安全框架Spring Security(四)——修改登录后处理

最新推荐文章于 2024-05-17 07:16:57 发布
最新推荐文章于 2024-05-17 07:16:57 发布
阅读量613 收藏
点赞数 1
分类专栏: Spring Security 文章标签: SpringBoot Spring Security Spring Cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mkhaixian2014/article/details/90815639
版权

安全框架Spring Security(四)——修改登录后处理

简介

默认情况下,我们登陆成功会跳转到之前的请求路径去,如何自定义登陆成功后的一些操作呢,比如:现在流行的前后端分离架构中,调用登陆地址后,并不是需要跳转到哪里,而是需要返回登陆成功及用户信息的json数据;如果登陆失败后,我们需要记录系统日志。
登录后处理分为:
1. 登陆成功后处理;
2. 登陆失败后处理;

登陆成功后处理

(1)声明成功处理器

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @ClassName: CloudAuthenticationSuccessHandler
 * @Description: 自定义登录成功处理
 * @Author Marvin
 * @Date 2019/5/24 23:52
 */
@Slf4j
@Component
public class CloudAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        log.info("登录成功");
        // 以json的方式
        response.setContentType("application/json;charset=UTF-8");
        // 返回用户相关信息
     	response.getWriter().write(objectMapper.writeValueAsString(authentication));
    }
}

(2)Spring Security配置成功处理器

在CloudSecurityConfig中我们先注入成功处理器,再配置

import com.marvin.demo.spring.cloud.auth.service.CloudUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @Author Marvin
 * @Description 身份认证配置
 * @Date 17:14 2019-06-04
 * @Param
 * @return
 **/
@Configuration
@EnableWebSecurity
public class CloudSecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
    private CloudAuthenticationSuccessHandler successHandler;

    @Autowired
    private CloudUserDetailsService userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 需要配置这个支持password模式
     * support password grant type
     * @return
     * @throws Exception
     */
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       http.formLogin() //使用formLogin的方式登陆
               .successHandler(successHandler)//登录成功处理器
               .and()
               .authorizeRequests()
               .antMatchers("/login.html").permitAll() //配置不需要校验的路径
               .anyRequest().authenticated()  //任何请求都需要身份认证
               .and().csrf().disable();    //禁用CSRF
    }

}

(3)效果

可以看到,登陆成功后,response是登陆用户信息的json数据
在这里插入图片描述

登陆失败后处理

登陆失败与登陆成功的配置非常相似

(1)声明失败处理器

import com.fasterxml.jackson.databind.ObjectMapper;
import com.marvin.demo.spring.cloud.common.utils.R;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @ClassName: CloudAuthenticationSuccessHandler
 * @Description: 自定义登录失败处理
 * @Author Marvin
 * @Date 2019/5/24 23:52
 */
@Slf4j
@Component
public class CloudAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        	log.info("登录失败");
        	// 响应状态码
            response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
            // 以json的方式
            response.setContentType("application/json;charset=UTF-8");
            // 返回错误相关信息
            response.getWriter().write(objectMapper.writeValueAsString(R.error(e.getMessage())));
}

(2)Spring Security配置失败处理器

	@Override
    protected void configure(HttpSecurity http) throws Exception {
       http.formLogin() //使用formLogin的方式登陆
               .successHandler(successHandler)//登录成功处理器
               .failureHandler(failureHandler)//登录失败处理器
               .and()
               .authorizeRequests()
               .antMatchers("/login.html").permitAll() //配置不需要校验的路径
               .anyRequest().authenticated()  //任何请求都需要身份认证
               .and().csrf().disable();    //禁用CSRF
    }

总结

Spring Security是Spring的安全框架,只要几行代码就能实现登陆功能,在单体应用中能发挥作用,其原理后续我们再补充,关于Spring Security的基本使用先叙述到这里。接下来,我们看一下更适用与当前微服务开发的基于Oauth2.0的安全框架Spring Cloud Oauth2(也称 Spring Security Oauth2)是如何使用的。想了解的朋友,关注我后续的文章哦!

