springboot+springSecurity+thymleaf 实现页面登录拦截案例

最新推荐文章于 2024-03-19 14:13:44 发布
最新推荐文章于 2024-03-19 14:13:44 发布
阅读量811 收藏 1
点赞数
分类专栏: springboot 文章标签: java spring mybatis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17236715/article/details/107031298
版权

项目地址https://github.com/luozijing/springboot-/tree/dev

目录

项目地址https://github.com/luozijing/springboot-/tree/dev

登录页面

springSecurity执行原理

部分源码

springSecurity配置

验证成功处理器

用户账号权限验证类

thymleaf+bootstrap模板

登录页面

 

登录成功,角色为role1,可以设计不同的角色,能够显示不同的角色信息。

springSecurity执行原理

security流程主要由过滤器链组成,其中比较要的过滤器由AbstractAuthenticationProcessingFilter ,它的作用是帮助我们验证用户权限和密码的正确。

 

验证流程

https://blog.csdn.net/weixin_34161064/article/details/93164080

在这里插入图片描述

UsernamePasswordAuthenticationFilter是其的子类,用户验证流程如下所示。

在这里插入图片描述

 

进入 ProviderManager 类后会调用 authenticate(Authentication authentication) 方法,它通过 AuthenticationProvider 实现类获取用户的登录的方式,然后会有一个 while 迭代器模式的循环遍历,检查它是否支持这种登录方式,具体的登录方式有表单登录,qq登录,微信登录等。如果最终都不支持会抛出相应的异常信息,如果支持则会进入AuthenticationProvider 接口的抽象实现类 AbstractUserDetailsAuthenticationProvider 中。

进入 AbstractUserDetailsAuthenticationProvider 类后会调用 authenticate(Authentication authentication) 方法对用户的身份进行校验,首先是判断用户是否为空,这个 user 是 UserDetail 的对象,如果为空,表示还没有认证,就需要调用 retrieveUser 方法去获取用户的信息,这个方法是抽象类 AbstractUserDetailsAuthenticationProvider 的扩展类DaoAuthenticationProvider 的一个方法。

在该扩展类的 retrieveUser 方法中调用 UserDetailsService 这个接口的实现类的 loadUserByUsername 方法去获取用户信息,而这里我自己编写了实现类 UserDetailsServiceImpl 类,在这个实现类中,我们可以编写自己的逻辑,从数据库中获取用户密码等权限信息返回。

本地 UserDetailService 实现类 UserDetailsServiceImpl(我们经常需要用到的实现类)

此时 authorities 不再为空了。

在 UsernamePasswordAuthenticationToken 的父类中,它会检查用的权限,如果有一个为 null,表示权限没有相应的权限,抛出异常。

然后在 createSuccessAuthentication 方法返回后回到 ProvioderManager 的 authenticate 方法中返回 result,最后回到UsernamePasswordAuthenticationFilter 的刚开始进入的 attemptAuthentication 方法中返回。

attemptAuthentication() 方法中的返回,返回到哪?

再回到第一张图,UsernamePasswordAuthenticationFilter 父类 doFilter() 方法,返回值就是 authResult,如果过程中发现存在异常则执行 unsuccessfulAuthentication.onAuthenticationFailure() 方法,如果认证成功则执行 successfulAuthentication.onAuthenticationSuccess() 方法,再结合上边提到的自定义 成功/失败处理类。

 

 

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware {
    protected ApplicationEventPublisher eventPublisher;
    protected AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();
    private AuthenticationManager authenticationManager;
    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
    private RememberMeServices rememberMeServices = new NullRememberMeServices();
    private RequestMatcher requiresAuthenticationRequestMatcher;
    private boolean continueChainBeforeSuccessfulAuthentication = false;
    private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy();
    private boolean allowSessionCreation = true;
    private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
    private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler();

    protected AbstractAuthenticationProcessingFilter(String defaultFilterProcessesUrl) {
        this.setFilterProcessesUrl(defaultFilterProcessesUrl);
    }

    protected AbstractAuthenticationProcessingFilter(RequestMatcher requiresAuthenticationRequestMatcher) {
        Assert.notNull(requiresAuthenticationRequestMatcher, "requiresAuthenticationRequestMatcher cannot be null");
        this.requiresAuthenticationRequestMatcher = requiresAuthenticationRequestMatcher;
    }

    public void afterPropertiesSet() {
        Assert.notNull(this.authenticationManager, "authenticationManager must be specified");
    }

