) pub ...

  5. Debian与Ubuntu到底有什么不同,应该如何选择?

    镜像下载.域名解析.时间同步请点击 阿里云开源镜像站 在CentOS转向CentOS Stream之后,这意味着它将变得不可靠. 但是幸好,仍然有非常优秀的Linux发行版本在等我们.其中比较有知名度 ...

  6. Activemq特性之持久化--LevelDB特性

    LevelDB持久性适配器使用LevelDB作为高性能的消息存储.它是一个基于文件的存储库,它使用了Google的LevelDB,将索引保存到包含消息的日志文件中.它经过优化,提供了比KahaDB更快 ...

  7. Monkey的参数及简单使用

    什么是Monkey? Monkey是Android SDK提供的一个命令行工具,可以简单方便的发送伪随机的用户事件流,对Android APP做压力(稳定性)测试.主要是为了测试app是否存在无响应和 ...

  8. Discuz!X系列全版本后台sql注入复现

    圈子某位大佬公布的0day,拿来刷一刷,漏洞分析请移步大佬文章.大佬链接 0x01 环境准备 1.首先去码云下载最新版本的discuz(DiscuzX 3.4 R20191201). 2.将upaod ...

  9. Vscode的使用小技巧

    命令行启动code 如果你的系统是Linux系统(我使用的是Ubuntu 16.04)这样就可以直接使用 code + filename来编辑文件(就像vi + filename) 如果你的系统是Ma ...

  10. 🍛 餐厅吃饭版理解 IO 模型:阻塞 / 非阻塞 / IO 复用 / 信号驱动 / 异步

    IO 概念 一个基本的 IO,它会涉及到两个系统对象,一个是调用这个 IO 的进程对象,另一个就是系统内核 (kernel).当一个 read 操作发生时,它会经历两个阶段: 通过 read 系统调用 ...