下面我会给你详细讲解Spring Security配置多个数据源并添加登录验证码的实例代码。

1. 添加验证码

首先，我们需要添加验证码功能。我们可以通过在Spring Security过滤器链中添加一个自定义的过滤器来完成此操作。具体实现如下：

public class ValidateCodeFilter extends OncePerRequestFilter {

    @Autowired
    private ValidateCodeProcessorHolder validateCodeProcessorHolder;

    /**
     * 短信验证码
     */
    private static final String SMS_CODE = "sms";

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        if (StringUtils.equalsIgnoreCase(request.getRequestURI(), "/login") && StringUtils.equalsIgnoreCase(request.getMethod(), "post")) {
            try {
                validate(new ServletWebRequest(request));
            } catch (ValidateCodeException e) {
                SecurityContextHolder.clearContext();
                response.setContentType("application/json;charset=UTF-8");
                ObjectMapper om = new ObjectMapper();
                om.writeValue(response.getWriter(), new Result<>(ResultTypeEnum.ERROR.getCode(), e.getMessage()));
                return;
            }
        }
        filterChain.doFilter(request, response);
    }

    private void validate(ServletWebRequest request) {
        String type = request.getParameter("type");
        if (StringUtils.isEmpty(type)) {
            throw new ValidateCodeException("验证码类型不能为空");
        }
        ValidateCodeProcessor validateCodeProcessor = validateCodeProcessorHolder.findValidateCodeProcessor(type);
        if (validateCodeProcessor == null) {
            throw new ValidateCodeException("验证码处理器不存在");
        }
        validateCodeProcessor.validate(request);
    }
}

此过滤器将在访问“/login”URL并使用POST方法提交表单时调用。在这种情况下，它将读取表单参数“type”的值并调用“ValidateCodeProcessor”以验证验证码的有效性。

在Spring Security配置类中添加此过滤器，如下所示：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    // ...

    @Autowired
    private ValidateCodeFilter validateCodeFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // ...
        http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
            .formLogin()
            .loginPage("/login").permitAll()
            .and()
            .logout().permitAll()
            .and()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and().csrf().disable();
        // ...
    }
}

注意，“addFilterBefore ()”方法指定了我们自定义的过滤器在Spring Security过滤器链中的位置，“UsernamePasswordAuthenticationFilter.class”指定了该过滤器在用户名密码身份验证过滤器前执行。

2. 配置多个数据源

接下来，我们需要配置多个数据源以更好地支持实际应用。我们可以使用Spring Security提供的“AuthenticationManagerBuilder.jdbcAuthentication()”方法来实现此目的。具体实现如下：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication().dataSource(dataSource)
                .usersByUsernameQuery("SELECT username, password, enabled FROM users WHERE username = ?")
                .authoritiesByUsernameQuery("SELECT username, authority FROM authorities WHERE username = ?")
                .passwordEncoder(passwordEncoder());

        auth.jdbcAuthentication().dataSource(anotherDataSource)
                .usersByUsernameQuery("SELECT username, password, enabled FROM users_another WHERE username = ?")
                .authoritiesByUsernameQuery("SELECT username, authority FROM authorities_another WHERE username = ?")
                .passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // ...
}

注意，我们已经通过“auth.jdbcAuthentication()”方法与“dataSource”配置了默认的数据源，并通过“usersByUsernameQuery”和“authoritiesByUsernameQuery”方法指定了用于验证用户身份的查询语句。

此外，我们还通过调用“auth.jdbcAuthentication().dataSource(anotherDataSource)”方法配置了额外的数据源并提供了针对该数据源的SQL查询。

3. 示例说明

为了更好地说明上述配置，我们将使用两个示例分别使用上述两种不同的数据源进行身份验证。

示例1：使用默认数据源进行身份验证

通过使用默认的数据源和验证查询，我们将首先在示例中验证身份：

@Controller
public class MyController {

    @GetMapping("/hello")
    @ResponseBody
    public String hello() {
        return "Hello, Spring Security!";
    }

}

此处，我们只需通过添加“@PreAuthorize”注释来保护“/ hello”URL即可完成安全保护。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}

@Controller
public class MyController {

    @GetMapping("/hello")
    @ResponseBody
    @PreAuthorize("hasAuthority('ROLE_USER')")
    public String hello() {
        return "Hello, Spring Security!";
    }

}

然后，我们只需使用以下代码进行身份验证：

public class MyTest {
    private MockMvc mockMvc;

    @Autowired
    private FilterChainProxy filterChainProxy;

    @Autowired
    private WebApplicationContext wac;

    @BeforeEach
    public void setup() {
        mockMvc = MockMvcBuilders.webAppContextSetup(wac).addFilters(filterChainProxy).build();
    }

    @Test
    public void testHello() throws Exception {
        mockMvc.perform(MockMvcRequestBuilders.get("/hello")).andExpect(MockMvcResultMatchers.status().isUnauthorized());
        mockMvc.perform(MockMvcRequestBuilders.formLogin().user("user").password("123456"))
                .andExpect(MockMvcResultMatchers.status().isOk());
        mockMvc.perform(MockMvcRequestBuilders.get("/hello")).andExpect(MockMvcResultMatchers.status().isOk())
                .andExpect(MockMvcResultMatchers.content().string("Hello, Spring Security!"));
        mockMvc.perform(MockMvcRequestBuilders.logout()).andExpect(MockMvcResultMatchers.status().isOk());
    }

}

我们可以看到，通过在“MockMvcRequestBuilders.formLogin()”中使用“user”和“123456”进行身份验证后，我们成功访问了“/ hello”URL并返回“Hello，Spring Security！” 。

示例2：使用额外的数据源进行身份验证

然后，让我们使用第二个数据源并进行身份验证的示例。在这种情况下，我们将使用具有不同用户名和密码的不同表进行身份验证：

@Controller
public class MyAnotherController {

    @GetMapping("/more")
    @ResponseBody
    public String more() {
        return "More, Spring Security!";
    }

}

与之前的示例类似，我们只需添加“@PreAuthorize”注释即可完成保护：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}

@Controller
public class MyAnotherController {

    @GetMapping("/more")
    @ResponseBody
    @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    public String more() {
        return "More, Spring Security!";
    }

}

然后，我们可以使用以下代码进行身份验证：

public class MyAnotherTest {
    private MockMvc mockMvc;

    @Autowired
    private FilterChainProxy filterChainProxy;

    @Autowired
    private WebApplicationContext wac;

    @BeforeEach
    public void setup() {
        mockMvc = MockMvcBuilders.webAppContextSetup(wac).addFilters(filterChainProxy).build();
    }

    @Test
    public void testMore() throws Exception {
        mockMvc.perform(MockMvcRequestBuilders.get("/more")).andExpect(MockMvcResultMatchers.status().isUnauthorized());
        mockMvc.perform(MockMvcRequestBuilders.formLogin().user("admin").password("123456"))
                .andExpect(MockMvcResultMatchers.status().isOk());
        mockMvc.perform(MockMvcRequestBuilders.get("/more")).andExpect(MockMvcResultMatchers.status().isOk())
                .andExpect(MockMvcResultMatchers.content().string("More, Spring Security!"));
        mockMvc.perform(MockMvcRequestBuilders.logout()).andExpect(MockMvcResultMatchers.status().isOk());
    }

}

在这种情况下，通过使用“formLogin（）”和“admin”以及“123456”进行身份验证后，我们成功访问了“/ more”URL并返回“More，Spring Security！” 。

这就是关于Spring Security配置多个数据源并添加登录验证码的实例代码的完整攻略。