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (!this.requiresAuthentication(request, response)) {
            chain.doFilter(request, response); //不需要用户验证的话执行下一个过滤链
        } else {
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Request is to process authentication");
            }
            Authentication authResult;
            try {
                authResult = this.attemptAuthentication(request, response); //验证用户
                if (authResult == null) {
                    return;
                }

                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch (InternalAuthenticationServiceException var8) {
            
            	//如果抛出这两个异常,则表明登陆失败。进入这个方法 unsuccessfulAuthentication()
            
                this.logger.error("An internal error occurred while trying to authenticate the user.", var8);
                this.unsuccessfulAuthentication(request, response, var8);
                return;
            } catch (AuthenticationException var9) {
                this.unsuccessfulAuthentication(request, response, var9); //出现错误的话执行错误处理
                return;
            }

            if (this.continueChainBeforeSuccessfulAuthentication) {
                chain.doFilter(request, response);
            }
			//登陆成功之后,调用此方法 successfulAuthentication()
            this.successfulAuthentication(request, response, chain, authResult); 
        }
    }

}

认证之后的成功(失败)处理 来到最开始的AbstractAuthenticationProcessingFilter的doFilter中
如果期间没发成异常,则认证成功,调用successfulAuthentication()方法,进而调用SuccessHandler.onAuthenticationSuccess()方法。

具体源码可以流程可以参考这个

springSecurity配置

package com.students.springbootstu.security.config;

import com.students.springbootstu.configuration.SwaggerConfig;
import com.students.springbootstu.security.handler.MyAuthenctiationFailureHandler;
import com.students.springbootstu.security.handler.MyAuthenticationSuccessHandler;
import com.students.springbootstu.security.handler.MyLoginUrlAuthenticationEntryPoint;
import com.students.springbootstu.security.handler.MyLogoutSuccessHandler;
import com.students.springbootstu.security.service.MyUserDetailService;
import org.apache.commons.lang3.ArrayUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * web相关安全配置
     */

    @Autowired
    //配置属性类
    private SecurityProperties securityProperties;

    @Autowired
    //用户账号权限验证类
    private MyUserDetailService myUserDetailService;

    @Autowired
    //注销成功处理器
    private MyLogoutSuccessHandler myLogoutSuccessHandler;

    @Autowired
    //成功验证处理器
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Value("${swagger.enable}")
    private boolean swaggerEnable;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        //loginPage("/testlogin") 相当于一个普通请求。这里则需要发送到登陆页面
        //loginProcessingUrl("/login") 登陆页面表单提交的action.必须为post请求
        //defaultSuccessUrl("/index") 登陆成功后,发送这个请求
       http
               .authorizeRequests()
               //设置匿名访问的url
               .antMatchers(securityProperties.getAnonymous()).permitAll()
               //所有请求都要验证
               .anyRequest().authenticated()
               .and()
               .formLogin()
               //自定义登录页
               .loginPage(securityProperties.getLoginPage())
               .successHandler(myAuthenticationSuccessHandler)
               //用户验证失败处理
               .failureHandler(new MyAuthenctiationFailureHandler(securityProperties.getLoginPage()))
               //自定义登录请求 登录页面表单提交的action.必须为post请求
               .loginProcessingUrl(securityProperties.getLoginProcessingUrl())
               .permitAll()
               .and()
               .logout()
               .logoutSuccessHandler(myLogoutSuccessHandler)
               .permitAll()
               .and()
               .exceptionHandling()
               //自定义认证失败处理器
               .authenticationEntryPoint(new MyLoginUrlAuthenticationEntryPoint(securityProperties.getLoginPage()));



    }

    @Override
    public void configure(WebSecurity web) throws Exception{
        String[] ignoringArray = securityProperties.getIgnoringArray();
        if(swaggerEnable && !StringUtils.isBlank(SwaggerConfig.ACCESS_PREFIX)){
            ignoringArray = ArrayUtils.addAll(ignoringArray,SwaggerConfig.ACCESS_PREFIX.split(","));
        }
        web.ignoring().antMatchers(ignoringArray);
    }

