Spring Security(四)— 登录表单

已于 2022-09-13 09:49:42 修改
阅读量339 收藏
点赞数
分类专栏: java
于 2022-09-11 22:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49532843/article/details/126769303
版权

spring java 前端

在resource/static目录下创建一个login.html页面,如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Login</title>
</head>
<body>
    <div>
        <form action="/doLogin" method="post">
            <h3>登录</h3>
            <div>
                <label>用户名:</label>
                <input type="text" name="uame" id="username" placeholder/>
            </div>
            <div>
                <label>密    码:</label>
                <input type="password" name="passwd" id="password" placeholder/>
            </div>
            <div>
                <input type="submit" value="登录"/>
            </div>

        </form>
    </div>
</body>
</html>

接下来定义两个接口:

@RestController
public class LoginController {
    @GetMapping("/index")
    public String index(){
        return "success";
    }
    @GetMapping("/hello")
    public String hello(){
        return "Hello Spring Security!";
    }
}

在提供一个配置类:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()//开启权限配置
                .anyRequest().authenticated()//所有请求都要走认证之后才能访问
                .and()//相当于返回HttpSecurity实例,重新开启新一轮的配置
                .formLogin()//开启表单配置
                .loginPage("/login.html")//配置登录页面地址
                .loginProcessingUrl("/doLogin")//配置登录接口
                .defaultSuccessUrl("/index")//登录成功后跳转地址
                .failureUrl("/login.html")//登录失败后跳转地址
                .usernameParameter("uname")//用户名的参数名称
                .passwordParameter("passwd")//密码的参数名称
                .permitAll()//跟登录有关的页面和接口不做拦截,直接通过。
                .and()
                .csrf().disable();//禁用csrf防御功能
    }
}

failureUrl表示登录失败后重定向到/login.html页面。重定向是一种客户端跳转,重定向不方便携带请求失败的异常信息(只能放在URL中)。如果希望能够在前端展示请求失败的异常信息,可以使用failureForwardUrl 这种跳转是一种服务器跳转,可以携带登录异常的信息。如果登录失败,自动跳转回登录页后,就可以将错误信息展示出来。

无论是failureUrl 还是failureForwardUrl ,最终所配置的都是AuthenticationFailureHandler 接口的实现。Spring Security 用 AuthenticationFailureHandler 来规范登录失败的实现,接口如下:

public interface AuthenticationFailureHandler {
	//exception 表示登录失败的异常信息
	void onAuthenticationFailure(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException exception)
			throws IOException, ServletException;
}

AuthenticationFailureHandler 一共提供了五个实现类:
在这里插入图片描述

  1. SimpleUrlAuthenticationFailureHandler 默认的处理逻辑就是重定向到登录页面,也可以通过forwardToDestination 属性重定向改为服务器跳转,failureUrl 方法的底层实现逻辑就是它。
  2. ExceptionMappingAuthenticationFailureHandler 可以实现根据不同的异常类型,映射到不同的路径
  3. ForwardAuthenticationFailureHandler 表示通过服务器端跳转来重新回到登录页面,failureForwardUrl 方法的底层实现逻辑就是它。
  4. AuthenticationEntryPointFailureHandler 通过 AuthenticationEntryPoint 来处理登录异常
  5. DelegatingAuthenticationFailureHandler 可以实现为不同的异常类型配置不同的登录失败处理回调。

如今大部分使用的时前后端分离,登陆失败就不需要页面跳转了,只需要返回JSON字符串给前端就行,此时可以通过自定义AuthenticationFailureHandler 的实现类来完成,如下:

public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        Map<String, Object> resp = new HashMap<String, Object>();
        resp.put("status",500);
        resp.put("message","登录失败!"+exception.getMessage());
        ObjectMapper om = new ObjectMapper();
        String s = om.writeValueAsString(resp);
        response.getWriter().write(s);
    }
}

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/doLogin")
                .defaultSuccessUrl("/index")
//                .failureUrl("/login.html")
                .failureHandler(new MyAuthenticationFailureHandler())
                .usernameParameter("uname")
                .passwordParameter("passwd")
                .permitAll()
                .and()
                .csrf().disable();
    }
}

