Spring Security之登录跳转

最新推荐文章于 2024-08-20 22:29:05 发布
最新推荐文章于 2024-08-20 22:29:05 发布
阅读量378 收藏 20
点赞数 15
分类专栏: 探索Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Evan_L/article/details/140589116
版权

前言

登录成功后,我们可以有多个选择:跳转到应用首页、跳转到未登录时访问被拒绝的请求。除此之外,我们还有其他的相关功能点,例如:多点登录控制等等。今天,就来看看这些小功能。

登录成功后跳转

这个功能点介绍的有点晚,他是我们认证过滤器最后一涉及的,但还没有聊到的组件AuthenticationSuccessHandler负责的。

public interface AuthenticationSuccessHandler {

	/**
	 * 这是默认方法
	 * @since 5.2.0
	 */
	default void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authentication) throws IOException, ServletException {
		// 调用处理方法
		onAuthenticationSuccess(request, response, authentication);
		// 继续完成过滤器链
		chain.doFilter(request, response);
	}

	/**
	 * 这是实现者需要完成的处理方法
	 */
	void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException;

}
  • SimpleUrlAuthenticationSuccessHandler
    1、 他首先尝试从地址栏参数中获取目标地址,然后是请求头的Referer,最后是默认的目标地址。
    2、然后通过RedirectStrategy重定向。默认的重定向策略会先检查是否为绝对路径。如果不是则拼接上ContextPath,再不对就拼接http(s): //,然后再重定向。
    3、 清理上次认证失败保存在session中的认证异常
  • SavedRequestAwareAuthenticationSuccessHandler
    这个就是我们实现登录成功后跳转到登录前访问的地址的实现啦。他是SimpleUrlAuthenticationSuccessHandler的子类。
  • ForwardAuthenticationSuccessHandler
    转发处理器。将当前请求转发到某个指定的地址。

配置AuthenticationSuccessHandler

默认配置比较简单,直接在过滤器的Configurer中字段里。

	private SavedRequestAwareAuthenticationSuccessHandler defaultSuccessHandler = new SavedRequestAwareAuthenticationSuccessHandler();

	private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;

要修改也简单,直接通过HttpSecurity#formLogin(configurer -> configurer.successHandler(new ForwardAuthenticationSuccessHandler("/")); 就行。

跳转到登录前的页面

默认情况下,如果我们不配置,那么就会跳转到登录前的访问请求。要想跳转到认证前的页面,就必须要保存上一次的请求。所以我们一定是在安全异常处理时就将请求保存起来的。实际上,上篇咱们聊安全异常的时候也提过,在源码分析中,只不过一笔带过。但这里不展开了,感兴趣的同学可以再去看看上一篇文章的《访问拒绝异常处理原理》章节。

但显然,此处我们需要跟异常处理配合,从同一个地方将上一次的请求恢复并跳转。因此,这里我们必须要再深入认识另一个组件:RequestCache。

public interface RequestCache {
	// 保存请求
	void saveRequest(HttpServletRequest request, HttpServletResponse response);
	// 获取缓存的请求
	SavedRequest getRequest(HttpServletRequest request, HttpServletResponse response);
	// 获取上次保存的请求并进行封装
	HttpServletRequest getMatchingRequest(HttpServletRequest request, HttpServletResponse response);
	// 清理保存的请求
	void removeRequest(HttpServletRequest request, HttpServletResponse response);
}

这个组件的作用就是将当前访问失败的请求保存起来,其实主要就是保存URL,目的就是为了后续跳转。

两个实现:

  • CookieRequestCache
    很显然,他就是将请求保存在Cookie之中。他只保存URL。感兴趣的同学可以看看org.springframework.security.web.savedrequest.CookieRequestCache#saveRequest
  • HttpSessionRequestCache
    这个就将请求保存在HttpSession中,而他保存的就比较全了。包括Cookie、RequestHeader、Locale、RequestAttribute等,全一股脑存到Session了。其实也容易理解,Cookie是保存在浏览器的,而Session是保存在后端服务器的,Cookie每次都要经过网络的,而Session不需要。一对比就能明白。

