转载

Spring Security实现短信验证码登录

Spring Security默认的一个实现是使用用户名密码登录，当初我们在开始做项目时，也是先使用这种登录方式，并没有多考虑其他的登录方式。而后面需求越来越多，我们需要支持短信验证码登录了，这时候再看了解Spring Security中如何实现短信验证码登录。

这里有一篇文章： SpringBoot 集成 Spring Security（8）——短信验证码登录，提供了一种比较正规的方法来解决这个问题，比如需要写filter类等等。但是我们需要临时性解决这个问题，于是就通过了其它非常规手段来实现。

我们知道默认的方式是，数据库里的user表保存了username和password，其中后者是密文保存。当用户登录时，Spring Security会拿用户传过来的密码进行加密后和数据库中password的值进行比较，相同则登录成功。如果是短信登录，需要传入的是手机号和验证码，比如叫phone和verification_code。

在我们的数据库中，username和phone都是唯一的，那我们想达到的效果就是，让对phone和 verification_code的校验转变成对username和password的校验就好了。这样一来，实现的逻辑如下：

在user表中添加一个字段verification_code，等用户获取手机验证码时，后端将返回给用户的验证码进行加密，加密方式和对password的处理一样，然后保存到 verification_code 字段中。然后用户在输入手机号和验证码登录时，我们根据手机号获取用户的username，然后将username和验证码传给获取token的接口，让这个接口以为我们使用的是用户名密码的登录方式，但是这个password值需要使用 verification_code字段的值来代替就好了。

那又怎么将 verification_code的值替换password值返回给Spring Security呢？

我们有一个UserServiceDetail类，实现了UserDetailsService接口，其中重载了方法：loadUserByUsername，Spring Security就是从这里拿到user表的password后进行比较判断的。那我们修改这个方法，如果是验证码登录方式，就把password属性设置成 verification_code的值，这样就欺骗了Spring Security，让它拿加密后的验证码去和password属性比较，如果相等也表示登录成功了。具体代码如下：