配置完成后,当用户再次登录失败,就不会进行页面跳转了,而是直接返回JSON字符串,如下图:
在这里插入图片描述

注销登录

Spring Security 中提供了注销页面,我们也可以自定义注销页面:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
				//......
                .and()
                .logout()//开启注销登录配置
                .logoutUrl("/logout")//指定注销登录请求地址,默认GET请求
                .invalidateHttpSession(true)//是否使Session失效 默认true
                .clearAuthentication(true)//是否清除认证信息 默认true
                .logoutSuccessUrl("/login.html")//注销登录后跳转页面
                .and()
                .csrf().disable();
    }
}

多注销请求,不需要页面跳转,将JSON字符串返回给前端。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                //......
                .and()
                .logout()
                .logoutRequestMatcher(new OrRequestMatcher(//配置多个注销登录的请求
                        new AntPathRequestMatcher("/logout1","GET"),
                        new AntPathRequestMatcher("/logout2","POST")
                ))
                .invalidateHttpSession(true)
                .clearAuthentication(true)
                .logoutSuccessHandler((req, res,auth) -> {//注销成功后不需要页面跳转,将JSON字符串返回给前端
                    res.setContentType("application/json;charset=UTF-8");
                    Map<String, Object> resp = new HashMap<String, Object>();
                    resp.put("status",200);
                    resp.put("message","注销成功!");
                    ObjectMapper om = new ObjectMapper();
                    String s = om.writeValueAsString(resp);
                    res.getWriter().write(s);
                })
                .and()
                .csrf().disable();
    }
}

