SpringSecurity学习笔记之 入门 三 (前后端一体,的自定义页面403和login,,以及拦截策略的配置)

最新推荐文章于 2024-04-27 03:30:00 发布
最新推荐文章于 2024-04-27 03:30:00 发布
阅读量423 收藏
点赞数 1
分类专栏: java SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49194578/article/details/119392157
版权

自定义403:

  • 首先需要自定义异常
/**
 * 自定义springboot错误处理异常
 */
@Configuration
public class WebSeverErrorConfig {
    //出现异常以后就会访问后面指定的路径
    @Bean
    public ConfigurableServletWebServerFactory webServerFactory(){
        TomcatServletWebServerFactory factory =new TomcatServletWebServerFactory();
        ErrorPage errorPage400=new ErrorPage(HttpStatus.BAD_REQUEST,"/error/400");
        ErrorPage errorPage401=new ErrorPage(HttpStatus.UNAUTHORIZED,"/error/401");
        ErrorPage errorPage403=new ErrorPage(HttpStatus.FORBIDDEN,"/error/403");
        ErrorPage errorPage404=new ErrorPage(HttpStatus.NOT_FOUND,"/error/404");
        ErrorPage errorPage415=new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE,"/error/415");
        ErrorPage errorPage500=new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR,"/error/500");
        factory.addErrorPages(errorPage400,errorPage401,errorPage403,errorPage404,errorPage415,errorPage500);
        return factory;
    }
}
  • 然后定义一个Controller接口,对应你设置的错误路径
@ResponseBody
@RequestMapping("/error/403")
public String error403() {
    return "权限不足";
}
也可以关闭body注解使用页面响应

自定义表单登录页面:

由于我们不是前后端分离的,这里我们随便准备一个简单的登录表单

<h1>登录页</h1>
<div>
    <form action="/login" method="post"> <!--提交路径,提交方式-->
        <div>账户:<input type="text" name="username"></div>
        <div>密码:<input type="text" name="password"></div>
        <input type="submit" value="登录"><!--提交按钮-->
    </form>
</div>
  • 注意用户名密码必须是username和password;

然后创建对应的接口
这里上面不能有@ResponsetBody或者@RestController,因为这里返回loging并不是返回login字符串,而是返回longin路径的页面;

@RequestMapping("/login")
public String login() {
    return "login.html";
}

在配置类中修改http对象

  1. 首先放开login路径的权限拦截,否则都被拦截了从何验证
 http.authorizeRequests().antMatchers("/login").permitAll()//可以直接在别的后面接续;
  1. 在配置完使用form表单验证的api后使用.调用loginPage(“”)配置验证路径并且修改.csrf().disable();
http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin()
						.loginPage("/login").and().csrf().disable();
  • 也就是说当访问login路径的时候就会访问到我们创建的接口并返回我们指定的登录界面,我们占用了默认的路径;然后表单提交的时候,就会提交到我们在配置类中配置的Login提交路径,会从中提取数据和内存中的用户信息进行比对;

在前后端分离中的配置

// 配置拦截规则,认证方式的方法
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // TODO 后续可以在redis中缓存,顺便也防止别有用心之人DDOS
        List<Auth> auths = authService.authFindAll();
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry
                eac = http.authorizeRequests();
        auths.forEach(auth -> {
            eac.antMatchers(auth.getUri()).hasAnyAuthority(auth.getAuthTag());
        });
        //前后端分离中,配置的登出登入跳转路由都可以用控制器替代,也可以共存
        eac.antMatchers("/user").permitAll()
                .antMatchers("/**").fullyAuthenticated().and().formLogin()
        /*登录*/
                //处理登录请求的接口
                .loginProcessingUrl("/user/login")
                //接收用户名的表单名称
                .usernameParameter("username")
                //接收密码的表单名称
                .passwordParameter("password")
                //登录成功后访问的路径
                .successForwardUrl("/user/loginSuccess")
                //登录失败后访问的路径
                .failureForwardUrl("/user/loginFailure")
                .permitAll();//配置完毕登录路径一律放行

        /*登出*/
        //退出登录时访问的路径
        http.logout().logoutUrl("/user/loginOut")
                //退出后访问的路径
                .logoutSuccessUrl("/user/loginOutSuccess")
                .permitAll();//配置完毕,退出一律放行