    /**
     * 声明密码加密方式
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth.userDetailsService(myUserDetailService).passwordEncoder(passwordEncoder());
                // 配置密码加密方式,也可以不指定,默认就是BCryptPasswordEncoder
    }

}

验证成功处理器

https://www.cnblogs.com/deviltofree/p/10044046.html(登录失败异常处理)

package com.students.springbootstu.security.handler;

import com.students.springbootstu.common.ResponseResult;
import com.students.springbootstu.util.RequestUtil;
import com.students.springbootstu.util.ResponseUtil;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    /**
     * 登录成功处理器
     */
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws ServletException, IOException {
        // 判断是否是ajax请求,因为ajax请求不能跳转页面,所以要单独判断
        if (RequestUtil.isAjaxRequest(request)) {
            ResponseUtil.printJson(response,  ResponseResult.success());
        } else {
            response.sendRedirect("/");
        }
    }
}

用户账号权限验证类
 

package com.students.springbootstu.security.service;

import com.students.springbootstu.entity.TbStudent;
import com.students.springbootstu.entity.TbStupwd;
import com.students.springbootstu.service.TbStudentService;
import com.students.springbootstu.service.TbStupwdService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Service
public class MyUserDetailService implements UserDetailsService {

    @Resource
    private TbStupwdService tbStupwdService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //username要对应html里面的表单提交name
        TbStupwd user = tbStupwdService.queryByStuAccount(username);

        if(user == null){
            throw new UsernameNotFoundException("userName not found");
        }
        //创建一个集合来放置权限
        Collection<GrantedAuthority> authorities = getAuthorities(user);
        //实例化一个userDetails对象
        UserDetails userDetails = new User(username, user.getStupwd(), true,true,true,true, authorities);

        return userDetails;
    }

    private Collection<GrantedAuthority> getAuthorities(TbStupwd user){
        List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>();
        //注意:这里每个权限前面都要加ROLE_。否在最后验证不会通过
        authList.add(new SimpleGrantedAuthority("ROLE_"+user.getRole()));
        return authList;
    }

}

thymleaf+bootstrap模板

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>login</title>
    <meta content="text/html;charset=UTF-8"/>
    <link th:href="@{bootstrap/css/bootstrap.css}" rel="stylesheet" >
    <link th:href="@{css/login.css}" rel="stylesheet">
    <script th:src="@{scripts/jQuery3.15min.js}" type="text/javascript"></script>
    <!-- 加载 Bootstrap 的所有 JavaScript 插件。你也可以根据需要只加载单个插件。 -->
    <script  th:src="@{bootstrap/js/bootstrap.js}" type="text/javascript"></script>
</head>
<body>
<!--nav-->
<div th:replace="common::topbar"></div>
<!-- body -->
<div class="container">
    <div class="text-center">
        <form class="form-signin" th:action="@{/login}" method="post">
            <img class="mb-4"  alt="" width="72" height="72"  th:src="@{images/bootstrap-solid.svg}">
            <h1 class="h3 mb-3 font-weight-normal">Please sign in</h1>
            <label for="username" class="sr-only" >Email address</label>
            <input  id="username" class="form-control" name="username" placeholder="account" required autofocus>
            <label for="password" class="sr-only">Password</label>
            <input type="password" id="password" class="form-control" placeholder="Password" name="password" required>
            <div class="checkbox mb-3">
                <label>
                    <input type="checkbox" value="remember-me"> Remember me
                </label>
            </div>
            <button class="btn btn-lg btn-primary btn-block" type="submit" >Sign in</button>
            <p class="mt-5 mb-3 text-muted">&copy; 2017-2020</p>
        </form>
    </div>

</div>
<!--footer-->
<div th:replace="common::bottombar"></div>


</body>
</html>

其他配置(session)

https://www.jianshu.com/p/caa1d35d3524

 