不同的注销地址返回不同的结果

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                //......
                .and()
                .logout()
                .logoutRequestMatcher(new OrRequestMatcher(
                        new AntPathRequestMatcher("/logout1","GET"),
                        new AntPathRequestMatcher("/logout2","POST")
                ))
                .invalidateHttpSession(true)
                .clearAuthentication(true)
                .defaultLogoutSuccessHandlerFor((req, res,auth) -> {
                    res.setContentType("application/json;charset=UTF-8");
                    Map<String, Object> resp = new HashMap<String, Object>();
                    resp.put("status",200);
                    resp.put("message","logout1注销成功!");
                    ObjectMapper om = new ObjectMapper();
                    String s = om.writeValueAsString(resp);
                    res.getWriter().write(s);
                },new AntPathRequestMatcher("/logout1","GET"))
                .defaultLogoutSuccessHandlerFor((req, res,auth) -> {
                    res.setContentType("application/json;charset=UTF-8");
                    Map<String, Object> resp = new HashMap<String, Object>();
                    resp.put("status",200);
                    resp.put("message","logout2注销成功!");
                    ObjectMapper om = new ObjectMapper();
                    String s = om.writeValueAsString(resp);
                    res.getWriter().write(s);
                },new AntPathRequestMatcher("/logout2","POST"))
                .and()
                .csrf().disable();
    }
}
来回横跳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security自定义登录失败处理
Leon_Jinhai_Sun的博客
05-05 1755
和自定义登录成功处理一样,Spring Security 同样为前后端分离开发提供了登录失败的处理,这个类就是 AuthenticationFailureHandler,源码为: public interface AuthenticationFailureHandler { /** * Called when an authentication attempt fails. * @param request the request during which the authenticatio
认证失败处理器
Leon_Jinhai_Sun的博客
06-08 1225
认证
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
热门推荐
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
Spring SecurityAuthenticationFailureHandler 用户认证失败后处理
杜小舟的博客
12-28 1409
`AuthenticationFailureHandler` 主要是做用户认证失败后调用的处理器,这里的失败一般是指用户名或密码错误。当出现错误后,该处理器就会被调用,一般在开发中,会自己实现一个处理器,用来给前端返回一些已经商量好的异常码,下面分成两大块,先简单介绍一下官方给的一些用户失败后的处理器,再介绍我们自己实现的自定义处理器。
SpringSecurity的用户认证扩展配置——囊括登陆成功或失败处理器的相关配置原理及示例——从0到1教会方法自行学习
Alascanfu的博客
02-19 1277
本篇内容:SpringSecurity的用户认证扩展配置——囊括登陆成功或失败处理器的相关配置原理及示例——从0到1教会方法自行学习 文章专栏:前后端分离项目(Vue + SpringBoot) 最近更新:2022年2月18日 如何理解SpringSecurity的用户登录所需信息以及配置原理——源码学习——从0到1教会方法自行学习 个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去
Spring Security 表单登录功能的实现方法
08-25
Spring Security 表单登录功能的实现方法 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。其中,表单登录是最常用的身份验证机制之一。本文将详细介绍 Spring Security 表单...
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 自定义表单登录的实现 SpringSecurity 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。其中,自定义表单登录SpringSecurity 中的一个重要组件,本文将详细介绍如何在 Spring...
spring security自定义登录页面
08-29
在我们的登录页面中,我们需要将表单提交的地址设置为 `j_spring_security_check`,用户名的 name 设置为 `j_username`,密码的 name 设置为 `j_password`,提交方式为 POST。 登录页面的实现 在我们的登录页面中...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
Spring Security在标准登录表单中添加一个额外的字段
08-26
Spring Security在标准登录表单中添加一个额外的字段 在本文中,我们将探讨如何在Spring Security的标准登录表单中添加一个额外的字段。我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的...
SpringSecurity(二)
hangkhang的博客
08-20 571
前言 本篇文章将会将认证以及授权一并学习完成,话不多说,那就让我们开始SpringSecurity的第二段旅程吧。 认证的进阶() 自定义登录成功处理器 之前我们登录成功以后会去Controller实现一个跳转,由于目前的项目都实现了前后端分离,所以后端就不需要再管页面跳转了,交给前端即可。假如我们登录成功后需要跳转到csdn界面,如果将网址直接写在successForwardUrl,就会出现问题的。 .successForwardUrl("https://www.csdn.net") 如果这样写的话,
深入浅出SpringSecurity读书笔记-第二章-SpringSecurity认证-01
qq_31693055的博客
07-21 314
快速入门: 1.引入Spring Security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dep...
SpringSecurity 登录处理
weixin_45295046的博客
02-13 598
failureForwardUrl 方法的底层实现逻辑就是 ForwardAuthenticationFailureHandler。(2)ExceptionMappingAuthenticationFailureHandler 可以实现根据不同的异常类型,映射。(1)SimpleUrlAuthenticationFailureHandler 默认的处理逻辑就是通过重定向跳转到登录页。(5)DelegatingAuthenticationFailureHandler 可以实现为不同的异常类型配置不同的登录
SpringSecurity-4-AuthenticationFailureHandler接口(登录失败之后的处理逻辑)
文天大人
09-14 9622
怀念二抱三抱
Spring Security(八) —— 异常处理
eyes++的博客
07-26 1119
认证自定义异常授权自定义异常至于这两个方法怎么使用,我们可以进入源码看看首先是,可以看到,该方法要求我们传入AuthenticationEntryPoint的对象}进入AuthenticationEntryPoint接口,可以看到只有一个方法,因此在authenticationEntryPoint方法中可以直接传入Lambda表达式,但那样写不美观,配置与实现应该分离,因此我们可以新建一个类去实现这个接口/***处理认证访问相关异常}/***处理权限访问相关异常。...
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1718
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
Spring Security 入门 自定义认证失败处理器
SheTing'Blog
04-16 851
实现接口 AuthenticationFailureHandler 自定义认证成功处理器 @Component public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse respons
关于AuthenticationSuccessHandlerAuthenticationFailureHandler不执行的一种可能性
Qi_Chong的博客
06-08 501
SpringSecurity自定义认证失败处理器
m0_67401761的博客
08-25 375
第一步:实现接口。
spring security用户登录
最新发布
06-18
- Spring Security提供了内置的`login.jsp`页面,也可以自定义登录界面(使用`<form-login>`标签指定登录表单)。 3. **身份验证处理器**: - `AuthenticationManager`负责处理用户输入的用户名和密码,这通常是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值