万字长文详解SpringSecurity验证码的生成

本文思维导图

图1-1 验证码生成 概图

概述

总所周知&＃xff0c;验证码方式的登录模式十分的普遍&＃xff0c;不过 Spring Security 并没有提供比较好的原生解决方案&＃xff0c;但是我们可以 do it by ourselves&＃xff01;&＃xff0c;本文的篇幅相对比较长&＃xff0c;因此分上下篇分别来介绍。上篇主要介绍&＃xff1a;验证码的生成&＃xff0c;下篇对自定义验证码登录的流程进行讲解。

我们比较常见的验证码主要有两种&＃xff1a;图形验证码以及短信验证码&＃xff0c;相对来说不是特别的复杂。可能会有人有疑惑&＃xff1a;为什么简单的验证码生成需要花费一整篇幅来介绍呢&＃xff1f;原因当然是&＃xff1a;身为菜鸟的我也有一个架构师的梦&＃xff01;验证码的生成会结合模板方法模式一起讲解。

初探模板方法模式

模板方法模式属于一种行为型的设计模式&＃xff0c;主要是用来解决复用和扩展两个问题。

模板方法模式在一个方法中定义一个算法骨架&＃xff0c;并将某些步骤推迟到某些子类中实现。该模式可以让子类在不改变算法整体结构的情况&＃xff0c;重新定义算法中的某些步骤细节。

这里提到了一个算法骨架的概念&＃xff0c;算法 并非是指数据结构中的“算法”&＃xff0c;可以理解为广义上的业务逻辑&＃xff1b;骨架 架子其实就是模板&＃xff1b;总的来说&＃xff1a;算法骨架 可以理解为包含广义业务逻辑的模板方法。

实践出真知

绝大部分的设计模式的原理都十分的简单&＃xff0c;难得是将原理落实到实践中&＃xff0c;解决实际问题。

我们知道模板方法模式主要是用来解决 复用 和 扩展 这两个问题&＃xff0c;结合到实际情况中来分析&＃xff1b;验证码生成有哪些地方需要 复用 和 扩展 呢&＃xff1f;

让我们来梳理一下验证码登录模式的流程&＃xff0c;无论是短信验证码还是图形验证码&＃xff0c;大致上都有如下步骤&＃xff1a;生成验证码、存储、发送、校验&＃xff1b;既然流程上相同&＃xff0c;那么就能做到复用。而扩展 并非是指代码的扩展性&＃xff0c;而是指框架上的扩展性&＃xff0c;模板方法模式可以让使用者在不修改骨架源码的情况下&＃xff0c;定制化扩展功能。

废话不多说&＃xff0c;接下来就来瞅瞅模板方法模式在验证码生成模块的落地情况吧&＃xff01;还是老规矩&＃xff0c;先上图&＃xff1a;

图1-2 验证码关系概览图

验证码的生成主要分3个模块&＃xff1a;骨架模块、验证码生命周期模块、具体验证码模块&＃xff08;短信验证码和图形验证码&＃xff09;

• 骨架模块主要包含 ValidateCodeProcessor 接口以及AbstractValidateCodeProcessor抽象类&＃xff1b;封装了验证码相关的可复用的业务逻辑。

• 验证码生命周期模块是指&＃xff1a;验证码的生成、存储、发送。

• 具体验证码模块涉及短信验证码和图形验证码&＃xff0c;基于骨架重新定义自己的相关实现。

验证码骨架

无论是图形验证码还是短信验证码&＃xff0c;验证码的相关业务逻辑&＃xff08;算法骨架&＃xff09;都是大同小异的&＃xff1b;主要是验证码的 创建流程 和 验证流程。因此使用模板方法模式&＃xff0c;对可复用的业务逻辑进行抽离&＃xff0c;封装成一个骨架。

