SpringBoot使用SpringSecurity(三)_登录及退出管理

最新推荐文章于 2023-05-09 22:00:56 发布
最新推荐文章于 2023-05-09 22:00:56 发布
阅读量977 收藏 1
点赞数 1
分类专栏: SpringBoot 文章标签: java shiro spring boot spring
原文链接:https://blog.csdn.net/yuanlaijike/article/details/84638745
版权

目录

学习SpringBoot使用SpringSecurity(一)_表单登录、角色认证

SpringBoot使用SpringSecurity(二)_使用注解以及更细粒度权限控制

一、自定义认证成功、失败处理

在SpringSecurityConfig配置类中

 /**
     * 定义具体的路径资源对应的权限
     *  authorizeRequests所有security全注解配置实现的开端,表示开始说明需要的权限。
     *  需要的权限分两部分,第一部分是拦截的路径,第二部分访问该路径需要的权限。
     *  antMatchers表示拦截什么路径,permitAll任何权限都可以访问,直接放行所有。
     *  anyRequest()任何的请求,authenticated认证后才能访问
     */

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                // 如果有允许匿名的url,填在下面
                .antMatchers("/anon").permitAll()
                .antMatchers("/addSysUser").permitAll()
                //  /admin资源需要ROLE_ADMIN角色才能访问
//                .antMatchers("/admin").hasRole("ADMIN")
                //  /user 资源需要有ROLE_USER才能访问
//                .antMatchers("/user").hasRole("USER")
                //释放静态资源
                .antMatchers("/js/**","/css/**","/images/*","/fonts/**","/**/*.png","/**/*.jpg").permitAll()
                // 所有请求都需要认证后才能访问
                .anyRequest().authenticated()
                .and()
                //注入 无权异常处理类
                .exceptionHandling().accessDeniedHandler(myAccessDeniedHandler)
                .and()
                //即 failureUrl() 指定认证失败后Url,defaultSuccessUrl() 指定认证成功后Url。
                // 我们可以通过设置 successHandler() 和 failureHandler() 来实现自定义认证成功、失败处理。
                // 设置登陆页
                .formLogin().loginPage("/login")
                // 设置登陆成功页
                .defaultSuccessUrl("/").permitAll()
                .failureUrl("/login")
                // 自定义登陆用户名和密码参数,默认为username和password
//                .usernameParameter("username")
//                .passwordParameter("password")
                .and()
                .logout().permitAll();
                // 关闭CSRF跨域
                http.csrf().disable();
    }

即 failureUrl() 指定认证失败后Url,defaultSuccessUrl() 指定认证成功后Url。我们可以通过设置 successHandler() 和 failureHandler() 来实现自定义认证成功、失败处理。

注意:当我们设置了这两个后,需要去除 failureUrl() 和 defaultSuccessUrl() 的设置,否则无法生效。这两套配置同时只能存在一套。

CustomAuthenticationSuccessHandler

自定义 CustomAuthenticationSuccessHandler 类来实现 AuthenticationSuccessHandler 接口,用来处理认证成功后逻辑。

/**
 * @author :LiuShihao
 * @date :Created in 2020/11/11 10:36 上午
 * @desc : 自定义 CustomAuthenticationSuccessHandler 类来实现 AuthenticationSuccessHandler 接口,用来处理认证成功后逻辑:
 */
@Slf4j
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        log.info("登录成功,{}", authentication);
        httpServletResponse.sendRedirect("/");

    }
}

CustomAuthenticationFailureHandler

自定义 CustomAuthenticationFailureHandler 类来实现 AuthenticationFailureHandler 接口,用来处理认证失败后逻辑。
可以自定义认证失败逻辑。比如设置一个账号登陆失败超过三次,就锁定半小时。这里就不多叙述。

/**
 * @author :LiuShihao
 * @date :Created in 2020/11/11 10:38 上午
 * @desc :自定义 CustomAuthenticationFailureHandler 类来实现 AuthenticationFailureHandler 接口,用来处理认证失败后逻辑
 * onAuthenticationFailure()方法的第三个参数 exception 为认证失败所产生的异常,这里也是简单的返回到前台。
 */
@Slf4j
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
//    @Autowired
//    private ObjectMapper objectMapper;
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        log.info("登陆失败");

        httpServletResponse.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        //httpServletResponse.getWriter().write(objectMapper.writeValueAsString(e.getMessage()));
        //认证失败重新跳转的登录页面
        httpServletResponse.sendRedirect("/login");
    }
}

