Spring Security - part2
- 参考视频:@编程不良人
- 学习周期:2023/10/18 – 2023/10/18
如有侵权请联系我
1. 自定义资源认证规则
- /index:公共资源
- /hello: 受限资源
@Configuration(proxyBeanMethods = false)
@ConditionalOnDefaultWebSecurity
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {
@Bean
@Order(SecurityProperties.BASIC_AUTH_ORDER)
SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();
return http.build();
}
}
```将默认配置进行扩展,要将默认配置覆盖。在上part有介绍过,实现默认配置的扩展,可以通过创建WebSecurityConfigurationAdapter或者SecurityFilterChain实现;SpringSecurity将默认配置写在WebSecurityConfigurationAdapter,所以推荐创建WebSecurityConfigurationAdapter的实例,通过重写提供的的configure(HttpSecurity http)方法,覆盖Http资源请求资源规则;
```java
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
// 自定义实现WebSecurityConfigurerAdapter,那么SPringSecurity的自动配置就会被覆盖
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeHttpRequests() // 开启请求权限管理, 注意顺序
.mvcMatchers("/index").permitAll() // 匹配并放行/index的所有请求
.anyRequest().authenticated() // 其余所有的请求需要认证
.and()
.formLogin(); // 其余所有请求都要做表单认证
}
}
-
启动容器,访问localhost:7777/index, 发现可以直接访问到
-
访问localhost:7777/hello, 跳转到登录页面;认证之后才可以访问服务器资源
2. 自定义登陆界面(并非前后端分离,跳过)
目前为止看到的登陆页面是由DefaultLoginPageGeneratingFilter
生成的,功能简单,一般会自己的登录界面
3. 自定义登陆成功处理(前后端分离开发方案)
-
前后端分离方案successHandler方法
在前后端分离开发中不需要登陆成功之后跳转页面,只需要给前端返回一个JSON通知登录成功还是失败,这时候可以通过自定义AuthenticationSuccessHandler
来实现,只需要重写接口里面违没有被实现的方法
-
AuthenticationSuccessHandler类图
在自定义登陆界面中讲过两个方法successForwardUrl(forward跳转)和default