ValidateCodeProcessor.class

/*** 校验码处理器 封装不同验证码的处理逻辑*/
public interface ValidateCodeProcessor {/*** 创建验证码* 1.生成验证码  2.存储  3.发送** &＃64;param res http请求的request和response封装* &＃64;throws Exception*/void create(ServletWebRequest res) throws Exception;/*** 校验验证码** &＃64;param res*/void validate(ServletWebRequest res);
}


ValidateCodeProcessor 接口定义了2个方法&＃xff1a;create() 方法&＃xff0c;用于验证码的生成&＃xff0c; validate() 方法用于验证码的校验。

AbstractValidateCodeProcessor.class

/*** 抽象方法模式——算法骨架* 对验证码的一些公有的业务逻辑进行抽离&＃xff0c;做到复用**/
&＃64;Slf4j
public abstract class AbstractValidateCodeProcessor implements ValidateCodeProcessor {/*** 收集系统中所有的 {&＃64;link ValidateCodeGenerator} 接口的实现。*/&＃64;Autowiredprivate Map validateCodeGeneratorMap;/*** 验证码的存储介质*/&＃64;Autowiredprivate ValidateCodeRepository validateCodeRepository;private static final String SMS &＃61; "sms", IMAGE &＃61; "image";&＃64;Overridepublic void create(ServletWebRequest res) throws Exception {// 生成C validateCode &＃61; generate(res);// 存储save(res, validateCode);// 发送 &＃xff08;抽象方法 由具体的子类实现各自的发送逻辑&＃xff09;send(res, validateCode);}&＃64;Overridepublic void validate(ServletWebRequest res) {// 根据请求获取验证码的类型&＃xff0c;并且从repository存储层中寻找匹配的验证码ValidateCodeEnum codeEnum &＃61; getValidateCodeType(res);Optional codeOpt &＃61; validateCodeRepository.get(res, codeEnum);ValidateCode valCodeInStorage &＃61; codeOpt.orElseThrow(() -> new ValidateCodeException("验证码不存在"));// 从请求中获取验证码String codeInRequest;try {codeInRequest &＃61; ServletRequestUtils.getStringParameter(res.getRequest(),codeEnum.getType());} catch (ServletRequestBindingException e) {throw new ValidateCodeException("获取请求验证码的值失败");}if (StringUtils.isBlank(codeInRequest)) {throw new ValidateCodeException(codeEnum &＃43; "请求验证码的值不能为空");}// 对短信验证码做一个是否过期的判断if (ValidateCodeEnum.SMS.equals(codeEnum) && valCodeInStorage.checkExpired()) {validateCodeRepository.remove(res, codeEnum);throw new ValidateCodeException(codeEnum &＃43; "验证码已过期");}// 验证码校验if (!StringUtils.equals(valCodeInStorage.getCode(), codeInRequest)) {throw new ValidateCodeException(codeEnum &＃43; "验证码不匹配");}log.info("验证码校验成功");validateCodeRepository.remove(res, codeEnum);}/*** 生成验证码** &＃64;param res* &＃64;return C 验证码泛型*/&＃64;SuppressWarnings("unchecked")private C generate(ServletWebRequest res) {// 根据传入的res来做类型判断String type &＃61; getValidateCodeType(res).getType();// 获取具体的Generator的名字String generatorName &＃61; type.concat(ValidateCodeGenerator.class.getSimpleName());ValidateCodeGenerator codeGenerator &＃61; Optional.ofNullable(validateCodeGeneratorMap.get(generatorName)).orElseThrow(() -> new ValidateCodeException("验证码生成器&＃xff1a;" &＃43; generatorName &＃43; "不存在"));return (C) codeGenerator.generate(res);}/*** 存储短信验证码* 可复用---抽象类中定义** &＃64;param res* &＃64;param validateCode*/private void save(ServletWebRequest res, C validateCode) {ValidateCode code &＃61; new ValidateCode(validateCode.getCode(), validateCode.getExpireTime());validateCodeRepository.save(res, code, getValidateCodeType(res));}/*** 验证码的发送* 图形验证码和短线验证码的发送逻辑不一样&＃xff0c;因此设计为抽象方法&＃xff0c;由具体的子类实现各自的发送逻辑** &＃64;param res* &＃64;param validateCode* &＃64;throws ServletRequestBindingException* &＃64;throws IOException*/protected abstract void send(ServletWebRequest res, C validateCode) throws ServletRequestBindingException, IOException;/*** 根据请求的url获取校验码的类型** &＃64;param res* &＃64;return ValidateCodeType*/private ValidateCodeEnum getValidateCodeType(ServletWebRequest res) {String uri &＃61; res.getRequest().getRequestURI();if (StringUtils.contains(uri, SMS)) {return ValidateCodeEnum.SMS;}return ValidateCodeEnum.IMAGE;}
}


