Spring Security 前后端分离实现登录6

最新推荐文章于 2024-07-25 11:59:12 发布
最新推荐文章于 2024-07-25 11:59:12 发布
阅读量561 收藏 2
点赞数
分类专栏: spring Security 文章标签: spring java mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54797663/article/details/120171030
版权

Spring Security 前后端分离实现登录

前后端分离的数据交互

在前后端分离这样的开发架构下,前后端的交互都是通过 JSON 来进行,无论登录成功还是失败,后端只返回json,不做页面跳转。页面跳转是前端的事情。

登录成功了,服务端就返回一段登录成功的提示 JSON 给前端,前端收到之后,由前端自己决定页面跳转,和后端没有关系了。

登录失败了,服务端就返回一段登录失败的提示 JSON 给前端,前端收到之后,由前端自己决定页面跳转,和后端没有关系了。

登录成功

之前我们配置登录成功的处理是通过如下两个方法来配置的:

  • defaultSuccessUrl
  • successForwardUrl

这两个都是配置跳转地址的,适用于前后端不分的开发。除了这两个方法之外,还有一个必杀技,那就是 successHandler。

successHandler 的功能十分强大,甚至已经囊括了 defaultSuccessUrl 和 successForwardUrl 的功能。我们来看一下:

 .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,Authentication authentication) throws IOException,ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        PrintWriter out = response.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(authentication.getPrincipal()));
                        out.flush();
                        out.close();
                    }
                })

successHandler 方法的参数是一个 AuthenticationSuccessHandler 对象,这个对象要我们实现onAuthenticationSuccess方法

onAuthenticationSuccess 方法有三个参数,分别是:

  • HttpServletRequest:利用 HttpServletRequest 我们可以做服务端跳转,
  • HttpServletResponse:利用 HttpServletResponse 我们可以做客户端跳转,当然,也可以返回 JSON 数据。
  • Authentication:Authentication 参数保存了我们刚刚登录成功的用户信息。

配置完成后,我们再去登录,就可以看到登录成功的用户信息通过 JSON 返回到前端了,如下:

from01

登录失败也有一个类似的回调,如下:

                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest httpServletRequest,
                                                        HttpServletResponse httpServletResponse,
                                                        AuthenticationException e) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(e.getMessage()));
                        out.flush();
                        out.close();
                    }
                })

失败的回调也是三个参数,前两个就不用说了,第三个是一个 Exception,对于登录失败,会有不同的原因,Exception 中则保存了登录失败的原因,我们可以将之通过 JSON 返回到前端。

启动项目,用postman访问登录接口,故意输错用户名,或密码。无论是用户名还是密码错误都返回如下结果:

from02

当然大家也可以根据不同的异常类型,我们可以给用户一个更加明确的提示:

resp.setContentType("application/json;charset=utf-8");
PrintWriter out = resp.getWriter();
RespBean respBean = RespBean.error(e.getMessage());
if (e instanceof LockedException) {
    respBean.setMsg("账户被锁定,请联系管理员!");
} else if (e instanceof CredentialsExpiredException) {
    respBean.setMsg("密码过期,请联系管理员!");
} else if (e instanceof AccountExpiredException) {
    respBean.setMsg("账户过期,请联系管理员!");
} else if (e instanceof DisabledException) {
    respBean.setMsg("账户被禁用,请联系管理员!");
} else if (e instanceof BadCredentialsException) {
    respBean.setMsg("用户名或者密码输入错误,请重新输入!");
}
out.write(new ObjectMapper().writeValueAsString(respBean));
out.flush();
out.close();

这里有一个需要注意的点。当用户登录时,用户名或者密码输入错误,我们一般只给一个模糊的提示,即用户名或者密码输入错误,请重新输入,而不会给一个明确的诸如“用户名输入错误”或“密码输入错误”这样精确的提示,这会给系统带来风险。

3. 未认证处理方案

那未认证又怎么办呢?系统默认的行为是直接重定向到登录页面。

但是在前后端分离中,这个逻辑明显是有问题的,如果用户没有登录就访问一个需要认证后才能访问的页面,这个时候,我们不应该让用户重定向到登录页面,而是给用户一个尚未登录的提示,前端收到提示之后,再自行决定页面跳转。

具体配置如下:

 .exceptionHandling().authenticationEntryPoint(new AuthenticationEntryPoint() {
            @Override
            public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                 AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
                PrintWriter out = httpServletResponse.getWriter();
                out.write(new ObjectMapper().writeValueAsString("尚未登录,请先登录"));
                out.flush();
                out.close();
            }
        });

在 Spring Security 的配置中加上自定义的 AuthenticationEntryPoint 处理方法,该方法中直接返回相应的 JSON 提示即可。这样,如果用户再去直接访问一个需要认证之后才可以访问的请求,就不会发生重定向操作了,服务端会直接给浏览器一个 JSON 提示,浏览器收到 JSON 之后,该干嘛干嘛。

运行结果:

from03

4. 注销登录

注销登录之后,系统自动跳转到登录页面,这也是不合适的,如果是前后端分离项目,注销登录成功后返回 JSON 即可,配置如下:

                .logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest,
                                                HttpServletResponse httpServletResponse,
                                                Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write(new ObjectMapper().writeValueAsString("注销成功"));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()

