Spring Security之认证，网络安全大厂74道高级面试合集

return new BCryptPasswordEncoder();
}
}

自定义登录页面

SpringSecurity给我们提供了登录界面，但是再实际的项目中，登录页面都是用的自己的，这样更能突出项目特色，所以我们要自定义登录界面。
1.编写登录界面
2.在Spring Security配置类自定义登录页面

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
//Spring Security配置
@Override
protected void configure(HttpSecurity http) throws Exception {
// 自定义表单登录
http.formLogin()
.loginPage(“/login.html”) // 自定义登录页面
.usernameParameter(“username”) // 表单中的用户名项
.passwordParameter(“password”) // 表单中的密码项
.loginProcessingUrl(“/login”) // 登录路径，表单向该路径提交，提交后自动执行UserDetailsService的方法
.successForwardUrl(“/main”) //登录成功后跳转的路径
.failureForwardUrl(“/fail”); //登录失败后跳转的路径

// 需要认证的资源
http.authorizeRequests()
.antMatchers(“/login.html”).permitAll() //登录页不需要认证
.anyRequest().authenticated(); //其余所有请求都需要认证

//关闭csrf防护
http.csrf().disable();
}

@Override
public void configure(WebSecurity web) throws Exception {
// 静态资源放行
web.ignoring().antMatchers(“/css/**”);
}
}

突破CSRF防护

CSRF：跨站请求伪造，通过伪造用户请求访问受信任的站点从而进行非法请求访问，是一种攻击手段。SpringSecurity默认开启CSRF防护，这就限制了除了GET请求以外的大多数请求。我们可以通过关闭CSRF防护来解决问题，但是这就不够安全了。CSRF为了保证不是其他第三方网站访问，要求访问时携带参数名为_csrf值为令牌，令牌在服务端产生，如果携带的令牌和服务端的令牌匹配成功，则正常访问。

登录

会话管理

SpringSecurity提供了会话管理功能，它将用户信息保存再会话中，我们可以通过SecurityContext对象中获取用户信息。

@RestController
public class MyController {
// 获取当前登录用户名
@RequestMapping(“/users/username”)
public String getUsername(){
// 1.获取会话对象
SecurityContext context = SecurityContextHolder.getContext();
// 2.获取认证对象
Authentication authentication = context.getAuthentication();
// 3.获取登录用户信息
UserDetails userDetails = (UserDetails) authentication.getPrincipal();
return userDetails.getUsername();
}
}

认证成功后的处理

如果在认证成功后，需要处理一些自定义的逻辑，可以使用登陆成功处理器。
1.自定义登录成功处理器

public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
// 拿到登录用户的信息
UserDetails userDetails = (UserDetails)authentication.getPrincipal();
System.out.println(“用户名:”+userDetails.getUsername());
System.out.println(“一些操作…”);

// 重定向到主页
response.sendRedirect(“/main”);
}
}

2.配置登录成功处理器

http.formLogin() // 使用表单登录
.loginPage(“/login.html”) // 自定义登录页面
.usernameParameter(“username”) // 表单中的用户名项
.passwordParameter(“password”) // 表单中的密码项
.loginProcessingUrl(“/login”) // 登录路径，表单向该路径提交，提交后自动执行UserDetailsService的方法
// .successForwardUrl(“/main”) //登录成功后跳转的路径
.successHandler(new MyLoginSuccessHandler()) //登录成功处理器
.failureForwardUrl(“/fail”); //登录失败后跳转的路径

认证失败后的处理

如果在认证成功后，需要处理一些自定义的逻辑，可以使用登陆失败处理器。
1.自定义登录失败处理器

public class MyLoginFailureHandler implements AuthenticationFailureHandler {
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
System.out.println(“记录失败日志…”);
response.sendRedirect(“/fail”);
}
}

2.配置登录失败处理器

http.formLogin() // 使用表单登录
.loginPage(“/login.html”) // 自定义登录页面
.usernameParameter(“username”) // 表单中的用户名项
.passwordParameter(“password”) // 表单中的密码项
.loginProcessingUrl(“/login”) // 登录路径，表单向该路径提交，提交后自动执行UserDetailsService的方法
// .successForwardUrl(“/main”) //登录成功后跳转的路径
.successHandler(new MyLoginSuccessHandler()) //登录成功处理器
// .failureForwardUrl(“/fail”) //登录失败后跳转的路径
.failureHandler(new MyLoginFailureHandler()); //登录失败处理器

// 需要认证的资源
http.authorizeRequests()
.antMatchers(“/login.html”).permitAll() // 登录页不需要认证
.antMatchers(“/fail”).permitAll() // 失败页不需要认证
.anyRequest().authenticated(); //其余所有请求都需要认证

退出登录

当用户退出后，需要清楚认证状态、销毁HttpSession对象，跳转登录界面

1.配置退出登录的路径和退出后跳转的路径

// 退出登录配置
http.logout()
.logoutUrl(“/logout”) // 退出登录路径
.logoutSuccessUrl(“/login.html”) // 退出登录后跳转的路径
.clearAuthentication(true) //清除认证状态，默认为true
.invalidateHttpSession(true); // 销毁HttpSession对象，默认为true

2.在网页中添加退出登录超链接

主页面

退出登录

退出成功处理器

我们也可以自定义退出成功处理器，在退出后清理一些数据，写法如下：

1.自定义退出成功处理器

public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
@Override
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
System.out.println(“清除一些数据…”);
response.sendRedirect(“/login.html”);
}
}

2.配置退出成功处理器

// 退出登录配置
http.logout()
.logoutUrl(“/logout”) // 退出登录路径
// .logoutSuccessUrl(“/login.html”) // 退出登录后跳转的路径
.clearAuthentication(true) //清除认证状态，默认为true
.invalidateHttpSession(true) // 销毁HttpSession对象，默认为 true
.logoutSuccessHandler(new MyLogoutSuccessHandler()); //自定义退出成功处理器

Remember Me

SpringSecurity提供了“记住我”功能，当使用"记住我"功能登陆后，SpringSecurity会生成一个令牌，令牌一方面保存在数据库里，另一方面生成一个叫remember-me的Cookie保存到客户端。之后客户端访问项目时自动携带令牌，不登录即可完成认证。

1.编写“记住我”配置类

@Configuration
public class RememberMeConfig {
@Autowired
private DataSource dataSource;

// 令牌Repository
@Bean
public PersistentTokenRepository getPersistentTokenRepository() {
// 为Spring Security自带的令牌控制器设置数据源
JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl = new JdbcTokenRepositoryImpl();
jdbcTokenRepositoryImpl.setDataSource(dataSource);
//自动建表，第一次启动时需要，第二次启动时注释掉
// jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
return jdbcTokenRepositoryImpl;
}
}

2.修改Security配置类

// 记住我配置
http.rememberMe()
.userDetailsService(userDetailsService)//登录逻辑交给哪个对象
.tokenRepository(repository) //持久层对象
.tokenValiditySeconds(30); //保存时间，单位：秒

3.在登录页面添加“记住我”复选框

记住我 登录

---

总结

提示：这里对文章进行总结：

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

**

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-WGF1mc1H-1712716891406)]