Spring Cloud OAuth2实现手机验证码登录

前言

1、本文默认各位同学已经整合好密码模式。

2、没有整合好也没关系，可以参考架构搭建中的文章来走通基础搭建过程

不想看分析，想直接简单粗暴开始干的请直接跳到标题为编码阶段的开始看

架构搭建

本文只说验证码登录相关部分，默认大家Spring Cloud OAuth2这部分环境已经搭建好。

https://www.cnblogs.com/fengzheng/p/11724625.html

需求

OAuth 2 有四种授权模式，分别是授权码模式（authorization code）、简化模式（implicit）、密码模式（resource owner password credentials）、客户端模式（client credentials）。

但是有时候我们需要一些自己特殊的模式登录，比如说验证码登录，第三方登录等等。上面好像并不是很方便，接下来我会将密码模式改造成验证码方式来登录。

思路分析

TokenEndpoint类中可以看到入口/oauth/token

 

首先我们要知道/oauth/token是我们登录验证调用的接口，无论是get还是post都会走到post这个方法中。

其次我们需要打断点去看一下源码，了解两件事。

1、哪一步加入的四种授权模式。（因为四种授权模式是写死在源码里的，拓展的时候我们得自己加上）

2、密码模式是在哪里开始验证用户名密码。（为的是改造那部分来写自己的验证码模式）

看源码阶段

 

OAuth2AccessToken token = this.getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

这句代码就是我们要找的突破点

this.getTokenGranter()会调用this.tokenGranter()，

 

tokenGranter的内容为：

 

this.getDefaultTokenGranters()

就是这个方法，写死了那四种授权模式。红圈部分是在添加密码模式，之后我们就是要在这里添加我们的授权码模式

 

密码模式实现类ResourceOwnerPasswordTokenGranter

 

ResourceOwnerPasswordTokenGranter继承了AbstractTokenGranter类

而AbstractTokenGranter的实现类正好对应着四种授权模式，外加个刷新token的

 

那么改造思路就很明确了

1、我们自己新增一个验证码模式类继承AbstractTokenGranter，

2、在源码调用this.getDefaultTokenGranters()方法的时候我们手动把这个类加进去不就行了

编码阶段

新建自定义验证码类SmsTokenGranter

内容直接复制ResourceOwnerPasswordTokenGranter中的内容

 

password换成我们自定义的sms

 

 

重点在于this.checkPhoneSms(parameters);这是我们自定义的验证方法，对于验证码的验证就在这个方法中去做

//在这个类中无法使用@autowire来从spring容器中取bean，因为不是他管理的，
//所以我们写了一个工具类(就是附录中的ApplicationContextAwareUtil)去取我们需要的bean
public UserInfoService userInfoService = ApplicationContextAwareUtil.getBean("userInfoServiceImpl");
public StringRedisTemplate stringRedisTemplate = ApplicationContextAwareUtil.getBean("stringRedisTemplate");

/**
     * 自定义手机验证码校验
     */
    public void checkPhoneSms(Map<String, String> parameters) {
        String phone = (String) parameters.get("phone");
        String code = (String) parameters.get("code");//验证码
        
        if (StringUtils.isBlank(phone)) {
            throw new InvalidGrantException("手机号不能为空");
        }
        if (StringUtils.isBlank(code)) {
            throw new InvalidGrantException("验证码不能为空");
        }

        String codeCache = stringRedisTemplate.opsForValue().get("sms:" + phone);
        if (StringUtils.isBlank(codeCache)) {
            throw new InvalidGrantException("验证码已失效，请重新获取");
        }
        if (!code.equals(codeCache)) {
            throw new InvalidGrantException("验证码错误");
        }
        /**
            1、从缓存中根据手机号取出验证码验证
            2、验证通过后根据手机号查出用户名密码，设置到parameters中，这样本质就还是走密码模式
            （如果未创建的用户在这一步可以调用创建用户的方法，同时随机生成一个密码存着）。            
            
            特别注意：设置password时，根据自己的实际情况决定是否要使用PasswordEncoder，否则密码验证
            时会一直报错。不清楚PasswordEncoder是啥的同学，建议先阅读下面链接的环境搭建
            https://www.cnblogs.com/fengzheng/p/11724625.html
        */
        
        //设置username和password，之所以加个冒号
        //是为了在loadUserByUsername方法中和原本走密码模式的username做一个区分
        parameters.put("username", userInfo.getUsername() + ":");
        parameters.put("password", password);
    }

loadUserByUsername方法中会根据username获取用户的权限信息组装起来

 

之所以加冒号区分是因为，我们在checkPhoneSms自定义方法中根据手机号拿到的密码，是我已经加密过的，数据库中不会存真实的密码的。

问题在于原本的密码模式，是直接拿到我们输入的密码然后用passwordEncoder加密后再继续处理的，改成手机登录后我们拿到的就是一个加密的密码，所以它又会加密一次。所以在loadUserByUsername方法中，我们发现是其他模式登录时，把password也再加密一次。这样对比的密码就一致了。

在源码中加入我们自定义的验证码类

方式有好几种，我就提供一种简单粗暴的，有想法的同学可以自己更改方式

 

我这里是从源码中把AuthorizationServerEndpointsConfigurer类复制出来，放在同名的包下，这样启动项目后就会优先走我们修改的代码

修改的东西很简单，把密码模式那句话复制一下，把new的类从ResourceOwnerPasswordTokenGrantercoin换成我们自定义的，SmsTokenGranter类即可,参数不用改变。

 

修改OAuth2 的认证中心配置文件

加上sms，这样在后面查找授权模式的时候才能找到

 

调用测试

输入一个错误的验证码

 

输入一个正确的验证码

在redis中我们预设值一个

 

 

最后就能验证成功了

附录

ApplicationContextAwareUtil

/**
 * 存在一些情况无法直接Autowired注入我们需要的类，通过此工具类则可以直接获取spring中的bean
 * <p>
 * 根据类名获取实例，例：
 * public StringRedisTemplate stringRedisTemplate = ApplicationContextAwareUtil.getBean("stringRedisTemplate");
 */
@Component
public class ApplicationContextAwareUtil implements ApplicationContextAware {

    private static ApplicationContext applicationContext;

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        ApplicationContextAwareUtil.applicationContext = applicationContext;

    }

    public static ApplicationContext getApplicationContext() {
        return applicationContext;
    }

    @SuppressWarnings("unchecked")
    public static <T> T getBean(String name) throws BeansException {
        if (applicationContext == null) {
            return null;
        }
        return (T) applicationContext.getBean(name);
    }

}

参考文章

https://www.cnblogs.com/fengzheng/p/11724625.html

https://blog.csdn.net/qq213539/article/details/84312431