这样,注销成功之后,前端收到的也是 JSON 了:

from04

菜鸟小杰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Boot结合Security+JWT 简单实现前后分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前根据状态码进行重新登录;案例中的用户名称: jake_j...
基于springBoot+springSecurity+jwt实现前后分离用户权限认证
12-09
主要基于前后分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
五分钟带你玩转SpringSecurity(十)全网最佳方案,解决无跳转地址报错问题
小鲍侃java
01-30 829
前文说当http://192.168.19.206:6001/authentication/loginPage路径登录后没有成功后的转跳地址 所以会报错 以下代码可以解决 解决方案 在登录成功后 前文我们配置CustomAuthenticationSuccessHandler 返回json 这个类调用了onAuthenticationSuccess 那就重写onAuthenticationSuccess方法 @Component("customAuthenticationSuccessHandle.
SpringBoot-06-Security(前后分离)
m0_74353020的博客
06-03 1582
当然我们每次都会先走一下我们的自己定义的过滤器,我们当时写的是如果都身份令牌没有问题,并且能在redis中查询到,就存放到Security上下文当中,但是我们只是存放了用户名密码,并没有存放身份,这里我们存放一下我们的身份信息//我们的token是存放在请求头中的if(!StringUtils.hasText(token)){//请求头没有就放行return;//解析tokentry{throw new RuntimeException("token非法");//从redis中获取。
Spring Security前后分离实现
qq_42682745的博客
04-02 490
自定义UsernamePasswordAuthenticationFilter package com.monkeylessey.xp; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.http.MediaType; import org.springframework.security.authentication.AuthenticationServiceException; import o
Spring Security 前后分离
Markix的博客
11-14 3278
前后分离指的就是前后分离部署,前 调用后API,后 返回 JSON格式数据,页面是由前渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
SpringSecurity实现前后分离登录授权详解
qq_43649937的博客
06-14 4682
SpringSecurity java Springboot
SpringSecurity实现前后分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
Springboot + Spring Security 实现前后分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
SpringSecurity前后分离登录认证
风间琉璃の博客
06-06 5268
SpringBoot使用的是2.7.0版本 依赖: 创建一个: 访问测试:可以看到可以访问成功 重启项目之后发现接口无法再次进行访问,取而代之的是Security登录页。 此时的默认用户名是,密码会在控制台输出。核心过滤器: 1.2案例认证流程: 登录流程: 校验过程: 引入redis:如果认证之后害需要通过JWT中的对数据库进行查询,消耗太大,可以存储入到redis中。 实体类: 引入数据库相关依赖: 配置mapper 添加注解扫描 构建登录接口:实现中的类,自己实现登录逻辑 封装登
SpringSecurity前后分离自定义登录处理
z318913的博客
07-12 3587
SpringSecurity分离自定义登录处理
SpringSecurity前后分离表单登录实现
relosy的博客
10-06 850
前后分离下的表单登录 环境搭建 1. 创建User类 package com.sy.security.domain.pojo; import lombok.AllArgsConstructor; import lombok.Data; import lombok.NoArgsConstructor; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.use
SpringBoot_SpringSecurity:前后分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
springbootspringsecurity前后分离(一个小demo)
08-21
总的来说,这个小demo展示了如何在Spring Boot和Spring Security的环境中实现前后分离的安全控制,其中后负责验证用户身份和授权,前则根据后的反馈来决定用户界面的行为。这样的设计模式在现代Web开发中...
SpringCloud之使用 Nacos 实现高效购物车商品信息处理
Takumilove的博客
07-24 1183
通过上述步骤,我们成功实现了一个高效的购物车商品信息处理流程。使用 Nacos 来进行服务发现,并结合手写的负载均衡策略,确保了服务调用的高可用性和稳定性。这样不仅提升了系统的性能,还能给用户带来更好的购物体验。
SpringBoot添加密码安全配置以及Jwt配置
最新发布
qq_64468032的博客
07-25 890
然后修改之前的SecurityConfig配置类,里面的configure方法里面的.antMatchers里面追加的url是不需要验证就能进行使用的请求,比如登录注册等url请求的放开,需要的话可以一直追加。如果数据库中的密码没有加密,可以通过测试类将密码进行加密,然后用加密之后的字符串与数据库中的数据进行替换即可。通过以下操作可以直接从token中获取用户的信息,然后通过用户的信息进行验证并返回用户需要的信息。在没有配置的情况下,默认用户名为 user ,密码在控制台中查找(如下)。
Java面试八股之Spring容器的启动流程
u012151345的博客
07-23 1069
在整个过程中,Spring遵循了IoC(控制反转)和DI(依赖注入)原则,确保Bean的创建、配置、组装和管理都在容器的统一控制之下,实现了松耦合和可扩展的软件架构。创建BeanDefinition:解析配置信息的过程中,Spring会为每个Bean生成对应的BeanDefinition对象,它包含了Bean的类型、构造方法参数、属性值、初始化方法、依赖关系、作用域、生命周期回调方法等所有相关信息。Spring容器的启动流程涉及一系列有序的操作,以确保容器正确初始化并准备好管理应用程序中的Bean。
Spring Security6 实现前后分离登录
07-15
实现登录功能,可以通过配置Spring Security的相关组件来实现。 首先,需要配置一个UserDetailsService来获取用户信息,可以从数据库或其他数据源中获取。然后,需要配置一个PasswordEncoder来对用户密码进行加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值