Spring Security怎么自定义登录页? 怎么注销?

最新推荐文章于 2023-04-16 00:48:35 发布
最新推荐文章于 2023-04-16 00:48:35 发布
阅读量157 收藏
点赞数
文章标签: spring 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BASK2311/article/details/128493732
版权

背景

前面章节你会发现, spring security生成的登录页特丑, 忍不了

本章内容

  • 怎么自定义登录页
  • 底层都怎么实现
  • 如何注销?
  • 注销底层源码简单分析

开干

  1. 去网上找个好看的前端, 改改
  2. 改改spring security配置
  3. 启动

几个红框框的地方注意下

@Configuration
public class SecurityConfig {
   
   @Bean
   public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      http.authorizeRequests()
            .antMatchers("/css/**", "/images/**", "/js/**").permitAll()
            .anyRequest().authenticated();
      
      http.formLogin(formLoginConfigurer -> {
         formLoginConfigurer.loginPage("/login.html");
         formLoginConfigurer.loginProcessingUrl("/doLogin");
         formLoginConfigurer.defaultSuccessUrl("/hello", true);
         formLoginConfigurer.permitAll();
      });
      
      http.csrf().disable();
      
      return http.build();
   }
   
}
复制代码
server:
  port: 8080
spring:
  security:
    user:
      name: zhazha
      password: "{noop}123456"
复制代码

都什么意思?

为什么spring security知道我们自定义了?

我们设置的loginPage地址去哪了?

我们配置的loginProcessingUrl在底层怎么玩?

前端已经用到这个地址了, 服务端只需要做个匹配器就好, 如果满足匹配器条件, 执行某个过滤器, 否则不执行过滤器

这个类可不得了 AbstractAuthenticationProcessingFilter, 看他实现就知道了

也就是说, 只要客户端请求了/doLogin, 就会被 AbstractAuthenticationProcessingFilter 过滤器匹配, 该过滤器就会拦截请求

又上面那个过滤器是抽象类, 最终一般都是UsernamePasswordAuthenticationFilter

spring security的匹配器和过滤器之间的关系类似于spring gateway的 predicates和filter, 也就是 kv 结构, k负责匹配, v负责功能

最后的permitAll呢?

默认是 true

几个地址都加入白名单

自定义表单属性

如果你前端请求传递给你的参数并不是 username 和 password 怎么办?

  1. 跟他说, 叫他改, 我喜欢, 约定大于配置
  2. 前端是老大, 我听他的
  3. 出去打一架

注销怎么拿捏?

// 注销
http.logout(logoutConfigurer -> {
   logoutConfigurer.invalidateHttpSession(true);
   logoutConfigurer.clearAuthentication(true);
   logoutConfigurer.permitAll();
});
复制代码

完事~~~ 本章结束

源码分析

核心接口:

注销的过滤器:

LogoutFilter
复制代码

invalidateHttpSession和clearAuthentication函数做了啥?