        /*异常处理*/
        //以下异常处理配置
        //未认证用户访问需要认证资源异常处理
               http.exceptionHandling().authenticationEntryPoint((httpServletRequest, httpServletResponse, e) -> {
            httpServletResponse.setContentType("application;charset=UTF-8");
            PrintWriter out = httpServletResponse.getWriter();
            out.print(JSON.toJSONString(new Result(false, CodeEnum.UN_LOGIN.code(), MsgEnum.UN_LOGIN.getCnMsg())));
            out.flush();
        })
                //认证用户访问资源权限不足异常处理
                .accessDeniedHandler((httpServletRequest, httpServletResponse, e) -> {
                    httpServletResponse.setContentType("application;charset=UTF-8");
                    PrintWriter out = httpServletResponse.getWriter();
                    out.print(JSON.toJSONString(new Result(false, CodeEnum.NO_PERMISSION.code(), MsgEnum.NO_PERMISSION.getCnMsg())));
                    out.flush();
                })
                //以上异常处理配置
                .and()
                .cors()//允许跨域,如果springboot/springmvc已有跨域配置,自动采用springboot/springmvc跨域配置
                .and()
                //禁用防CSRF攻击
                .csrf().disable();
    }

补充:security接受账号密码的方式为formData所以用常规post-json是无法让security接收到的;
需要使用formdata或者直接地址传参,可是为了保密性选择前者最好;
vue示例=>请求中加入参数:headers: { 'content-type': 'application/x-www-form-urlencoded' },

export function login(data) {
  return request({
    url: '/user/login',
    method: 'post',
    headers: { 'content-type': 'application/x-www-form-urlencoded' },
    data
  })
}

重要
关于配置的生效顺序

在这里,12可以访问,但是3无法访问;
猜测:从上到下配置规则。如果有重复的就重写之前的;

比如这样,在3被重写以后,3就可以访问了
可以的话用一句解决,里面传入数组;简单明了一点;

情况2:

1.2.3可以访问,4无法访问;
猜测:
他会像数组一样从前到后匹配。匹配得上就放行,匹配不上就直接403打回。。所以4在遇到/**以后就直接被打回了;

将all移下一行以后就会,在遇到all之前提前被放行

也就是说只要你在第一行配置了拦截所有/**,那第一个必定会碰到全部拦截。后面配置啥都没用; 同理只要你在拦截策略之前配置了放行全部。那么等于全部放行了啥都白瞎; 之前有幸配置了细化拦截的才会被拦截下来
(除非你拦截的时候把前面的/**重写了)

就像酱紫。别指望前面的没匹配上到了全部放行会放过你。因为他已经被后面的重写了;

总之他就是一个TreeMap集合,,会按照你存进去的顺序一个一个比较,但是又是一个去重集合,后面的会覆盖前面的;

