Spring Security学习(2) - 自定义登录

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量162 收藏
点赞数
分类专栏: spring security spring cloud 文章标签: java spring boot spring cloud spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_39635032/article/details/112095072
版权

自定义登录页

替换默认登陆页

将自定义的登录页放到resources目录下,然后在WebSecurityConfigurerAdapter的实现类重写configure方法。

   @Override
   public void configure(WebSecurity web) throws Exception {
       web.ignoring().antMatchers("/js/**", "/css/**", "/images/**"); // 静态资源放行,不进行权限控制
   }

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.formLogin() // 表单方式认证
               // .httpBasic() // HttpBasic方式认证
               .loginPage("/login.html") // 登陆页面
               .loginProcessingUrl("/login") // 登陆鉴权地址,这里的login为SpringSecurity默认的鉴权地址
               .and()
               .authorizeRequests() // 授权配置
               .antMatchers("/login.html").permitAll() // 不用鉴权的资源
               .anyRequest()  // 所有请求
               .authenticated() // 都需要认证
               .and().csrf().disable(); // 关闭CSRF攻击防御
   }

根据访问资源类型进行差异化处理

处理效果:在未登录的情况下,访问html资源的时候跳转到登录页,访问其他类型资源返回JSON格式错误信息,状态码为401。
首先在WebSecurityConfigurerAdapter的实现类重写configure方法。

    @Override
	protected void configure(HttpSecurity http) throws Exception {
	    http.formLogin() // 表单方式认证
	            // .httpBasic() // HttpBasic方式认证
	            .loginPage("/authentication/require") // 登录跳转URL
	            .loginProcessingUrl("/login") // 登陆鉴权地址,这里的login为SpringSecurity默认的鉴权地址
	            .and()
	            .authorizeRequests() // 授权配置
	            .antMatchers("/authentication/require", "/login.html").permitAll() // 不用鉴权的资源
	            .anyRequest()  // 所有请求
	            .authenticated() // 都需要认证
	            .and().csrf().disable() // 关闭CSRF攻击防御
	    ;
	}

然后定义一个控制器BrowserSecurityController,处理这个请求:

@RestController
public class BrowserSecurityController {
    private RequestCache requestCache = new HttpSessionRequestCache();
    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @GetMapping("/authentication/require")
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ResponseBody
    public String requireAuthentication(HttpServletRequest request, HttpServletResponse response) throws IOException {
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        if (savedRequest != null) {
            String targetUrl = savedRequest.getRedirectUrl();
            if (StringUtils.endsWithIgnoreCase(targetUrl, ".html"))
                redirectStrategy.sendRedirect(request, response, "/login.html");
        }
        return "{\"errMsg\":\"访问的资源需要身份认证!\"}";
    }
}

其中HttpSessionRequestCache为Spring Security提供的用于缓存请求的对象,通过调用它的getRequest方法可以获取到本次请求的HTTP信息。DefaultRedirectStrategy的sendRedirect为Spring Security提供的用于处理重定向的方法。

上面代码获取了引发跳转的请求,根据请求是否以.html为结尾来对应不同的处理方法。如果是以.html结尾,那么重定向到登录页面,否则返回”访问的资源需要身份认证!”信息,并且HTTP状态码为401(HttpStatus.UNAUTHORIZED)。

这样当我们访问http://localhost:8080/hello的时候页面便会跳转到http://localhost:8080/authentication/require,并且输出:{“errMsg”:“访问的资源需要身份认证!”},当我们访问http://localhost:8080/hello.html的时候,页面将会跳转到登录页面。

处理成功和失败

Spring Security有一套默认的处理登录成功和失败的方法:当用户登录成功时,页面会跳转到登录页面并引发登陆操作,比如在未登录的情况下访问http://localhost:8080/hello,页面会跳转到登录页,登录成功后再跳转回来;登录失败时则是跳转到Spring Security默认的错误提示页面。下面我们通过一些自定义配置来替换这套默认的处理机制。