AbstractValidateCodeProcessor 抽象类实现 ValidateCodeProcessor 接口&＃xff0c;主要功能是对验证码相关的共有逻辑进行一个抽离&＃xff0c;达到功能的复用。

• create流程可以细分为以下几个步骤&＃xff1a;生成、存储、发送。

• validate是做验证码的校验&＃xff0c;无论是图形验证码or短信验证码&＃xff1b;验证的逻辑是一致的。

类中有2个成员变量&＃xff1a;

• private Map validateCodeGeneratorMap 验证码生成器&＃xff0c;不同的验证码生成逻辑不同&＃xff0c;因此生成模块抽离出去由外部实现。需要提到的是:这里使用到Spring 的 定向查找 技巧进行注入&＃xff0c;Spring 启动时&＃xff0c;会查找容器中所有 ValidateCodeGenerator接口的实现&＃xff0c;并把Bean的名字作为 Key,实体作为Value放到 Map中。

• private ValidateCodeRepository validateCodeRepository 验证码存储层&＃xff0c;生成的验证码code值需要存储到某个存储介质中&＃xff0c;用以后续校验的时候取得&＃xff08;我这里使用的是Redis作为存储介质&＃xff09;。

验证码生命周期

验证码的生命周期可简单的划分为&＃xff1a;生成、存储、发送。

生成验证码

生成和发送模块也相对简单&＃xff0c;就是定义了验证码的具体生成器以及发送器。

ValidateCodeGenerator.class

/*** 验证码生成器*/
public interface ValidateCodeGenerator {/*** 生成验证码** &＃64;param res http请求中的request和response* &＃64;return ValidateCode*/ValidateCode generate(ServletWebRequest res);}


ValidateCodeGenerator接口定义了验证码生成方法generate()&＃xff0c;具体的生成逻辑由对应的子类SmsValidatecodeGenerator和ImageValidateCodeGenerator实现。

SmsValidateCodeGenerator.class

/*** 短信验证码生成器**/
public class SmsValidateCodeGenerator implements ValidateCodeGenerator {private final SecurityProperties securityProperties;public SmsValidateCodeGenerator(SecurityProperties securityProperties) {this.securityProperties &＃61; securityProperties;}/*** 短信验证码生成逻辑** &＃64;param res* &＃64;return ValidateCode*/&＃64;Overridepublic ValidateCode generate(ServletWebRequest res) {//随机生成指定长度的短信验证码String code &＃61; RandomStringUtils.randomNumeric(securityProperties.getCode().getSms().getLength());return new ValidateCode(code, securityProperties.getCode().getSms().getExpireIn());}
}


短信验证码的生成逻辑&＃xff0c;代码相对简单&＃xff0c;当然可以定义自己的生成逻辑&＃xff0c;反正就是随你开心就行拉&＃xff01;

