Spring Security---表单登陆配置介绍

最新推荐文章于 2023-03-25 16:52:35 发布
最新推荐文章于 2023-03-25 16:52:35 发布
阅读量489 收藏
点赞数
分类专栏: Spring Security Java 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MAKEJAVAMAN/article/details/120982243
版权

Spring Security提供一些对表单登陆的配置,我们可以通过配置来达到我们想要的效果。

编写一个配置类继承WebSecurityConfigurerAdapter,然后重写configure方法。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**", "/css/**","/images/**");
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/toLogin")
                .usernameParameter("userName")
                .passwordParameter("psw")
                .defaultSuccessUrl("/index")
                .successForwardUrl("/index")
                .failureForwardUrl("/error")
                .failureUrl("error")
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST"))
                .logoutSuccessUrl("/index")
                .deleteCookies()
                .clearAuthentication(true)
                .invalidateHttpSession(true)
                .and()
                .csrf().disable();
    }
}
  • web.ignoring() 用来配置忽略掉的 URL 地址,一般是对静态文件进行操作。
  • authorizeRequests() 对应了xml配置文件中的 。
  • formLogin() 对应了 xml配置文件中的,使用security默认的表单不可省略,否则会返回403状态码。
  • and()表示结束当前标签,上下文回到HttpSecurity,开启新一轮的配置。
  • permitAll() 表示登录相关的页面/接口不要被拦截。
  • csrf().disable()表示关闭csrf。
  • loginPage()表示登陆页设为login.html。
  • loginProcessingUrl()表示登陆接口设为toLogin。

登陆页和登陆接口有什么区别?

登陆页是我们看到的前端的html,而登陆接口是登录页里 form 表单的 action 属性对应的值,如果只设置loginPage,Spring Security会默认的把登陆页和登陆接口都设为相同的值,不同的是登陆页是GET获取,而登陆接口是POST提交。

  • usernameParameter表示登录页内User的input表单的name值
  • passwordParameter表示登录页内Password的input表单的name值

这两个值要和input表单的name值保持一致。

  • defaultSuccessUrl和successForwardUrl表示的是登陆成功后重定向到指定页面

defaultSuccessUrl 和 successForwardUrl的区别是设置好登陆成功后会跳转到index页面,但是当我们访问http://localhost:8080/hello,此时没有登陆,会跳转到http://localhost:8080/login页面,登陆完成后,defaultSuccessUrl 会跳转到hello页面,而successForwardUrl仍然会跳转到index页面。

defaultSuccessUrl 提供了一个重载的方法,第二个参数默认为 false,也就是我们上面的的情况,当设置第二个参数为 true 时,则 defaultSuccessUrl 和 successForwardUrl的作用一样。

  • failureForwardUrl和failureUrl表示的是登陆成功后跳转到指定页面

这两个方法的区别是,failureForwardUrl 是登录失败之后会发生服务端跳转,failureUrl 则在登录失败之后,会发生重定向。两个方法设置一个即可。

  • logoutUrl()表示修改注销的url。

注销登录的默认接口是 /logout,是一个GET方法。

  • logoutRequestMatcher()表示修改注销 URL和请求方式

logoutUrl()和 logoutRequestMatcher()设置一个即可。

  • logoutSuccessUrl()表示注销成功后要跳转的页面。
  • deleteCookies() 表示清除 cookie。
  • clearAuthentication()表示清除认证信息。
  • invalidateHttpSession()表示使 HttpSession 失效。