配置RequestCache

由于异常处理(ExceptionTranslationFilter)、认证成功后跳转(AbstractAuthenticationProcessingFilter)有关,因此属于HttpSecurity#sharedObjects。所以可以通过HttpSecurity.setSharedObject设置。

默认配置:HttpSessionRequestCache
可能与大家想象的可能不太一样,虽然SavedRequestAwareAuthenticationSuccessHandler、ExceptionTranslationFilter都有默认值,但是这个默认值却不能互相共享,无法协同完成跳转功能。

实际上,还有一个RequestCacheAwareFilter。但他可只有一个功能,从RequestCache中获取匹配到的上一次的请求,读取出来封装成新的Request。虽然默认的情况下,这个用不着,可能是该组件出现的晚,前面的过滤器都是直接使用RequestCache了。不过倒是不妨碍通过他配置RequestCache,当然,是通过HttpSecurity.setSharedObject设置的。

public final class RequestCacheConfigurer<H extends HttpSecurityBuilder<H>>
		extends AbstractHttpConfigurer<RequestCacheConfigurer<H>, H> {

	@Override
	public void init(H http) {
		http.setSharedObject(RequestCache.class, getRequestCache(http));
	}
	
	private RequestCache getRequestCache(H http) {
		// 从HttpSecurity#sharedObjects中获取
		RequestCache result = http.getSharedObject(RequestCache.class);
		if (result != null) {
			return result;
		}
		// 从ApplicationContext中获取
		result = getBeanOrNull(RequestCache.class);
		if (result != null) {
			return result;
		}
		// 默认的RequestCache
		HttpSessionRequestCache defaultCache = new HttpSessionRequestCache();
		defaultCache.setRequestMatcher(createDefaultSavedRequestMatcher(http));
		return defaultCache;
	}
}

这样所有需要使用RequestCache的组件,都从HttpSecurity的sharedObjects中获取就行。大家就用的同一个对象了。

SavedRequestAwareAuthenticationSuccessHandler

public class SavedRequestAwareAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws ServletException, IOException {
		// 从RequestCache中获取保存的请求
		SavedRequest savedRequest = this.requestCache.getRequest(request, response);
		if (savedRequest == null) {
		    // 没有保存请求,则直接用父类的处理:跳转到根路径"/"
			super.onAuthenticationSuccess(request, response, authentication);
			return;
		}
		// 获取配置中的RequestParameter获取参数名
		String targetUrlParameter = getTargetUrlParameter();
		if (isAlwaysUseDefaultTargetUrl()
				|| (targetUrlParameter != null && StringUtils.hasText(request.getParameter(targetUrlParameter)))) {
			// 默认跳转,或者请求参数有值,则直接跳转到默认请求,同时清空requestCache
			this.requestCache.removeRequest(request, response);
			super.onAuthenticationSuccess(request, response, authentication);
			return;
		}
		/*** 跳转到认证前的目标请求 ***/
		// 清理session中认证失败的标记
		clearAuthenticationAttributes(request);
		// Use the DefaultSavedRequest URL
		// 从保存的请求中获取到认证前的目标请求
		String targetUrl = savedRequest.getRedirectUrl();
		// 跳转到认证前的目标请求
		getRedirectStrategy().sendRedirect(request, response, targetUrl);
	}
}