ImageValidateCodeGenerator.class

/*** 图形验证码生成器**/
public class ImageValidateCodeGenerator implements ValidateCodeGenerator {private final SecurityProperties securityProperties;public ImageValidateCodeGenerator(SecurityProperties securityProperties) {this.securityProperties &＃61; securityProperties;}/*** 图形验证码生成逻辑* todo 这里的生成逻辑可稍微优化一下成utils** &＃64;param res* &＃64;return ValidateCode*/&＃64;Overridepublic ValidateCode generate(ServletWebRequest res) {// 这里是实现了验证码参数的三级可配&＃xff1a;请求级>应用级>默认配置 从请求中获取width 如果没有则从 securityProperties的配置中获取int width &＃61; ServletRequestUtils.getIntParameter(res.getRequest(), "width",securityProperties.getCode().getImage().getWidth());int height &＃61; ServletRequestUtils.getIntParameter(res.getRequest(), "height",securityProperties.getCode().getImage().getHeight());BufferedImage image &＃61; new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);Graphics g &＃61; image.getGraphics();Random random &＃61; new Random();g.setColor(getRandColor(200, 250));g.fillRect(0, 0, width, height);g.setFont(new Font("Times New Roman", Font.ITALIC, 20));g.setColor(getRandColor(160, 200));for (int i &＃61; 0; i < 155; i&＃43;&＃43;) {int x &＃61; random.nextInt(width);int y &＃61; random.nextInt(height);int xl &＃61; random.nextInt(12);int yl &＃61; random.nextInt(12);g.drawLine(x, y, x &＃43; xl, y &＃43; yl);}String sRand &＃61; "";for (int i &＃61; 0; i < securityProperties.getCode().getImage().getLength(); i&＃43;&＃43;) {String rand &＃61; String.valueOf(random.nextInt(10));sRand &＃43;&＃61; rand;g.setColor(new Color(20 &＃43; random.nextInt(110), 20 &＃43; random.nextInt(110), 20 &＃43; random.nextInt(110)));g.drawString(rand, 13 * i &＃43; 6, 16);}g.dispose();return new ImageValidateCode(image, sRand, securityProperties.getCode().getImage().getExpireIn());}/*** 生成随机背景条纹** &＃64;param fc* &＃64;param bc* &＃64;return Color*/private Color getRandColor(int fc, int bc) {Random random &＃61; new Random();if (fc > 255) {fc &＃61; 255;}if (bc > 255) {bc &＃61; 255;}int r &＃61; fc &＃43; random.nextInt(bc - fc);int g &＃61; fc &＃43; random.nextInt(bc - fc);int b &＃61; fc &＃43; random.nextInt(bc - fc);return new Color(r, g, b);}}


ImageValidateCodeGenerator为图形验证码生成器&＃xff0c;相对简单&＃xff1b;当然里面有些类util的代码可以更好的封装&＃xff0c;这里就不额外封装了。

存储验证码

验证码生成之后后端服务需要进行存储&＃xff0c;方便后续校验的时候取得&＃xff0c;相对比较简单&＃xff0c;我这里使用的是Redis来存储。

ValidateCodeRepository.class

/*** 验证码存取器 接口*/
public interface ValidateCodeRepository {/*** 保存验证码** &＃64;param res 请求HttpRequest 和HttpResponse的封装* &＃64;param code 验证码* &＃64;param validateCodeType 验证码类型*/void save(ServletWebRequest res, ValidateCode code, ValidateCodeEnum validateCodeType);/*** 获取验证码** &＃64;param res* &＃64;param validateCodeType* &＃64;return Optional*/Optional get(ServletWebRequest res, ValidateCodeEnum validateCodeType);/*** 移除验证码** &＃64;param request* &＃64;param codeType*/void remove(ServletWebRequest request, ValidateCodeEnum codeType);}