clearAuthentication 和 invalidateHttpSession 可以不用配置,默认生效。

Java Gosling
关注
专栏目录
SpringSecurity---web
tianynnb的博客
07-28 1056
1. SpringSecurity 特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而设计。 旧版本不能脱离 Web 环境使用。 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。 重量级 1.1Shiro特点 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。 通用性。 好处:不局限于 Web 环境,可以脱离 Web 环境使用。 缺陷:在 Web 环境下一些特定的
关于spring-security登录后重定向至拦截前访问的url的实现原理
热门推荐
ZY_cookie的专栏
10-31 2万+
首先我们来看下我们整个流程图 这就是我自己摸索出来的关于整个访问拦截登录重定向的流程图 其中3,6,7步是对拦截前访问的request的处理 接下来是对以上几个步骤中关键代码的分析 1. 首先我们先了解下关于 FilterSecurityIntercepto所在的位置 我们看到他在最后一位从这个拦截器的下面代码: // Attempt a
Spring Security表单登录认证
lingbomanbu_lyl的博客
11-27 1233
Spring Security是一个强有力并且高度定制化的认证和访问控制框架,致力于为Java应用程序提供认证和授权。 特性: 1、为认证和授权提供综合性和扩展性支持。 2、免受session定位、点击劫持、跨站点请求伪装等攻击。 3、Servelt API集成。 4、与Spring MVC集成   一、Spring Security架构 1、认证 AuthenticationMa...
入门SpringSecurity——第一节、表单登录
weixin_44083561的博客
08-28 399
文章目录SpringSecurity初体验1.新建一个SpringBoot项目,添加Web和SpringSecurity依赖2.写一个接口进行测试2.1.在application.yml中进行配置2.2增加一个配置类![在这里插入图片描述](https://img-blog.csdnimg.cn/0abe5f3b02c649a8b3d4698147b5a8d3.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,t
Spring SecuritySpring安全框架)学习笔记(三)——返回json格式数据,适用前后端分离场景
Huathy的博客
05-26 373
Spring SecuritySpring安全框架)学习笔记(一)地址:https://blog.csdn.net/qq_40366738/article/details/106313985 Spring SecuritySpring安全框架)学习笔记(二)地址:https://blog.csdn.net/qq_40366738/article/details/106336963 文章目录一、无状态登录&有状态登录二、代码1、SecurityConfig.java2、login.html3、目录
初学spring security(六)-----退出登录和CRSF
m0_48631806的博客
03-25 1195
用户只需要向Spring Security项目中发送/logout退出请求即可。<a href="/logout">退出登录如果不希望使用默认值,可以通过下面的方法进行修改。logout常用配置源码解读。
史上最简单的Spring Security总结——认证篇
HD243608836的博客
08-10 481
转载自:https://www.jianshu.com/p/24c6a65c3913 Spring Security是一款强大的安全认证服务框架,它的原理就是在访问我们的系统前加了一系列的过滤器,可以称为过滤器链。它的两大核心就是认证和授权,本文主要描述的是认证篇,授权篇请看https://www.jianshu.com/p/cba56572fec5。那废话不多说,我用一个例子介绍怎么去用,然后...
01-SpringSecurity-Demo.zip
09-18
此外,配合博主的Spring全家桶之SpringSecurity的博文阅读,可以更系统地学习SpringSecurity配置、使用和最佳实践,从而提升你在安全领域的专业技能。记住,实践是检验理论的最好方式,动手操作这些示例代码,将是...
Spring security-包含官方文档
10-24
9. **自定义配置**:Spring Security 提供了基于Java和XML的配置方式,使得你可以精确地控制每一个安全特性。同时,Spring Boot 的自动配置功能可以让设置变得更加简单。 10. **OAuth2支持**:Spring Security 提供...
Spring-Security-Demo-master.zip
07-15
5. **登录认证**:Spring Security提供了丰富的认证机制,包括基于表单的登录、HTTP基本认证、OAuth2等。在这个示例中,可能实现了自定义的登录页面,用户输入用户名和密码后,这些信息被发送到后端进行验证。验证...
SpringSecurity - 随笔
最新发布
01-17
- **Java配置**:现代实践中,更倾向于使用Java配置,通过`@EnableWebSecurity`注解启动SpringSecurity,并通过`WebSecurityConfigurerAdapter`进行自定义配置。 - **注解驱动的安全配置**:使用`@Secured`和`@...
Spring Security 退出登录(三)
qq_36331657的博客
04-08 850
一般登录后,服务端会给用户发一个凭证 (1)基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。 (2)基于 token 客户端存一个 token 串,服务端会在缓存中存一个用来校验此 token 的信息 1.退出逻辑 1.当前的用户登录状态失效。这就需要我们清除服务端的用户状态。 2. 退出登录接口并不是 permitAll , 只有携带对应用户的凭证才退出。 3. 将退出结果返回给请求方。 4. 退出登录后用户可以通过重新登录
Spring Security Logout
白石的专栏
12-05 1731
本文建立在我们的[表单登录教程](https://www.baeldung.com/spring-security-login)之上,将重点关注如何**使用 Spring Security 配置注销**。
spring security-formLogin表单登录和注销(spring security默认表单关闭)
西京刀客
08-27 3865
文章目录spring security-formLogin表单登录如何取消默认自带的表单登录参考 spring security-formLogin表单登录 表单登录即在form表单中输入用户名/密码,提交登录,在spring security中默认配置了formLogin来实现表单登录。 预置url和页面 因为formLogin自动配置了一些url和页面: /login (get):登录页面,任意没有登录的请求都会跳转到这里,就是上面看到的那个页面。 /login (post):登录接口,在登录页面点击
基于java config的springSecurity(五)--session并发控制
xiejx618的专栏
01-20 1万+
参考spring-security-reference.pdf的Session Management.特别是Concurrency Control小节. 管理session可以做到: a.跟踪活跃的session,显示在线用户,基于将用户下线. b.控制并发,即一个用户最多可以使用多少个session登录,比如设为1,结果就为,同一个时间里,第二处登录要么不能登录,要么使前一个登录失效.
springsecurity-with-boot-authority:Spring Security中的使用权限样本
05-14
SpringSecurity-with-SpringBoot 使用Spring Security进行表单身份验证。根据权限而不是角色进行检查。 应用程式运动 访问本地主机:8080 / rbac / 以初始用户身份登录 管理员可以更改与角色关联的权限 再次登录时...
spring-security Jar包
09-21
7. **与Spring Framework的深度集成**:Spring Security 能无缝地与Spring MVC、Spring Boot和其他Spring组件集成,简化了安全配置和开发流程。 8. **自定义扩展**:Spring Security 的设计是模块化的,允许开发者...
session的invalidate方法
wufeiha的博客
05-02 1万+
该方法用于  主要用于注销  调用该方法 会清空所有已定义的session 而不是清空全部session的值也就是说 定义了一个名为 user 的session 调用invalidate()方法后使用Session.getValue(“user”)。会发生Session.getValue(“user”) 这个对象为空的异常,而不是Session.getValue(“user”)这个对象的值为空。因...
用户登陆问题,session.invalidate销毁session
evilcry2013的博客
01-23 8266
用户登陆问题,session.invalidate销毁session 博客分类:  java JavaApacheStrutsTomcatServlet  用户第一次登陆,可以登陆,点退出,调用session.invalidate,然后再次登陆,正常登陆,然后再点退出,这是第二次点退出第三次进行登陆,这时在登陆的时候就会报错了,java.lang.IllegalStateE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值