我正在尝试为REST API创建一个安全模块,用户可以使用其电话号码进行注册并通过OTP(而不是密码)登录,就像在 WhatsApp 的情况下一样,没有设置任何密码。以前,我已经使用JWT和spring security创建了一个安全模块。
在当前的登录设置中,我将UsernamePasswordAuthenticationToken对象传递给AuthenticationManager
authenticationManager.authenticate( new UsernamePasswordAuthenticationToken( username, password ) );
现在,由于我将不再存储任何密码,因此我将依靠OTP验证来验证用户的可信度,在这种情况下我应该如何验证用户身份? 用户成功通过身份验证后,我将生成一个JWT令牌,该令牌将进一步用于验证用户的后续调用,直到该令牌有效为止。