ValidateCodeRepository 接口主要定义了三个方法save保存验证码&＃xff0c; get获取验证码&＃xff0c; remove移除验证码

RedisValidateCodeRepository.class

/*** 基于redis的验证码存取器*/
&＃64;Slf4j
&＃64;Component
public class RedisValidateCodeRepository implements ValidateCodeRepository {&＃64;Autowiredprivate RedisTemplate redisTemplate;/*** 设备id*/private static final String DEVICE_ID &＃61; "deviceId";&＃64;Overridepublic void save(ServletWebRequest res, ValidateCode code, ValidateCodeEnum codeEnum) {redisTemplate.opsForValue().set(buildKey(res, codeEnum), code, 30, TimeUnit.MINUTES);}&＃64;Overridepublic Optional get(ServletWebRequest request, ValidateCodeEnum codeEnum) {Object value &＃61; redisTemplate.opsForValue().get(buildKey(request, codeEnum));if (value &＃61;&＃61; null) {log.warn("不存在对应的验证码");return Optional.empty();}return Optional.of((ValidateCode) value);}&＃64;Overridepublic void remove(ServletWebRequest request, ValidateCodeEnum codeEnum) {redisTemplate.delete(buildKey(request, codeEnum));}/*** 根据请求的设备生成验证码的key&＃xff0c;如果同一个设备多次请求 则先前的验证码则被覆盖无效** &＃64;param res* &＃64;param codeEnum* &＃64;return String redis存储的key*/private String buildKey(ServletWebRequest res, ValidateCodeEnum codeEnum) {String deviceId &＃61; res.getHeader(DEVICE_ID);if (StringUtils.isBlank(deviceId)) {throw new ValidateCodeException("请在请求头中携带deviceId参数");}String codeKey &＃61; SecurityConstant.DEFAULT_PARAMETER_NAME_CODE.concat(codeEnum.getType().toLowerCase()).concat(CommonConstant.COLON).concat(deviceId);log.info("本次请求生成的codeKey:{}", codeKey);return codeKey;}}


RedisValidateCodeRepository 类是接口的具体实现&＃xff0c;使用Redis 作为存储媒介&＃xff0c;代码相对比较简单&＃xff0c;不做过多的赘述。

发送验证码

验证码经过生成&＃xff0c;后端存储后&＃xff0c;就要进入最后一步&＃xff1a;发送。

ValidareCodeSender.class

/*** 短信验证码发送器*/
public interface SmsCodeSender {/*** 发送短线验证码** &＃64;param code* &＃64;param mobile*/void send(String code, String mobile);
}

DefaultSmsCodeSender.class

/*** 默认的短信验证码的发送器**/
&＃64;Slf4j
public class DefaultSmsCodeSender implements SmsCodeSender {&＃64;Overridepublic void send(String code, String mobile) {// 这里做简单的输出即可log.info("向手机号" &＃43; mobile &＃43; "发送短信验证码" &＃43; code);}
}


真实的生产中发送验证码需要使用第三方的短信服务&＃xff0c;由于这里是学习记录&＃xff0c;就简单的log一下记录发送。

图形验证码

图形验证码继承于验证码骨架&＃xff0c;实现图形验证码有关的自定义逻辑&＃xff0c;诸如&＃xff1a;生成、发送。

ImageValidateCodeProcessor.class

/*** 模板方法最底层 --- 基于各自的特定实现各自的发送行为**/
&＃64;Component("imageValidateCodeProcessor")
public class ImageValidateCodeProcessor extends AbstractValidateCodeProcessor {private static final String JPEG &＃61; "JPEG";&＃64;Overrideprotected void send(ServletWebRequest res, ImageValidateCode validateCode) throws IOException {if (Objects.nonNull(res.getResponse())) {ImageIO.write(validateCode.getBufferedImage(), JPEG, res.getResponse().getOutputStream());}}
}


ImageValidateCodeProcessor类主要自定义图形验证码的发送逻辑&＃xff0c;生成的逻辑已经封装在ImageValidateCodeGenerator类&＃xff0c;由依赖查找的方式注入到验证码骨架中了。