Marvin Mai
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring安全框架——jwt的集成(服务器端)
12-21
完成以上步骤后,你的Spring应用就集成了JWT安全框架,能够处理用户的登录、令牌验证以及资源的授权。这个框架使得身份验证过程更加高效且安全,同时减少了服务器端的负担,因为大部分验证工作都在客户端完成。
Spring Security基本框架登录数据保存
大后生大大大的博客
11-12 2963
SecurityContextHolder
Spring Security学习笔记-登录
qq_35876261的博客
05-03 96
由于HTTP是无状态的,当用户登录成功后断开连接,等下次再次登录时不会记录你之前的登录状态,所以我们必须自己保存登录状态,一般有两种方法有状态和无状态两种方法 有状态登录 服务器会保存局部信息,会保存回话的客户信息,然后给客户端一个cookie来记录SessionID,客户端访问时会携带SessionID,服务器通过SessionID找到用户信息。 优点:便于管理,可以随时对客户信息进行操作 缺点: 当登用户过多时,服务器保存数据太多会造成一定压力 不支持集群部署 在移动端可能不支持cooki
SpringBoot——Spring Security 框架_spring boot自带的安全框架(1)
最新发布
m0_54903333的博客
05-17 1060
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
SpringSecurity实现登陆认证并返回token
qq_39835420的博客
09-15 3657
SpringSecurity+oauth2生成token
Spring Security 6.x 系列(6)—— 显式设置和修改登录态信息
热门推荐
gmHappy
11-26 1万+
显式设置和修改登录态,使用SecurityContextRepository的具体方法
spring security自定义用户登入
m0_46392265的博客
06-15 424
2.创建实体类实现UserDetailsService接口。1.设置security的配置类。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
11-27
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
接着,SpringSecurity作为安全模块,主要负责用户的登录验证、权限控制以及会话管理。在本项目中,SpringSecurity可以实现用户登录时的身份验证,例如通过用户名和密码进行认证。同时,它还支持基于角色的访问控制...
Jsf整合三大框架Spring Security
07-11
在JSF整合项目中,Spring TestSuite可以帮助开发者编写高质量的测试代码,确保每个组件和功能都能正常工作,并在代码修改后快速检测出潜在问题。 6. **整合流程与实践** 整合这些框架通常涉及配置XML文件(如web....
springboot+mybatis+gradle+thymeleaf+springsecurity
01-03
综上所述,"springboot+mybatis+gradle+thymeleaf+springsecurity"的项目组合,构建了一个功能完善的、安全的Web应用,涵盖了从数据存储、业务处理到用户界面呈现和安全防护的各个层面。开发者可以根据实际需求...
springsecurity oauth2.0 springboot整合 spring security自定义登录页面5
健康平安的活着的专栏
08-08 4088
一 自定义认证页面 1.1 说明 1. 如果用户没有自定义登录页面,spring security 默认会启动自身内部的登录页面,尽管自动生成的登录页面很方便 快速启动和运行,但大多数应用程序都希望定义自己的登录页面。 1.2 自定义登录页面 在新建一个webapp目录,和resouces目录,平级,将login.jsp页面考配到这个页面下 页面代码: <%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-.
SpringSecurity中更改登录验证
qq_58137891的博客
05-09 222
1、需要重新定义一个@PostMapper请求处理前端发出的验证信息,使用@RequestBody获取前端的username与password。这里计划专门定义一个LoginService接口实现该内容。2、配置文件,在@Configration中配置组件。将/login设置为允许匿名访问。
SpringSecurity 退出登录/修改密码/重置密码 使JWT的token失效的解决方案
fenduo的博客
02-26 4922
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码、重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前的token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
Spring Security修改默认表单登录(详细带图教程)
Pinyk的博客
02-22 5806
我们知道,在SpringBoot项目引入SpringSecurity依赖之后,security在你获取任何接口之前自动会帮你加载一个默认的登录页面,如下图: 但是往往一般情况下我们会选择自己定义登录页面。首先,我们需要新建一个config的包用来存放配置,然后新建一个SecurityConfig类,使其继承WebSecurityConfigurerAdapter,如下图所示: 然后我们需要给S...
springsecurity设置用户登录状态过期,让其重新登录
u013232219的博客
02-24 8409
手动程序让session过期,使用户重新登录 //判断是否过期 Object expireDate = redisTemplate.opsForValue().get(username+"expireDate"); if(expireDate != null && expireDate != ""){ SimpleDateFormat dateFormat= new S...
Spring Security
风生的博客
03-29 587
permitAll():表示所匹配的URL任何人都允许访问authenticated():表示所匹配的URL都需要被认证才能访问 :表单提交认证+rememberMe()anonymous():表示可以匿名访问匹配的URL 必须不用认证 如果已经认证 无法访问 :登录页面需要指定当前权限denyAll():表示所匹配的URL都不允许被访问。rememberMe():被“remember me”的用户允许访问。
关于使SpringSecurity登录参数使用requestBody后引发的一系列问题及解决
c_z_z的博客
06-12 1033
使用SpringSecurity前后端分离,使登录参数支持RequestBody后,单点登录功能失效,最终通过调试源码找到解决办法
循序渐进学spring security 第十二篇 修改登录密码后如何让修改前的token失效?
huangxuanheng的专栏
08-02 2937
文章目录回顾如何实现用户修改了密码,之前的token就失效?用户修改密码后,需要重新登录验证密码是否被修改测试功能 回顾 前面我们介绍了《循序渐进学spring security 第十篇 如何用token登录?JWT闪亮登场》JWT 生成token的方式生成了登录凭证token,这样客户端只需要在请求接口上添加请求头token,服务端在过滤器中拦截并取出来token值,进行静默登录,但是有一个问题,不知道大家是否有留意到,如果用户修改了密码,并且重新登录过系统,而此时,如果还是用以前的token,还能继续访
芋道 Spring Boot 安全框架 Spring Security 入门
08-12
Spring Security 是一个强大且灵活的认证和授权框架,用于保护 Spring Boot 应用程序的安全性。下面是一个简单的入门指南,帮助你开始使用 Spring Security: 1. 添加 Spring Security 依赖:在你的项目的 `pom.xml...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值