史上最简单的Spring Security教程(十一):url区分不同的登录失败场景

最新推荐文章于 2021-06-25 18:13:59 发布
最新推荐文章于 2021-06-25 18:13:59 发布
阅读量2.4k 收藏
点赞数 2
分类专栏: Web安全 日积月累
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuminglei1987/article/details/107363408
版权

​前面我们自定义了登录失败页面,其中有简单的登录失败原因的展示。不过,有更为特殊的业务场景,需要从url中区分不同的用户登录失败场景,以方便其它关联操作。如用户名密码错误 /login_fail?error=1,账号锁定 /login_fail?error=2等。

先定义几种常见的登录失败类型。

FAILURE(0, "登录失败!"),
​
BADCREDENTIALS(1, "用户名密码错误!"),
​
LOCKED(2, "用户已被锁定,无法登录!"),
​
ACCOUNTEXPIRED(3, "用户已过时,无法登录!"),
​
USERNAMENOTFOUND(4, "用户不存在!");

 

然后,需要通过 AuthenticationFailureHandler 来动态设置登录失败页面地址。

......
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
    setDefaultFailureUrl(determineFailureUrl(exception));
​
    ......
}
​
    
private String determineFailureUrl(AuthenticationException exception) {
    // 默认设置登录错误页面为/login_fail
    defaultFailureUrl = StringUtils.hasLength(defaultFailureUrl) ? defaultFailureUrl : DEFAULT_FAILURE_URL;
​
    Integer failureType = determineFailureType(exception).getType();
​
    if (failureType != null) {
        defaultFailureUrl += defaultFailureUrl.lastIndexOf("?") > 0 ? "&" : "?" + "error=" + failureType;
    }
​
    return defaultFailureUrl;
}
​
private LoginError determineFailureType(AuthenticationException exception) {
    if (exception instanceof BadCredentialsException) {
        return LoginError.BADCREDENTIALS;
    } else if (exception instanceof LockedException) {
        return LoginError.LOCKED;
    } else if (exception instanceof AccountExpiredException) {
        return LoginError.ACCOUNTEXPIRED;
    } else if (exception instanceof UsernameNotFoundException) {
        return LoginError.USERNAMENOTFOUND;
    }
​
    return LoginError.FAILURE;
}
......

 

最后,登录失败controller和页面做相应的改造。根据登录失败类型,组装登录失败原因。

@RequestMapping("/login_fail")
public String loginFail(HttpServletRequest request, Model model) {
    LoginError loginError = determineErrorType(request);
​
    model.addAttribute("errorMessage", loginError != null ? loginError.getMessage() : null);
​
    return "login_fail";
}
​
private LoginError determineErrorType(HttpServletRequest request) {
    String typeStr = request.getParameter("error");
​
    return typeStr == null ? null : LoginError.resolve(Integer.valueOf(typeStr));
}

 

页面改造也简单。

<div class="jumbotron">
  <div class="col-sm-12 mx-auto text-center">
    <p th:if="${errorMessage}" th:text="${errorMessage}" class="text-danger font-size-x-small">登录失败</p>
    <p>登录失败,请<a href="login.html" th:href="@{/login}">重新登录</a>。</p>
  </div>
</div>

 

改造完成后,启动系统,访问首页,然后登录,故意输入错误的密码,系统如预想一样,跳转到了 /login_fail?error=1 页面,登录失败原因也正常展示。

大家可根据自己的具体业务场景,参考此方案,做适合自己业务场景的方案。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

 

源码

 

github

 

https://github.com/liuminglei/SpringSecurityLearning/tree/master/11

gitee

 

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/11

 

 

回复以下关键字,获取更多资源

 

SpringCloud进阶之路 | Java 基础 | 微服务 | JAVA WEB | JAVA 进阶 | JAVA 面试 | MK 精讲

 

 

 

笔者开通了个人微信公众号【银河架构师】,分享工作、生活过程中的心得体会,填坑指南,技术感悟等内容,会比博客提前更新,欢迎订阅。

 

