该方式可以有多种方法，首先，常用的用户名密码登录所用的filter是UsernamePasswordAuthenticationFilter，token是UsernamePasswordAuthenticationToken，provider是DaoAuthenticationProvider，

• 还有在配置中，以下貌似不能共存

//auth.authenticationProvider(new VerifyCodeAuthenticationProvider());
        auth.userDetailsService(authUserDetailService).passwordEncoder(passwordEncoder());

以下是方法：

①

AbstractUserDetailsAuthenticationProvider 是 DaoAuthenticationProvider是父继承类，我们可以重新继承AbstractUserDetailsAuthenticationProvider ，加入验证码参数，再去authenticate，最后在配置类中配置上就可以了，其实就是一个拓展，

• 参考：
  https://www.cnblogs.com/hello-shf/p/10800457.html

②

我们只要按照登录验证的步骤进行重新写一个自己的过滤器、token类、provider即可，参照UsernamePassword那种即可，但是配置会麻烦一些，与第一种其实蛮相似的，就是花多点功夫，在考虑组件化时，使用可能会好一些。

• 参考：
  https://blog.csdn.net/taojin12/article/details/104330566

③

直接定义一个filter，根据需要，放在UsernamePasswordAuthenticationFilter前面或者后面，

addFilterBefore(new VerifyCodeFilter(), UsernamePasswordAuthenticationFilter.class)

这种是比较清晰的，因为spring security本身就是一个filter链，不会干扰到原来的filter的，不会形成耦合，而配置类中还是保持这种就好，不用别的provider了。

auth.userDetailsService(authUserDetailService).passwordEncoder(passwordEncoder());

过滤器代码：

public class VerifyCodeFilter extends OncePerRequestFilter {

    private static final AntPathRequestMatcher ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/haha", HttpMethod.POST.name());

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {

        RequestMatcher.MatchResult matcher = ANT_PATH_REQUEST_MATCHER.matcher(httpServletRequest);
        if (matcher.isMatch()) {
            String errMsg = "";

            String inputVerifyCode = httpServletRequest.getParameter("verifyCode");

            if (StringUtils.isBlank(inputVerifyCode)) {
                errMsg = "验证码为空";
            } else {
                Object attrObj = httpServletRequest.getSession().getAttribute("verifyCode");
                if (Objects.isNull(attrObj) || attrObj.toString().isEmpty()) {
                    errMsg = "验证码已过期";
                } else {
                    String sessionVerifyCode = attrObj.toString();
                    if (!inputVerifyCode.equalsIgnoreCase(sessionVerifyCode)) {
                        errMsg = "验证码不正确";
                    }
                }
            }

            if (StringUtils.isNotBlank(errMsg)) {
                //为了回显错误信息，不需要可以删除，再修改上面的if..else，按情况抛exception
                httpServletRequest.getSession().setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, new VerfifyCodeException(errMsg));
                httpServletResponse.sendRedirect("/myLogin?error");
                return;
            }
        }
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

④

继承DaoAuthenticationProvider，其实我们只是要在登陆验证用户名密码的时候顺便验证一下验证码是否正确，看过Security登录流程源码的同学会发现，用户密码的校验是在DaoAuthenticationProvider类中additionalAuthenticationChecks方法进行的，additionalAuthenticationChecks方法是校验密码的，这里贴一下这个方法的源码：

protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
    if (authentication.getCredentials() == null) {
        this.logger.debug("Authentication failed: no credentials provided");
        throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
    } else {
        String presentedPassword = authentication.getCredentials().toString();
        if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {//这里进行密码校验
            this.logger.debug("Authentication failed: password does not match stored value");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }
}

因此，我们可以自定义一个AuthenticationProvider来代替 DaoAuthenticationProvider，并重其additionalAuthenticationChecks方法，在重写的过程中，加入验证码的校验逻辑即可。

创建自定义VerifyCodeAuthenticationProvider类，继承DaoAuthenticationProvider实现additionalAuthenticationChecks方法，内容如下：

public class VerifyCodeAuthenticationProvider extends DaoAuthenticationProvider {
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        //获取当前请求
        HttpServletRequest req = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        String code = req.getParameter("code");//从当前请求中拿到code参数
        String verifyCode = (String) req.getSession().getAttribute("verifyCode");//从session中获取生成的验证码字符串
        //比较验证码是否相同
        if (StringUtils.isBlank(code) || StringUtils.isBlank(verifyCode) || !Objects.equals(code, verifyCode)) {
            throw new AuthenticationServiceException("验证码错误!");
        }
        super.additionalAuthenticationChecks(userDetails, authentication);//调用父类DaoAuthenticationProvider的方法做密码的校验
    }
}

接下来就开始配置，让MyAuthenticationProvider代替DaoAuthenticationProvider，在SecurityConfig中添加以下代码：

@Bean
VerifyCodeAuthenticationProvider authenticationProvider() {
    VerifyCodeAuthenticationProvider authenticationProvider = new VerifyCodeAuthenticationProvider();
    authenticationProvider.setPasswordEncoder(passwordEncoder());
    authenticationProvider.setUserDetailsService(sysUserDetailService);
    return authenticationProvider;
}
@Override
@Bean
protected AuthenticationManager authenticationManager() throws Exception {
    return new ProviderManager(Arrays.asList(authenticationProvider()));
}

其中：

   authenticationProvider方法提供一个VerifyCodeAuthenticationProvider的实例，创建该实例时，需要提供UserDetailService和PasswordEncoder实例。

   重写authenticationManager方法来提供一个自己的AuthenticationManager，实际上就是ProviderManager，然后加入自定义的VerifyCodeAuthenticationProvider。

• 参考：
  https://blog.csdn.net/qq_37766026/article/details/107516200