自定义登录成功逻辑

要改变默认的处理成功逻辑很简单,只需要实现org.springframework.security.web.authentication.AuthenticationSuccessHandler接口的onAuthenticationSuccess方法即可:

@Component
public class CustAuthenticationSucessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(new ObjectMapper().writeValueAsString(authentication));
    }
}

其中Authentication参数既包含了认证请求的一些信息,比如IP,请求的SessionId等,也包含了用户信息,即前面提到的User对象。通过上面这个配置,用户登录成功后页面将打印出Authentication对象的信息。
要使这个配置生效,还要在WebSecurityConfigurerAdapter实现类的configure方法中进行配置:

@Autowired
private CustAuthenticationSucessHandler authenticationSucessHandler;

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.formLogin() // 表单方式认证
               // .httpBasic() // HttpBasic方式认证
               .loginPage("/authentication/require") // 登录跳转URL
               .loginProcessingUrl("/login") // 登陆鉴权地址,这里的login为SpringSecurity默认的鉴权地址
               .successHandler(authenticationSucessHandler) // 处理登录成功
               .and()
               .authorizeRequests() // 授权配置
               .antMatchers("/authentication/require", "/login.html").permitAll() // 不用鉴权的资源
               .anyRequest()  // 所有请求
               .authenticated() // 都需要认证
               .and().csrf().disable() // 关闭CSRF攻击防御
       ;
   }

此时重启项目登录后页面将会输出Authentication对象的JSON信息。

除此之外,我们也可以在登录成功后做页面的跳转,修改MyAuthenticationSucessHandler:

@Component
public class CustAuthenticationSucessHandler implements AuthenticationSuccessHandler {

    private RequestCache requestCache = new HttpSessionRequestCache();
    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        redirectStrategy.sendRedirect(request, response, savedRequest.getRedirectUrl());
    }
}

通过上面配置,登录成功后页面将跳转回引发跳转的页面。如果想指定跳转的页面,比如跳转到/test/index,可以将savedRequest.getRedirectUrl()修改为/test/index:

@Component
public class CustAuthenticationSucessHandler implements AuthenticationSuccessHandler {
    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException {
        redirectStrategy.sendRedirect(request, response, "/test/index");
    }
}

然后在TestController中定义一个处理该请求的方法:

@RestController
@RequestMapping("test")
public class TestController {
    @GetMapping("index")
    public Object index(){
        return SecurityContextHolder.getContext().getAuthentication();
    }
}

登录成功后,便可以使用SecurityContextHolder.getContext().getAuthentication()获取到Authentication对象信息。除了通过这种方式获取Authentication对象信息外,也可以使用下面这种方式:

@RestController
@RequestMapping("test")
public class TestController {
    @GetMapping("index")
    public Object index(Authentication authentication) {
        return authentication;
    }
}

重启项目,登录成功后,页面将跳转到http://localhost:8080/index。

自定义登录失败逻辑

和自定义登录成功处理逻辑类似,自定义登录失败处理逻辑需要实现org.springframework.security.web.authentication.AuthenticationFailureHandler的onAuthenticationFailure方法:

@Component
public class CustAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException {
    }
}

onAuthenticationFailure方法的AuthenticationException参数是一个抽象类,Spring Security根据登录失败的原因封装了许多对应的实现类,不同的失败原因对应不同的异常,比如用户名或密码错误对应的是BadCredentialsException,用户不存在对应的是UsernameNotFoundException,用户被锁定对应的是LockedException等。
如果我们需要在登录失败的时候返回失败信息,可以这样处理:

@Component
public class CustAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException {
        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(new ObjectMapper().writeValueAsString(exception.getMessage()));
    }
}

状态码定义为500(HttpStatus.INTERNAL_SERVER_ERROR.value()),即系统内部异常。
同样,我们需要在WebSecurityConfigurerAdapter实现类的configure方法中进行配置:

@Autowired
private CustAuthenticationFailureHandler authenticationFailureHandler;
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin() // 表单方式认证
            // .httpBasic() // HttpBasic方式认证
            .loginPage("/authentication/require") // 登录跳转URL
            .loginProcessingUrl("/login") // 登陆鉴权地址,这里的login为SpringSecurity默认的鉴权地址
            .successHandler(authenticationSucessHandler) // 处理登录成功
            .failureHandler(authenticationFailureHandler) // 处理登录失败
            .and()
            .authorizeRequests() // 授权配置
            .antMatchers("/authentication/require", "/login.html").permitAll() // 不用鉴权的资源
            .anyRequest()  // 所有请求
            .authenticated() // 都需要认证
            .and().csrf().disable() // 关闭CSRF攻击防御
    ;
}

自定义用户认证

自定义认证的过程需要实现Spring Security提供的UserDetailService接口,该接口只有一个抽象方法loadUserByUsername,源码如下:

public interface UserDetailsService {
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

loadUserByUsername方法返回一个UserDetail对象,该对象也是一个接口,包含一些用于描述用户信息的方法,主要方法的含义如下:

  • getAuthorities:获取用户包含的权限,返回权限集合,权限是一个继承了GrantedAuthority的对象;
  • getPassword和getUsername方法:用于获取密码和用户名;
  • isAccountNonExpired方法:返回boolean类型,用于判断账户是否未过期,未过期返回true反之返回false;
  • isAccountNonLocked方法:用于判断账户是否未锁定;
  • isCredentialsNonExpired方法:用于判断用户凭证是否没过期,即密码是否未过期;
  • isEnabled方法:用于判断用户是否可用。

实现(使用任意用户名及密码admin登陆)

  1. 创建UserDetailsService的实现类,自定义密码处理逻辑:

    @Configuration
public class CustUserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 模拟密码获取逻辑
        String password = this.passwordEncoder.encode("admin");
        // 输出加密后的密码
        System.out.println(password);
        return new User(username, password, true,
                true, true,
                true, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

  2. 创建PasswordEncoder对象
    CustUserDetailServiceImpl还注入了PasswordEncoder对象,该对象用于密码加密,注入前需要手动配置。添加PasswordEncoder的实例:

    @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}
github_39635032
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security --定义登录
smile_code_dog的博客
04-15 2526
Spring Security – 自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
Spring Security学习-定义Login方法
热门推荐
lee353086的专栏
09-19 1万+
定义Spring Security的Login方法。
Spring Security之修改默认表单登录(详细带图教程)
Pinyk的博客
02-22 5802
我们知道,在SpringBoot项目引入SpringSecurity依赖之后,security在你获取任何接口之前自动会帮你加载一个默认的登录页面,如下图: 但是往往一般情况下我们会选择自己定义登录页面。首先,我们需要新建一个config的包用来存放配置,然后新建一个SecurityConfig类,使其继承WebSecurityConfigurerAdapter,如下图所示: 然后我们需要给S...
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
如何在自定义接口中实现Spring Security登录登出功能?
qq_37185373的博客
07-10 849
Spring Security登录登出功能通常使用配置中的表单登录实现。但在某些情况下需要在controller层中实现登录登出功能,从而更很灵活地自定义自己的security。1.通过WebSecurityConfigurerAdapter,获取AuthenticationManager来进行用户验证。3.实现记住我令牌持久化功能。2.在接口中实现登录功能。3.在接口中实现登出功能。
解决Oauth ResourceServerConfigurerAdapter与SpringSecurity WebSecurityConfigurerAdapter冲突引发的配置失效问题
slxz001的博客
04-17 2376
Springboot项目中,解决了同时存在ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter配置时,部分自定义配置失效的问题
SpringSecurity[02]:自定义登录
weixin_38790466的博客
05-04 458
定义登录页这个功能,在实际项目中几乎不会用,因为现在都前后端分离,页面统一由前端提供,也包括了登录页。这里只是为了学习研究才写出来。如果不敢兴趣可以跳过。 1、重写WebSecurityConfigurerAdapter类 import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity;
SpringSecurity学习笔记(二)——访问数据库(二)
东天里的冬天
06-30 525
在上篇访问数据库(一)中,我们是将sql代码写入到spring-security.xml中,在实际项目中是否可以这样呢?答案是肯定的,但是对于程序原来是xml配置实在是麻烦,远不如java代码来的方便,本篇讲的就是如何通过java代码来查询数据库(整合mybatis)。 一.结构目录 二.pom.xml引入相应jar包 三.service中写一个方法实现UserDet
spring-security实现自定义登录认证.rar
05-21
通过学习和运行这个示例,你可以深入理解Spring Security的自定义登录认证流程,以及如何与JWT相结合,为你的Spring Boot应用提供安全的认证和授权机制。记得在实际项目中,根据具体需求调整配置和代码,确保安全...
spring security定义登录页面
08-29
Spring Security定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
spring security学习-3. 自定义数据库表结构.doc
06-03
在本篇关于“Spring Security学习-3. 自定义数据库表结构”的文档中,我们将探讨如何根据企业特定的需求来定制Spring Security的数据库表结构,并且如何初始化数据以及获取自定义的用户权限信息。Spring Security...
Spring Security定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurity去掉登录
weixin_44569326的博客
05-10 780
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 正常配置其他安全相关的内容 // 将登录框关闭 http.formLogin().disable(); } } ...
SpringSecurity回顾
weixin_57128596的博客
02-24 781
用户认证: 验证用户是否为系统中的合法主体,有没有资格访问; 一般来说,用户认证——>用户提供用户名和密码,系统通过用户名密码进行验证; 用户授权: 用户是否有权限执行某个操作; 特点: 权限可以达到全面控制; 专门为web环境设计; 重量级,依赖多,组件多;——>我们可以用springboot来简化配置 功能相对于shiro更加强大; 默认用户名:user 密码:项目启动时会随机给一个密码 SpringSecurity本质上是一个过滤链(有多个过滤器,只有do.
SpringBoot整合SpringSecurity系列(3)-登录成功控制
TianXinCoord的博客
04-15 499
文章目录一、SecurityConfigurer二、指定登录页面三、定制登录参数四、定制成功处理器 一、SecurityConfigurer SecurityConfigurer是security配顶层置类,主要规定了初始化和配置方法 WebSecurityConfigurer是SecurityConfigurer子接口,仅作为标识接口,并未增加方法 WebSecurityConfigurerAdapter抽象类是WebSecurityConfigurer的配置适配器,也是Security中主要使用的配置
SpringSecurity学习(二):Web权限简单使用
m0_49499183的博客
04-15 1095
一、设置登录系统的账号密码 1、在application文件中设置 spring.security.user.name=tom spring.security.user.password=123 但是密码明文写在文档中,总归是不好的。 2、编写类实现接口 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Ov...
SpringSecurity连接数据库实现登录认证
Thinking_Liang的博客
03-22 1423
SpringSecurity连接数据库实现登录认证 首先,使用SpringSecurity前需要知道的一点是:要想使用SpringSecurity必须继承WebSecurityConfigurerAdapter父类(重写两个configure方法),SpringSecurity中进行认证需要实现UserdetailService接口,把用户名和密码写死的内存中认证为以下写法: @EnableWebSecurity public class SecurityConfig extends WebSecurity
配置Java开发环境
最新发布
Broken_x的博客
07-10 1542
Java开发环境配置
spring security oauth2 密码模式自定义登录路径
06-03
2. 在Spring Security配置类中,使用formLogin()方法启用表单登录,并使用loginPage()方法指定登录页面的路径和permitAll()方法允许所有用户访问登录页面。 ``` @Configuration @EnableWebSecurity public class ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值