SpringSecurityConfig配置类

  1. 首先将 myAuthenticationSuccessHandlermyAuthenticationFailureHandler注入进来
  2. 配置 successHandler()failureHandler()
  3. 注释 failureUrl()defaultSuccessUrl()
 	@Autowired
    @Qualifier("myAuthenticationSuccessHandler")
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Autowired
    @Qualifier("myAuthenticationFailureHandler")
    private MyAuthenticationFailureHandler myAuthenticationFailureHandler;


    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                // 如果有允许匿名的url,填在下面
                .antMatchers("/anon").permitAll()
                .antMatchers("/addSysUser").permitAll()
                //  /admin资源需要ROLE_ADMIN角色才能访问
//                .antMatchers("/admin").hasRole("ADMIN")
                //  /user 资源需要有ROLE_USER才能访问
//                .antMatchers("/user").hasRole("USER")
                //释放静态资源
                .antMatchers("/js/**","/css/**","/images/*","/fonts/**","/**/*.png","/**/*.jpg").permitAll()
                // 所有请求都需要认证后才能访问
                .anyRequest().authenticated()
                .and()
                //注入 无权异常处理类
                .exceptionHandling().accessDeniedHandler(myAccessDeniedHandler)
                .and()
                //即 failureUrl() 指定认证失败后Url,defaultSuccessUrl() 指定认证成功后Url。
                // 我们可以通过设置 successHandler() 和 failureHandler() 来实现自定义认证成功、失败处理。
                // 设置登陆页 路径
                .formLogin().loginPage("/login")
                .successHandler(myAuthenticationSuccessHandler)
                .failureHandler(myAuthenticationFailureHandler)
                .permitAll()
                // 设置登陆成功 的请求路径
//                .defaultSuccessUrl("/")
                //设置失败 的请求路径
//                .failureUrl("/login")
                // 自定义登陆用户名和密码参数,默认为username和password
//                .usernameParameter("username")
//                .passwordParameter("password")
                .and()
                .logout().permitAll();
                // 关闭CSRF跨域
                http.csrf().disable();
    }

在这里插入图片描述

测试

登录成功:
在这里插入图片描述
登陆失败则重新跳转登陆页面

在这里插入图片描述

二、退出登录

SpringSecurityConfig配置类

直接在 WebSecurityConfig 的 configure() 方法中,配置了

.and().logout().permitAll();

在这里插入图片描述
这是 Spring Security 的默认退出配置,Spring Security 在退出时候做了这样几件事:

使当前的 session 失效
清除与当前用户有关的 remember-me 记录
清空当前的 SecurityContext
重定向到登录页

Spring Security 默认的退出 Url 是 /logout,我们可以修改默认的退出 Url,例如修改为 /signout:

http.logout()
	.logoutUrl("/signout");

我们也可以配置当退出时清除浏览器的 Cookie,例如清除 名为 JSESSIONID 的 cookie:

http.logout()
	.logoutUrl("/signout")
	.deleteCookies("JSESSIONID");

我们也可以配置退出后处理的逻辑,方便做一些别的操作:

http.logout()
	.logoutUrl("/signout")
	.deleteCookies("JSESSIONID")
	.logoutSuccessHandler(logoutSuccessHandler);

在这里插入图片描述

LogoutSuccessHandler

@Slf4j
@Component
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        String username = ((User) authentication.getPrincipal()).getUsername();
        log.info("退出成功,用户名:{}", username);

