最近实现了一个多端登录的Spring Security组件,用起来非常丝滑,开箱即用,可插拔,而且灵活性非常强。我觉得能满足大部分场景的需要。目前完成了手机号验证码和微信小程序两种自定义登录,加上默认的Form登录,一共三种,现在开源分享给大家,接下来简单介绍一下这个插件包。

DSL配置风格

切入正题,先来看看配置:

    @Bean

    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {

        http.csrf().disable()

                .authorizeRequests()

                .mvcMatchers("/foo/**")

                .access("hasAuthority('ROLE_USER')").anyRequest().authenticated()

                .and()

                // 默认form表单登录

                .formLogin()

                .and()

                .apply(new LoginFilterSecurityConfigurer<>())

                // 验证码登录

                .captchaLogin(captchaLoginConfigurer ->

                                // 验证码校验 1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                captchaLoginConfigurer.captchaService(this::verifyCaptchaMock)

                                        // 根据手机号查询用户UserDetials  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                        .captchaUserDetailsService(this::loadUserByPhoneMock)

                                        // 生成JWT 返回  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                        .jwtTokenGenerator(this::tokenResponseMock)

                        //todo 其它配置省略……

                )

                // 小程序登录 同时支持多个小程序

                .miniAppLogin(miniAppLoginConfigurer -> miniAppLoginConfigurer

                                // 实现小程序多租户

                                // 根据请求携带的clientid 查询小程序的appid和secret 1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .miniAppClientService(this::miniAppClientMock)

                                // 小程序用户 自动注册和检索  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .miniAppUserDetailsService(new MiniAppUserDetailsServiceMock())

                                // 小程序sessionkey缓存 过期时间应该小于微信官方文档的声明   1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .miniAppSessionKeyCache(new MiniAppSessionKeyCacheMock())

                                // 生成JWT 返回  1 在此处配置 优先级最高 2 注册为Spring Bean 可以免配置

                                .jwtTokenGenerator(this::tokenResponseMock)

                        //todo 其它配置省略……

                );

        return http.build();

    }

这种风格完全贴合了Spring SecurityDSL配置风格,不仅仅高大上,而且可以按需配置。如果你没有验证码登录直接删掉captchaLogin方法;如果你没有微信小程序登录直接删掉miniAppLogin方法。甚至还可以对单种登录进行细粒度定制化,formLogin有的功能基本验证码登录和微信小程序登录的都有。

为什么这么灵活?

这里抽象了一个登录配置类:

 public abstract class AbstractLoginFilterConfigurer<H extends HttpSecurityBuilder<H>,

         C extends AbstractLoginFilterConfigurer<H, C, F>,

         F extends AbstractAuthenticationProcessingFilter>

         extends AbstractHttpConfigurer<AbstractLoginFilterConfigurer<H, C, F>, H> {

             // 省略……

         }

所有额外的登录渠道大都可以通过这个类来扩展,负责验证码登录的CaptchaLoginFilterConfigurer和微信小程序登录的MiniAppLoginFilterConfigurer都是该类实现的,基本上你看了源码也能照葫芦画瓢来一个。

另外上面这些配置项接口,都可以放在Spring IoC中,配置类能自动获取,不过优先级最高的还是通过上面代码中配置的具体实现,原理参见下面的的样例:

  @Override

     protected AuthenticationSuccessHandler defaultSuccessHandler(H http) {

         // 如果配置类没有配置 就尝试去Spring IoC中发现

         if (this.jwtTokenGenerator == null) {

             ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);

             jwtTokenGenerator = getBeanOrNull(applicationContext, JwtTokenGenerator.class);

         }

         Assert.notNull(jwtTokenGenerator, "jwtTokenGenerator is required");

         return new LoginAuthenticationSuccessHandler(jwtTokenGenerator);

     }

 ​

 ​

     public final <T> T getBeanOrNull(ApplicationContext applicationContext, Class<T> beanType) {

         String[] beanNames = applicationContext.getBeanNamesForType(beanType);

         if (beanNames.length == 1) {

             return applicationContext.getBean(beanNames[0], beanType);

         }

         return null;

     }

使用方法

自行使用Maven命令mvn install到本地仓库,然后引入:

        <dependency>

            <groupId>cn.felord</groupId>

            <artifactId>spring-security-extension</artifactId>

            <version>1.0.0</version>

        </dependency>

然后参考样例sample项目进行开发,登录方式有三种。

普通登录

原生Spring Security接口



POST /login?username=user&password=12345 HTTP/1.1

Host: localhost:8080

验证码登录

需要先实现必须的配置接口

发送验证码后调用验证码登录接口:



POST /login/captcha?phone=11111111111&captcha=123123 HTTP/1.1

Host: localhost:8080

小程序登录

需要先实现必须的配置接口

前端先调用微信授权登录接口获取openid:



POST /miniapp/preauth?clientId=wxxda23234&jsCode=051A23234ZHa1tZ5yj3AOlFr HTTP/1.1

Host: localhost:8080

响应:

{

    "code": 200,

    "data": {

        "errcode": null,

        "errmsg": null,

        "sessionKey": null,

        "openid": "oWmZj5QBrZxxxxx8OUxRrZJi4",

        "unionid": "oS-dxxxxxx4w_x7dA-h9MIuA"

    },

    "msg": "",

    "identifier": true

}

然后调用小程序登录接口:

POST /login/miniapp HTTP/1.1

Host: localhost:8080

Content-Type: application/json

{

    "clientId": "wxd14qr6",

    "openId": "oWmZj5QBrZIBks0xx8OUxRrZJi4",

    "unionId": "oS-dK520tgW8xxxx7dA-h9MIuA",

    "iv":"LQUOt8BSTa7xxxpe1Q==",

    "encryptedData": "10hn3o4xxxxxrO/Ag5nRD3QkLSzduKnWuzN9B/H4Y0G5mDPR8siA7T8yaaqZsrMycLAoe2qrd1J75yYetYuWifiq3jUrcceRZHVxxl9LnQdW8f5+pMTnQtCYiMJ7Jm9paCw2Bh+5Lowkyqkx1q0fALvCQ9LXPPLAbLOB9CavRfKoenAmyyHQjZ/6lz0njzA=="

}

获取方式

Gitee: felord/spring-security-login-extension

关注公众号:Felordcn 获取更多资讯

个人博客:https://felord.cn

Spring Security 一键接入验证码登录和小程序登录的更多相关文章

  1. Spring Security 整合 微信小程序登录的思路探讨

    1. 前言 原本打算把Spring Security中OAuth 2.0的机制讲完后,用小程序登录来实战一下,发现小程序登录流程和Spring Security中OAuth 2.0登录的流程有点不一样 ...

  2. 【手摸手,带你搭建前后端分离商城系统】03 整合Spring Security token 实现方案,完成主业务登录

    [手摸手,带你搭建前后端分离商城系统]03 整合Spring Security token 实现方案,完成主业务登录 上节里面,我们已经将基本的前端 VUE + Element UI 整合到了一起.并 ...

  3. spring mvc+redis实现微信小程序登录

    本文将详细的介绍微信小程序的登录流程以及在ssm框架下如何实现小程序用户登录 登录流程概要 主要的登录流程可以参考官方提供的一张流程图: 1.微信前台页面: 在微信版本更新之后,提高了安全机制,我们需 ...

  4. 小程序登录、微信网页授权(Java版)

    首先呢,“登录”.“授权”.“授权登录”,是一样的意思,不用纠结. 写小程序授权登录的代码前,需要了解清楚openid与unionid的区别,这里再简单介绍一下: 腾讯有个 “微信·开放平台”,只有企 ...

  5. 基于Shiro,JWT实现微信小程序登录完整例子

    小程序官方流程图如下,官方地址 : https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html ...

  6. 微信小程序登录JAVA后台

    代码地址如下:http://www.demodashi.com/demo/12736.html 登录流程时序登录流程时序 具体的登录说明查看 小程序官方API 项目的结构图: springboot项目 ...

  7. 做一个开源的小程序登录模块组件(token)

    先了解下SSO 对于单点登陆浅显一点的说就是两种,一种web端的基于Cookie.另一种是跨端的基于Token,一般想要做的都优先做Token吧,个人建议,因为后期扩展也方便哦. 小程序也是呢,做成t ...

  8. Flask与微信小程序登录(后端)

    开发微信小程序时,接入小程序的授权登录可以快速实现用户注册登录的步骤,是快速建立用户体系的重要一步.这篇文章将介绍 python + flask + 微信小程序实现用户快速注册登录方案(本文主要进行后 ...

  9. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(四):客户端强类型约束,自动生成 API TS 类型定义

    系列 云原生 API 网关,gRPC-Gateway V2 初探 Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务:第一篇 Go + gRPC-Gateway(V2) ...

随机推荐

  1. 分页PHP

    <?php//1.连接数据库$link = mysqli_connect('127.0.0.1','root','root','1906');//2.设置字符集mysqli_set_charse ...

  2. 认识变量(python)

    一.变量定义 1.1使用规范:先定义,后使用 1.2由三部分组成:变量名,赋值符号,变量值 1.3定义变量就是申请一个内存空间,python内部优化机制,对于数据量小的申请,就不重复开内存空间 二.变 ...

  3. OpenTracing 简介

    自从 Google Dapper 的论文发布之后,各大互联网公司和开源社区开发的分布式链路追踪产品百花齐放,同时也给使用者带来了一个问题,各个分布式链路追踪产品的 API 并不兼容,如果用户在各个产品 ...

  4. python学习之matplotlib实战2

    import numpy as np import matplotlib.pyplot as plt def main(): #scatter fig = plt.figure() ax = fig. ...

  5. PHP命令执行集锦

    前言 代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下 命令执行函数 E.g.1 <?php error_reporting(0); s ...

  6. MySQL CREATE TABLE 简单设计模板交流

      推荐用 MySQL 8.0 (2018/4/19 发布, 开发者说同比 5.7 快 2 倍) 或同类型以上版本. CREATE TABLE TEMPLATE CREATE TABLE [table ...

  7. python基础之序列类型的方法——字符串方法

    python基础之序列类型的方法--字符串方法 Hello大家好,我是python学习者小杨同学,经过一段时间的沉淀(其实是偷懒不想更新),我终于想起了自己的博客账号,所以这次带来的是序列方法的后半部 ...

  8. python3判断一个数是否为素数

    while True: num = int(input('请输入一个数:')) for i in range(2,num):#判断在num之前的数能不能把num整除 if(num%i == 0): p ...

  9. Java的浅克隆和深克隆

    如何实现对象的克隆 (1)实现 Cloneable 接口并重写 Object 类中的 clone() 方法: (2)实现 Serializable 接口,通过对象的序列化和反序列化实现克隆,可以实现真 ...

  10. EVM

    靶机设置 将靶机导入VirtualBox中,有时候导入VM会出错,扫描不到ip地址. kali:192.168.1.100 kali扫描获得ip地址:192.168.1.107 渗透测试 接着扫描端口 ...