银河架构师
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
java 过滤器 映射_java – Spring Security过滤器有多个URL拦截映射
weixin_39837607的博客
02-28 309
spring-security-xml中在web.xml中,我们必须定义实际的过滤器springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxyspringSecurityFilterChain/*所以我没有得到这个,我们将截取映射到2个地方的2个网址.致/欢迎*和/ *.为什么我们需要这两个?我在这里...
spring security 使用自定义AuthenticationFailureHandler无法跳转failureUrl
路过君的博客
08-12 2653
默认AuthenticationFailureHandler源码 org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer protected final void updateAuthenticationDefaults() { if (loginProcessingUrl == null) { loginProcessingUrl(loginPage
springboot2.1.1+spring security 不同平台通过不同请求路径实现登录
三旬的博客
05-28 1560
spring security问题描述分析问题代码实现ConfigBackAuthenticationFilterBackAuthenticationTokenBackAuthenticationProvider 问题描述 某项目后台管理,既管理后台账号,又管理前台账号,前台账号信息存储front_account, 后台账号信息存储back_account。这里通过spring security 既管理后台账号的认证,也管理前台账号的认证。 分析问题 既然是两张表,而且为了适应不同环境,那么首先我们知道,单
springsecurity 登录失败 次数_史上简单Spring Security教程(九):自定义用户登录失败页面...
weixin_36182372的博客
01-19 705
生活中肯定存在这样的场景,在登录某个网站时,难免会忘记密码,或是验证码输入错误,造成多次尝试。所以,有必要适度的提醒用户,到底是什么原因造成了登录失败,如用户名密码不正确、验证码错误等等。由于 Spring Security 框架自带的登录失败url为 /login?error,除了知道是登录失败了,其它的,可以说是毫无用处。所以,需要我们自定义用户登录失败页面。先来做一个简单登录失败页面,简单...
Spring Security(六):自定义登录成功与失败处理
zhujunjun6的专栏
03-20 1079
基本思路:实现AuthenticationSuccessHandler或AuthenticationFailureHandler接口,并进行相应的配置就可以了。当然框架有默认的实现类,也可以继承实现类再来自定义自己的业务。 操作流程 1、【zjj-security-demo 工程】修改application.yml 屏蔽属性loginPage,为后面一会测试使用,新增属性loginTyp...
Spring Security实现多次登录失败后账户锁定功能
08-25
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
spring-security-sso:简单的单点登录Spring Security OAuth2
05-19
spring-security-sso简单的单点登录Spring Security OAuth21.概述在本教程中,我们将讨论如何使用Spring Security OAuth和Spring Boot实现单点登录 - 单点登录。我们将使用三个独立的应用程序授权服务器 - 这是中央...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...
SpringSecurity 登陆验证 success 和 fail 的处理
qq804702802的专栏
12-21 2143
<form-login login-page="/login" authentication-success-handler-ref="customAuthenticationSuccessHandler" authentication-failure-handler-ref="authenticationFailureHandler" username-p
Spring Security开发安全的REST服务】-3.6 服务异常处理
摩羯座de杰杰陆的博客
05-02 851
3.6 服务异常处理一、概述二、SpringBoot默认的错误处理机制2.1、模拟不同客户端访问不存在的url2.1.1、Web端访问不存在的url的处理机制2.1.2、模拟App使用接口方式访问不存在的url的处理机制2.2、分析SpringBoot的默认处理机制源码(BasicErrorController) 一、概述 二、SpringBoot默认的错误处理机制 2.1、模拟不同客户端访问不...
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 7117
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其二,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
Spring Security Web 5.1.2 源码解析 -- SimpleUrlAuthenticationFailureHandler
Details Inside Spring
12-24 5649
概述 AuthenticationFailureHandler接口定义了Spring Security Web在遇到认证错误时所使用的处理策略。 典型做法一般是将用户重定向到认证页面(比如认证机制是用户名表单认证的情况)让用户再次认证。当然具体实现类可以根据需求实现更复杂的逻辑,比如根据异常做不同的处理等等。举个例子,如果遇到CredentialsExpiredException异常(Authen...
Spring Security(3)——异常处理
红烧咸鱼的博客
04-21 3040
异常处理 我们在这里只是介绍下Spring Security简单的异常的抓取。并不做源码的分析。 一, 常见的异常 UsernameNotFoundException 用户不存在,但是我程序中抛出该异常的时候,常常抓取到的是BadCredentialsException异常 这种情况,我们可以自定义异常,继承AuthenticationException 类 DisabledException...
SpringBoot 整合 Spring Security 、JWT 实现认证、权限控制
z1259678404的博客
02-16 1426
引入依赖包(gradle) maven 请自行转换 dependencies { compile group: 'io.jsonwebtoken', name: 'jjwt', version: '0.9.1' implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'org.springframework.boot:spring-boot-starte...
Spring Security 出现 'login.html?error' is not a valid redirect URL 异常
无需有太多~
01-04 6550
原因是这个URL地址要以 / 打头 例如: 报错的代码: http.formLogin() .loginPage("login.html") 修改后: http.formLogin() .loginPage("/login.html") 问题原因: spring security的登陆失败的地址如果你不设置,那么他就会用你的 loginPage 地址并拼接一个error,像我上...
spring security 登录、权限管理配置
热门推荐
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
spring security实现限制登录次数功能
xiaokanfuchen86的博客
10-10 2887
本节是在基于注解方式进行的,后面的例子都会基于注解形式,不再实现XML配置形式,毕竟注解才是趋势嘛! 关键在于实现自定义的UserDetailsService和AuthenticationProvider 项目结构如下: 查看spring security的源代码可以发现默认security已经定义的user中的一些变量,鉴于此创建users表如下: CREATE TABLE users ( username VARCHAR(45) NOT NULL, password VARCH
SpringSecurity整合JWT.docx
06-27
"这篇文档介绍了如何使用Spring Security整合JWT(JSON Web Token)以实现无状态登录,探讨了无状态登录的优缺点,并简要说明了JWT的基本原理和构成部分。" 正文: 在现代Web应用程序中,为了提高系统的可伸缩性和可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值