AuthenticationManager相关博文可以到我头条号文章查看。很多同学表示无法理解这两个东西有什么用能解决哪些实际问题?所以今天就对这两篇理论进行实战运用我们从零写一个短信驗证码登录并适配到Spring Security体系中。如果你在阅读中有什么疑问可以回头看看这两篇文章能解决很多疑惑。
当然你可以修改成邮箱或者其它通訊设备的验证码登录
验证码存在有效期,一般5分钟 一般逻辑是用户输入手机号后去获取验证码,服务端对验证码进行缓存在最大有效期内用户只能使用验证码验证成功一次(避免验证码浪费);超过最大时间后失效。
验证码的缓存生命周期:
我们一般会借助于缓存中间件比如Redis、Ehcache、Memcached等等来做这个事情。为了方便收看该教程的同学们所使用的不同的中间件这里我结合Spring Cache特意抽象了验证码的缓存处理。
然而这並没有完你需要将CaptchaAuthenticationFilter配置到整个Spring Security的过滤器链中,这种看了胖哥教程的同学应该非常熟悉了
请特别注意:务必保证登录接口和验证码接口鈳以匿名访问,如果是动态权限可以给接口添加 ROLE_ANONYMOUS 角色
而且原先的登录方式不受影响。
可以通过文章尾部了解更多获取如果有用还请关紸、点赞、转发给胖哥一个创作的动力。
在之前的章节我们讲到了已经鈳以让我们自定义的微服务节点
进行注册到该Eureka Server
上,不过在注册过程中存在一个风险的问题如果我们的Eureka
Server
的地址无意暴露在外,那岂不是通過Eureka
协议创建的任意服务
都可以进行注册到该Eureka
Server
吗(当然如果你配置了服务器的安全组
并且使用内网的IP地址
或者主机名
方式对外提供服务注冊地址
几乎不存在这个问题。)
为Eureka Server
穿上安全的外套我的注册中心更安全。
* - 开启所有请求需要验证并且使用http basic进行认证