保存请求和跳转流程

  1. 客户端请求目标地址,被服务端的AuthorizationFilter发现没有登录
    public class AuthorizationFilter extends GenericFilterBean {
	private Authentication getAuthentication() {
		Authentication authentication = this.securityContextHolderStrategy.getContext().getAuthentication();
		if (authentication == null) {
			// 没有登录,抛出认证异常
			throw new AuthenticationCredentialsNotFoundException(
					"An Authentication object was not found in the SecurityContext");
		}
		return authentication;
	}
}
  2. 安全异常处理器,将请求保存起来,并跳转到登录页
    public class ExceptionTranslationFilter extends GenericFilterBean implements MessageSourceAware {
   	protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
   			AuthenticationException reason) throws ServletException, IOException {
   		// SEC-112: Clear the SecurityContextHolder's Authentication, as the
   		// existing Authentication is no longer considered valid
   		SecurityContext context = this.securityContextHolderStrategy.createEmptyContext();
   		this.securityContextHolderStrategy.setContext(context);
   		// 保存请求
   		this.requestCache.saveRequest(request, response);
   		// 跳转登录页
   		this.authenticationEntryPoint.commence(request, response, reason);
   	}
   }
  3. 客户端输入凭证登录成功后,调用AuthenticationSuccessHandler跳转。至于跳转到哪里就看配置了。

总结

1、跳转的核心组件:AuthenticationSuccessHandler。
2、跳转到认证前的请求,需要RequestCache的配合。并且SavedRequestAwareAuthenticationSuccessHandlerExceptionTranslationFilter必须使用同一个RequestCache对象才行。这也意味着需要异常处理过滤器和认证处理器的配合。