短信验证码

短信验证码继承于验证码骨架&＃xff0c;实现短信验证码有关的自定义逻辑&＃xff0c;诸如&＃xff1a;生成、发送。

SmsValidateCodeProcessor.class

/*** 短信验证码的处理器* 模板方法最底层 --- 基于各自的特定实现各自的发送行为**/
&＃64;Component("smsValidateCodeProcessor")
public class SmsValidateCodeProcessor extends AbstractValidateCodeProcessor {&＃64;Autowiredprivate SmsCodeSender smsCodeSender;private static final String MOBILE &＃61; "mobile";&＃64;Overrideprotected void send(ServletWebRequest res, ValidateCode validateCode) throws ServletRequestBindingException {smsCodeSender.send(validateCode.getCode(), ServletRequestUtils.getRequiredStringParameter(res.getRequest(), MOBILE));}
}


SmsValidateCodeProcessor类同样自定义短信验证码的发送逻辑&＃xff0c;生成的逻辑已经封装在SmsValidateCodeGenerator类&＃xff0c;由依赖查找的方式注入到验证码骨架中了。

其他模块

其他模块主要是一些配置类、枚举类、异常类以及是一些用以提升代码质量的封装&＃xff0c;需要特别介绍的是ValidateCodeBeanConfig 配置类和ValidateCodeException 异常类。

ValidateCodeBeanConfig 配置了bean的生成规则&＃xff0c;契合SpringBoot的默认实现原理&＃xff1a;用户有自定义则使用自定义&＃xff0c;没有则使用默认实现。

ValidateCodeBeanConfig.class

&＃64;Configuration
public class ValidateCodeBeanConfig {&＃64;Autowiredprivate SecurityProperties securityProperties;/*** 注册图形验证码生成器* 使用conditionalOnMissingBean是为了 如果业务方有自己的生成逻辑 则使用业务方的&＃xff1b;否则使用该默认配置* 方法名就是bean的名字** &＃64;return ValidateCodeGenerator*/&＃64;Bean&＃64;ConditionalOnMissingBean(name &＃61; "imageValidateCodeGenerator")public ValidateCodeGenerator imageValidateCodeGenerator() {return new ImageValidateCodeGenerator(securityProperties);}/*** 短线验证码生成器** &＃64;return ValidateCodeGenerator*/&＃64;Bean&＃64;ConditionalOnMissingBean(name &＃61; "smsValidateCodeGenerator")public ValidateCodeGenerator smsValidateCodeGenerator() {return new SmsValidateCodeGenerator(securityProperties);}/*** 找到smsCodeSender接口的所有实现类* 默认实现是用来被覆盖的* 如果之前用户已经配置了 则不再装载Default的*/&＃64;Bean&＃64;ConditionalOnMissingBean(SmsCodeSender.class)public SmsCodeSender smsCodeSender() {return new DefaultSmsCodeSender();}
}

配置Bean的生成规则&＃xff0c;例如&＃xff1a;Generator模块&＃xff0c;用户可通过实现ValidateCodeGenerator来达到自定义验证码生成&＃xff0c;否则使用默认的生成器&＃xff0c;也是一种编程技巧。

ValidateCodeException 异常类继承于 SpringSecurity的异常基类AuthenticationException&＃xff0c;这是因为我们是基于SpringSecurity做扩展开发自定义验证码认证模式。

/*** AuthenticationException是整个security异常中的基类* 验证码异常属于认证过程中的一个特例&＃xff0c;归属于该基类之下**/
public class ValidateCodeException extends AuthenticationException {/*** 验证码异常* &＃64;param msg* &＃64;return t*/public ValidateCodeException(String msg, Throwable t) {super(msg, t);}public ValidateCodeException(String msg) {super(msg);}
}

其他的一些可以根据类名大致猜出作用的类这里就不做过多的展示。

总结

本篇文章主要结合模板方法模式介绍了验证码的生成&＃xff0c;并且介绍了2个比较常用的编程技巧&＃xff1a;依赖查找 和 使用ConditionalOnMissingBean 契合SpringBoot默认实现思想。

本文如有错误或不妥指出&＃xff0c;烦请指出&＃xff01;

一套非常好的springboot学习教程分享给大家&＃xff08;需要的链接自行观看&＃xff09;&＃x1f447;&＃xff1a;

https://www.bilibili.com/video/BV1PZ4y1j7QK