        // 重定向到登录页
        httpServletResponse.sendRedirect("/login");
    }
}

在这里插入图片描述

退出后直接跳转登陆页面。

Liu_Shihao
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity 使用自定义的logout接口报错
zjh卯
01-31 1342
使用security并自定义登录或登出接口报错 首先报的错主要有 服务器报:org.springframework.web.HttpRequestMethodNotSupportedException: Request method 'GET' not supported 前端f12 报错302:你请求的url被重定向到另一个url上 响应头有个Location可以看到自己被重定向到了哪个url 原因 springsecurity自带登录和登出接口 解决 我个人的决绝方法是将security
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2805
SpringSecurity实现登录登出
SpringSecurity的登出实现
qq_58137891的博客
05-09 449
1.未登录状态,发出的请求会被拦截。2.已登录状态下,每次发送请求都会在请求头中携带token,然后将用户信息存入SecurityContextHolder中,这是仅只需要将userId从中取出,并通过userId输出存在redis中的User信息便完成。再次用相同的token访问请求时会显示用户未登录
Spring Security之多次登录失败后账户锁定功能的实现
字母哥博客
11-28 5276
在上一次写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。 一、基础知识回顾 要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识: Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角...
springsecurity退出登录/注销流程
weixin_44837750的博客
09-23 2263
文章目录前言一、LogoutFilter中的doFilter方法二、doFilter方法中的this.handler.logout(request, response, auth)方法1.第一个Logout类PersistentTokenBasedRememberMeServices2.第二个Logout类SecurityContextLogoutHandler3.第三个Logout类SecurityContextLogoutHandler三、doFilter方法中的logoutSuccessHandle.
Spring Security被坑笔记(一)
qq_41157202的博客
07-18 234
方法权限控制 如果开启了prePostEnabled的权限控制,那么不可以在配置文件中配置如下代码 .anyRequest().authenticated() 如果加入了,那么@PreAuthorize("permitAll()")或者匿名权限都无效 解决方法: 开启其他的注解控制 比如 jsr250Enabled = true 配合@PermitAll即可解决 ...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
Spring Security 强制退出指定用户的方法
08-27
在本篇文章中,我们将介绍如何使用 Spring Security 强制退出指定用户。 首先,让我们来看看应用场景。假设我们有一个社区,最近有人发文章带上小广告,严重影响社区氛围。这时,我们需要对这些用户采取措施,例如...
SpringBoot+SpringSecurity案例Demo
10-11
SpringBootSpringSecurity是Java开发领域中的两大热门框架,它们分别用于快速构建高效、简洁的Web应用和提供安全控制。本案例Demo将深入探讨如何整合这两个框架,为应用程序创建一个安全的基础架构。 SpringBoot...
SpringSecurity_03 整合SpringBoot1
08-03
在这个场景中,我们讨论的是如何将 SpringSecurity 整合到 SpringBoot 项目中,实现一个基础的集中式认证系统。 首先,我们需要创建一个新的 SpringBoot 项目,并指定 SpringBoot 的父依赖。在 `pom.xml` 文件中,...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
页面长时间未操作重新登录
weixin_46649054的博客
06-01 1144
// 长时间未操作退出系统 start var lastTime = new Date().getTime(); var currentTime = new Date().getTime(); var timeOut = 30 * 60 * 1000; //设置超时时间: 30分钟,该数据建议在后台返回 $(function(){ /* 鼠标移动事件 */ $(document).mouseover(function(){ lastT
【security】spring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的security。 security最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
聊聊spring security的permitAll以及webIgnore
weixin_34023863的博客
11-25 1293
序 本文主要聊一下spring security的permitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
【每日进步一点点】SpringSecurity退出登录不生效问题
u012329294的专栏
04-08 3420
SpringSecurity实现了登录,但配置了退出登录,始终不成功。 配置情况如下: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/css/**").permitAll() ...
springboot退出与阻止未登录用户
weixin_45836787的博客
07-22 839
springboot配置拦截器,实现对未登录用户的拦截
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 4971
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
spring security 登录认证——用户认证一直不成功
qq_45947664的博客
10-12 3510
自定义的登录逻辑:前端手机号+密码,经过加密传输——后端接受后端自定义登录controller里:1、根据手机号,查找用户名。
Spring Boot:整合Spring Security
11-20 575
综合概述 Spring Security 是 Spring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,SpringSecurity和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部.
Springboot集成SpringSecurity实现登录和权限管理代码
最新发布
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值