人形bug制造机9527
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决django前后一体和前后分离(前vue)post请求报403 forbidden的问题
Dream_it_possible!的博客
11-05 3699
文章目录前后一体1) 使用templates显示前html页面2)定义post请求的Form表单3) 跨域攻击原理分析4) 解决方法前后分离 前后一体 1) 使用templates显示前html页面   在setings里添加配置, dirs为指定模块下的templates目录文件夹: # 配置db TEMPLATES = [ { 'BACKEND': 'django.template.backends.django.DjangoTemplates',
spring-security多登录页面配置
09-17
spring-security多登录页面配置,包括前台和后台分开登录界面,注销登录返回不同的界面等。
SpringSecurity——Web权限方案用户授权(自定义403页面
最新发布
程序员阿皓的博客
04-27 276
SpringSecurity——Web权限方案用户授权(自定义403页面
在项目中集成SpringSecurity安全框架做拦截登录的用法
weixin_45223528的博客
02-25 370
在项目中集成SpringSecurity安全框架做拦截的用法 1.加入SpringSecurity的依赖: </dependencies> <!--安全框架开始--> <dependency> <groupId>org.springframework.security</groupId...
基于jwt与springSecurity实现方法拦截(单点登录)
你还有好多未完成的梦,你有什么理由停下?
04-17 1691
0、什么是jwt,什么是Security 转载两篇完成项目主要需要的基础知识 jwt是什么?转载:https://www.cnblogs.com/yan7/p/7857833.html security登录的过程:https://blog.csdn.net/abcwanglinyong/article/details/80981389 1、导包 <?xml version="1.0" enc...
Spring Security Ajax 被拦截(404 NotFound) 解决方案
ShowMe
11-23 1144
核心代码段 beforeSend: function(request) { request.setRequestHeader("${_csrf.headerName}", "${_csrf.token}"); } 示例段 $.ajax({ type: "GET", url: "${AppRootPa...
spring security3.x学习(5)_如何拦截用户请求
杜雷的技术博客
09-18 2309
上次看到了关于认证管理的过程,其中还有很多迷糊的地方,比如说,请求是如何被拦截的。 我们看一下第一个运行的例子,让他跑起来: 我访问一下这个url:http://localhost:8080/JBCPPets/home.do 页面将会自动跳转到:http://localhost:8080/JBCPPets/spring_security_login 我干到很奇怪,哪
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Spring Security学习笔记(一)
09-07
以上就是Spring Security 学习笔记的第一部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
SpringSecurity学习之自定义过滤器的实现代码
08-26
Spring Security学习之自定义过滤器的实现代码主要介绍了Spring Security学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值。下面我们将详细解释标题、...
springsecurity学习笔记
12-13
7. **OAuth2 and JWT支持**:Spring Security 提供了对OAuth2和JSON Web Tokens (JWT) 的支持,这在现代微服务架构中非常重要,因为它允许第三方应用安全地与你的服务进行交互。 8. **表达式语言(SpEL)**:Spring...
Tomcat前后一体项目环境搭建教程
03-31
Tomcat环境搭建,web项目环境搭建,前后一体项目环境搭建。
SpringBoot_SpringSecurity:前后分离登陆拦截设计
05-01
总的来说,这个项目涵盖了SpringBoot与SpringSecurity的集成,以及前后分离架构下的登录拦截设计。通过学习和实践,开发者可以深入理解如何在Java环境中实现安全的Web应用,并为自己的项目提供安全可靠的保护。
权限学习 -- Spring Security拦截
白玉灬风的博客
11-27 1990
Spring Security权限拦截: Spring Security提供很多的过滤器,它们拦截servlet请求,并将这些请求转交给认证处理过滤器和访问角色过滤器进行处理,并强制安全性,认证用户身份和权限以达到保护web资源的目的。 SecurityContextPersistenceFileter,,改过滤器位于所有过滤器的顶,是第一个起作用的过滤器,它的第一个用途是在执行其他过滤器之
记 测试Interceptor拦截器,一直被拦截login
Jisan_Mo的博客
12-03 1098
测试拦截器,一直被拦截到登录页login.jsp解决方法,问题主要是由spring的security框架引起
Spring Security--自定义过滤器拦截多次错误登录,阻止登录
大风起兮云飞扬
01-16 2339
前提 因为Spring Security没有对登录接口的错误次数做限制,所以登录接口可以被频繁访问。因为内部具体是通过UsernamePasswordAuthenticationFilter.java来实现登录逻辑的,所以每一次的登录请求其实都请求了数据库。故提出登录次数限制错10次以上则3分钟之内不允许登录。 分析 1 Spring Security允许自定义filter并将filter插入到Spring Security的过滤器链中且可插入指定的某个过滤器前面或者后面。 2 将错误次数以及多长时间不允许
SpringSecurity 跨域问题 Cors
Claroja
03-25 1631
在SpringBoot中只需要在Controller上添加@CrossOrigin,而在导入SpringSecurity后将会失效,所以需要我们在SpringSecurity中再进行配置 public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.c
基于IDEA部署Tomcat服务器,并在上面创建第一个servlet程序,实现前后交互。然后做一个简单的四则运算计算器。
Milo_Luom的博客
04-11 4232
基于IDEA的第一个servlet程序 简介 ​ 基于IDEA部署Tomcat服务器,并在上面创建第一个servlet程序,实现前后交互。然后做一个简单的四则运算计算器。 ​ 本程序基于2021年最新版IDEA,解决的与老版本配置不同问题 步骤一 安装Tomcat(前提已经安装好JDK) ​ 1、Tomcat是免费的服务器,直接在官网下载即可 ​ 2、压缩包下载好后直接将其解压到指定路径下 ​ 3、在安装路径下有一个bin文件夹,在里面找到startup.bat文件,双击运行,之后出现以下运行结果
6:第二章:架构后项目:2:使用Tomcat运行一下前项目,先看看前的内容;
小枯林的博客
06-17 724
说明: (1)本篇博客内容说明: ●这个项目是一个前后分离的项目,实际部署的时候前后也是分开部署的;本篇博客,我们尝试运行一下前; ● 这儿我们是用Tomcat去运行; ● 但是,后面我们是使用Nginx去运行前的,而且后面我们也会使用Nginx去部署静态资源,同时也会去配置集群、负载均衡等; (2)本篇博客的内容,十分简单,没什么好说的,快速浏览即可;...
spring2.5学习笔记以及SSH
07-23
Spring2.5学习笔记以及SSH 在这份学习笔记中,将会详细介绍关于Spring 2.5的学习笔记以及SSH的整合。 在第一页的目录中,可以看到这份学习笔记一共有46页。从第一页开始,第一课是关于面向抽象编程的内容。这一课...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值