后记

“”有点懒,你给我醒醒!”。不满意自己的学习态度!继续补博客吧。由于篇幅有限,之前说的功能,下次再聊哈。

Evan_L
关注
  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security跳转页面失败问题解决
08-25
Spring Security 跳转页面失败问题解决 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和加密功能。然而,在使用 Spring Security 时,可能会遇到跳转页面失败的问题。本文将详细介绍 ...
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Ajax登陆使用Spring Security缓存跳转到登陆前的链接
10-17
关于使用Ajax进行登录并使用Spring Security缓存跳转登录前的URL的实现方法,主要涉及的IT知识点如下: 1. **Ajax的定义与作用** Ajax(Asynchronous JavaScript and XML)是一种在无需重新加载整个页面的情况下...
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 提供了一个 `SavedRequestAwareAuthenticationSuccessHandler` 实现类,该实现类可以记住用户未登录前要访问的地址,这样登录成功后就可以把用户再跳转到他想去的页面。 二、实现方式 ### 2.1 ...
基于spring security实现登录注销功能过程解析
08-25
基于Spring Security实现登录注销功能过程解析 基于Spring Security实现登录注销功能过程解析是指使用Spring Security框架来实现登录和注销功能的过程。该过程主要涉及到security配置、登录页面、登录成功和失败...
spring揭秘06-Autowired自动绑定依赖及组件自动扫描
PacosonSWJTU的博客
08-16 616
Resource注解可以替代 @Autowired 与 @Qualilfier这2个注解结合的功能,即根据beanName到spring容器中查找匹配的bean,并注入依赖关系到当前bean(如Jsr250AnnotationBookAppService);
SpringBoot:将单体项目拆分成微服务项目
安晴晚风的博客
08-15 665
SpringBoot:将单体项目拆分成微服务项目
spring中使用到的设计模式有哪些
weixin_47503016的博客
08-12 431
spring 使用到的设计模式
SpringBoot MySQL BinLog 监听数据变化(多库多表)
掐指一算乀缺钱
08-19 418
SpringBoot MySQL BinLog 监听数据变化(多库多表) 库.表,库1.表1,库1.表2
【速览】Spring(更新中)
椰子的职场成长记录
08-19 149
1. IoC (Inversion of Control, 控制反转) 2. DI (Dependency Injection, 依赖注入) 3. AOP (Aspect-Oriented Programming, 面向切面编程) 4. MVC (Model-View-Controller, 模型-视图-控制器)
Spring 中AbstractApplicationContext
小湘西的博客
08-20 604
Spring Framework 中的一个抽象类,位于包中。它带有一系列的实现,主要用于为 Spring 的应用上下文提供基本的功能。所有的 Spring 应用上下文实现(如等)通常都直接或间接地扩展该类。
Springboot与easypoi
游王子的博客
08-20 413
ApiModel("用户实体类")@Data@ApiModelProperty("用户id")@Excel(name = "用户id", orderNum = "0")@ApiModelProperty("用户名")@Excel(name = "用户名", orderNum = "1")@ApiModelProperty("密码")@Excel(name = "密码", orderNum = "2")@ApiModelProperty("年龄")
SpringBoot-04--整合登录注册动态验证码
ngczx的博客
08-16 662
SpringBoot+Vue3+Redis+工具实现动态的登录验证码,用到了Base64编码
用基础项目来理解spring的作用
最新发布
weixin_64922330的博客
08-20 333
用基础项目来理解spring的作用
Java--SpringBoot工厂模式
qq_56438516的博客
08-20 481
Spring Boot是一个基于Spring框架的快速开发框架,它提供了许多便利的功能来简化企业级应用的开发。在Spring Boot中,工厂模式是一种常用的设计模式,它用于创建对象,但是不需要指定将要创建的具体类。工厂模式隐藏了实例化对象的具体细节,并且允许系统在不修改客户端代码的情况下引入新的类。
SpringBoot Profile多环境配置及配置优先级
qq_27361945的博客
08-16 371
但是我们发现一个问题,就是每次切换环境还需要去配置里指定,然后通过修改dev为test或prod来切换项目环境 , 这样做的话每次切换环境都要重新改一下配置 , 而且如果不小心把本地改动提交到中央仓库了 , 可能会影响到其他同事拉取代码,maven中提供了一个profile配置项,可以在打包时动态的指定环境配置.结合idea使用 , 我们可以实现不动任何代码来随意的切换我们的工作环境。-- 之前写的@env@就是通过这里的配置切换环境 -->-- 开发环境 -->-- 生产环境 -->
基于SpringBoot的Java个人博客系统的设计与实现(源码+lw+部署文档+讲解等)
qq_43701267的博客
08-19 888
💗博主介绍:✌闲鱼大玩家全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战✌💗👇🏻 精彩专栏 推荐订阅👇🏻设计与实现(源码+lw+部署文档+讲解等)2023-2024年最值得选的微信小程序毕业设计选题大全:100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全:500个热门选题推荐✅微信小程序项目精品案例《100套》✅Java精品实战案例《500套》✅🌟文末获取源码+数据库🌟。
linux使用nginx部署springboot + vue分离项目
技术分享
08-20 37
linux使用nginx部署springboot + vue分离项目。
手搓Spring启动器
m0_48851832的博客
08-19 726
starter是 SpringBoot中的非常重要的机制,他可以将繁杂的配置同意集成到starter中,使用者只需要将引入依赖包,SpringBoot就可以自动加载默认配置啦~命名规范首先自定义启动器是有规范的哦,模仿Spring官方的starter就是,那么我们为了与第三方和我们手搓启动器则有另一套规范,,例如我们使用的的redis等等模块规范Spring官方建议我们自己定义时候,创建两个Model和 ModelStartstartstarter模块和模块和记得删除starter模块模块。
springsecurity登录成功跳转
05-26
Spring Security中,可以通过配置实现登录成功后的跳转,具体步骤如下: 1. 配置登录页面 在Spring Security的配置文件中,配置登录页面,例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .permitAll(); } ``` 这里的`loginPage("/login")`表示登录页面的URL是`/login`,`.defaultSuccessUrl("/home")`表示登录成功后跳转到`/home`页面。 2. 配置登录成功处理器 在Spring Security的配置文件中,配置登录成功处理器,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .successHandler(loginSuccessHandler()) // 配置登录成功处理器 .permitAll() .and() .logout() .permitAll(); } @Bean public AuthenticationSuccessHandler loginSuccessHandler(){ return new AuthenticationSuccessHandler() { @Override public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException { httpServletResponse.sendRedirect("/home"); // 登录成功后跳转到/home页面 } }; } } ``` 这里的`successHandler(loginSuccessHandler())`表示在登录成功后调用一个名为`loginSuccessHandler`的Bean,该Bean是一个实现了`AuthenticationSuccessHandler`接口的类,在其`onAuthenticationSuccess`方法中实现登录成功后的跳转。 以上就是在Spring Security中实现登录成功后跳转的步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值