程序一逸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于Spring security 使用时禁用自带的登录
TingSty小z的博客
08-19 7278
寻找了一天的方法,都不能解决这个问题。 后来自己试了试不实用表单登录,发现可以了。 找到的几个解决办法: https://www.zhangbj.com/p/524.html https://www.baeldung.com/spring-boot-security-autoconfiguration 表单登录时 loginPage方法的原理: https://stackoverflow.com/questions/28658265/how-to-remove-a-filter-from-spring-se
一文秒懂 springsecurity6.2实现自定义登录
只为成功找方法 不为失败找借口
12-06 1559
springsecurity原理和基础这里暂时不讲,网上资料太多了,这个大家可以自行查找学习,基本上没什么太大区别,看几篇文章就了解了,这篇文章主要是针对自定义登录做一个demo,通过这个小 demo,大家可以直接理解springsecurity 处理登录的流程。这里只是简单的创建了一个 user,实际情况下可以在这里查询 db 里的user,为了简单化流程,这里就略过查询 db 的逻辑了,大家可以自行根据 mybatis 处理这一块内容。
Spring Security实战(三)—— 自动登录注销登录
weixin_49561506的博客
04-16 996
Spring Security 的自动登录注销登录示例
SpringSecurity去掉登录
weixin_44569326的博客
05-10 763
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 正常配置其他安全相关的内容 // 将登录关闭 http.formLogin().disable(); } } ...
SpringSecurity实战-第5章 自动登录注销登录
白羊座的橙子
09-25 571
其次,自动登录不会导致series变更,而每次自动登录都需要同时验证series和token两个值,当该 令牌还未使用过自动登录就被盗取时,系统会在非法用户验证通过后刷新 token 值,此时在合法用户 的浏览器中,该token值已经失效。当合法用户使用自动登录时,由于该series对应的 token 不同,系统 可以推断该令牌可能已被盗用,从而做一些处理。然后使用用户名得到密码;自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验并建立登录态的一种机制。
spring security自定义登录
08-29
在项目中我们肯定不能使用Spring自己生成的登录面,而要用我们自己的登录面,下面通过本文给大家分享spring security自定义登录面的实现方法,一起看看吧
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security自定义认证登录的全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
SpringSecurity 自定义表单登录的实现
08-25
主要介绍了SpringSecurity 自定义表单登录的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring mvc 和spring security自定义登录
05-14
使用spring mvc 和spring security 完成简单的自定义登录
SpringBoot集成SpringSecurity(十四、关闭默认登录
伍妖捌的小屋
05-22 5455
前言 用户在未登录的时候,访问后端服务,默认会跳转到默认登录,这种情况在前后未分离,或者说半分离的情况下是没有问题的,但是在前后端完全分离的情况,像现在比较流行的vue.js,前后端分开部署,如果在用户未登录情况下访问后端,返回默认登录显然是不行。下面通过配置,在用户未登录情况下访问后端时,返回之前封装的统一结果,然后前端通过状态码进行判断,跳转到自定义登录。 实现 创建一个授权异常处理器类AuthenticationExceptionHandler并实现AuthenticationEntryPoin
关闭Spring security登录验证
bazhuayu_1203的博客
11-13 4281
项目里跟security相关的写在一个common-security包里,然后我的一个服引用了common-security包间接导致我这个服务引用了 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </de
Spring Security系列教程17--注销登录的实现及原理分析
一一哥
10-09 1032
前言 经过前面几个章节的学习,一一哥 已经带各位实现了两种方式的自动登录。咱们现在已经学会了如何自动登录,那么又该如何退出登录呢?接下来请再跟着 壹哥 把注销登录功能也实现一下吧。 一. 注销登录 1. 代码实现 我们直接在之前案例的基础上进行代码实现,这里还是在SecurityConfig类中配置,其实退出登录功能的实现很简单。 @EnableWebSecurity(debug = true) public class SecurityConfig extends WebSecurityCon
SpringSecurity5-教程1-用户名密码登录源码分析
zhouwenjun0820的博客
03-16 947
spring security
Spring Security 中,通过配置 Filter 链来实现安全控制
qq_60458298的博客
03-23 923
userDetailsService():表示指定自定义的 UserDetailsService 实现类。accessDeniedPage():表示指定访问被拒绝面的 URL。logoutSuccessUrl():表示退出登录后跳转的 URL。successHandler():表示指定登录成功的处理器。failureHandler():表示指定登录失败的处理器。passwordEncoder():表示指定密码的加密方式。loginPage():表示指定登录面的 URL。
Spring Security学习总结一
elimago的专栏
08-22 1422
Spring Security学习总结一在认识Spring Security之前,所有的权限验证逻辑都混杂在业务逻辑中,用户的每个操作以前可能都需要对用户是否有进行该项操作的权限进行判断,来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming)和Spring Security为我们的应用程序很好的解决了此
spring-security之生产环境的用户登录(身份验证)以及用户名回显和用户退出
寨板p45黑苹果10.12.6
05-29 509
文章目录超级管理员的用户登录(内置,不连接数据库)用户名回显用户退出 超级管理员的用户登录(内置,不连接数据库) 导入依赖 <!-- 身份验证 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spri
Spring Security3 自定义退出
e891377的专栏
06-04 670
目录spring security3bean定义java代码附LogoutFilter 源码 spring security退出功能相关类 spring security实现注销功能涉及的三个核心类为LogoutFilter,LogoutHandler,LogoutSuccessHandler LoginFilter是实现注销功能的过滤器,默认拦截/logout或者logout属性logout-u...
SpringSecurity学习(二)自定义资源认证规则、自定义登录面、自定义登录(成功/失败)处理、用户信息获取
Huathy的博客
03-02 739
index 公共资源/hello 受保护资源在项目中添加如下配置就可以实现对资源权限规则的设定:// 注意:这里放行的内容必须在验证之前 // mvcMatchers匹配资源,permitAll放行该资源,无需认证授权,直接访问 req . mvcMatchers("/index") . permitAll();// anyRequest所有请求,都需要认证才可访问 req . anyRequest() . authenticated();
如何配置Spring Security的访问权限?
最新发布
04-17
配置Spring Security的访问权限可以通过以下步骤实现: 1. 添加Spring Security依赖:在项目的pom.xml文件中添加Spring Security的依赖项。 2. 创建Security配置类:创建一个继承自WebSecurityConfigurerAdapter的配置类,并使用@EnableWebSecurity注解标记。 3. 配置认证信息:在配置类中重写configure(AuthenticationManagerBuilder auth)方法,通过auth对象配置用户的认证信息。可以使用内存中的用户、数据库中的用户或自定义的用户认证服务。 4. 配置访问权限:在配置类中重写configure(HttpSecurity http)方法,通过http对象配置URL的访问权限。可以设置哪些URL需要认证,哪些URL不需要认证,以及不同角色的用户可以访问哪些URL。 5. 配置登录面:如果需要自定义登录面,可以在配置类中重写configure(HttpSecurity http)方法,通过http对象配置登录面的URL和相关参数。 6. 配置注销功能:如果需要支持用户注销功能,可以在配置类中重写configure(HttpSecurity http)方法,通过http对象配置注销功能的URL和相关参数。 7. 配置跨域资源共享(CORS):如果需要支持跨域访问,可以在配置类中重写configure(HttpSecurity http)方法,通过http对象配置CORS相关参数。 8. 配置其他安全特性:根据需求,可以在配置类中重写configure(HttpSecurity http)方法,通过http对象配置其他安全特性,如CSRF保护、HTTP方法的安全性等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值