Briant996
关注
专栏目录
权限管理SpringBoot+SpringSecurity系列文章 - 导读
悟纤学院
03-02 2万+
课程介绍 Spring Security是一个基于Spring的安全框架,提供了一套Web应用安全性的完整解决方案。一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。 用户认证一般要求用户提供用户名和密码,系统通...
SpringBoot+vue全栈开发实战笔记太香了
ZzzzjQqqq的博客
05-31 2036
Spring 作为一个轻量级的容器,在JavaEE开发中得到了广泛的应用,但是Spring 的配置繁琐臃肿,在和各种第三方框架进行整合时代码量都非常大,并且整合的代码大多是重复的,为了使开发者能够快速上手Spring,利用Spring框架快速搭建JavaEE项目,Spring Boot应运而生。 Spring Boot 中对一些常用的第三方库提供了默认的自动化配置方案,使得开发者只需要很少的Spring 配置就能运行一个完整的Java EE应用。Spring Boot项目可以采用传统的方案打成war包,然
springsecurity+springspoot登录验证拦截
08-30
springsecurity+springspoot登录验证拦截,安全登录验证,按照角色控制访问模块
Spring Security4.1.3实现拦截登录后向登录页面跳转方式(redirect或forward)返回被拦截界面
热门推荐
honghailiang的专栏
09-27 4万+
一、看下内部原理 简化后的认证过程分为7步: 用户访问网站,打开了一个链接(origin url)。 请求发送给服务器,服务器判断用户请求了受保护的资源。 由于用户没有登录,服务器重定向到登录页面 填写表单,点击登录 浏览器将用户名密码以表单形式发送给服务器 服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步) 服务器对用户拥有的
shiro+vue实现登录_SpringBoot+shiro+mybatis实现权限登录
weixin_39591455的博客
11-23 546
SpringBoot+shiro+mybatis+Thymeleaf实现权限登录系统记录一下,学习shiro的一个小Demo:1.首先是底层数据库:-- ------------------------------ Table structure for role-- ----------------------------CREATE TABLE `role` ( `id` int(11) ...
SpringSecurity实现拦截登录页面
怪只怪满眼尽是人间烟火
07-08 6711
首先引入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> ...
springsecurity登录实现拦截
weixin_42053164的博客
07-14 1236
好久没复习springsecurity了,想要回忆它是如何拦截“注册”和“登录”功能的,我一开始能想到:注册页面的获取和注册不会拦截;访问需要权限的功能会被拦截,并且返回登录界面,然后用户进行登录操作。那么这时的认证url是否会被拦截呢?如果被拦截,需要已登录,那么就陷入了死循环了!显然不会被拦截,那么系统就要专门实现一个认证功能,然后把用户对象放入session中。我大致就能想到这一步了。 后来看了教程代码,发现它专门有个登录标签!看来认证功能也要拦截,不过不是返回登录界面,而是需要实现自定义的用户认证
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
Springboot+SpringSecurity案例
wu_amber的博客
12-23 6058
Spring Security 简介  Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否...
基于Springboot+Vue就业信息管理系统的设计与实现源码案例设计.zip
最新发布
04-21
Springboot结合Spring Security或OAuth2,可以实现用户登录验证、角色权限分配等功能。前端Vue可以通过Axios等库来处理请求的拦截实现权限检查。 六、页面布局与交互设计 Vue提供了Vuex状态管理库,用于管理全局...
屏蔽spring security的默认登录
IHai技术之家
03-26 7889
标题 大家在使用spring security时会默认带入一个登录页,而这个登录页大家往往都是不想要的,今天通过调试代码跟踪了对内部DefaultLoginPageConfigurer的各种配置后发现,不好使!!! 开始的时候用了url覆盖的方式,即添加一个匹配/login的controller,但是采用这种方式会造成正常的登录请求无法访问。 @Controller public class LoginPage { @GetMapping("/login") public void.
Spring Boot 添加 Security 起步依赖,使用 thymeleaf 模板提交表单被拦截问题
Daz_M的博客
06-24 689
问题: 最近在学习 Spring Boot,实战的时候遇到了问题,就是添加了 spring-boot-starter-security 依赖后,使用 thymeleaf 提交表单后报 403 错误。 原因是: 添加上述依赖后,默认开启了防止跨域攻击的功能,任何 POST 提交到后台的表单都要验证是否带有 _csrf 参数,一旦传来的 _csrf 参数不正确,...
Spring实战】13 Security+Thymeleaf自定义登录页面
好久不见的流星
12-31 1614
Spring Security 是一个强大的身份验证和访问控制框架,而 Thymeleaf 是一个用于构建动态 Web 页面的强大模板引擎。结合它们,你可以轻松地创建一个具有自定义登录页面的安全Web应用程序。本文通过使用 Thymeleaf 自定义了一个 Spring Security登录画面,并且设定了一个登录成功的默认请求。这里只是一个简单的例子,在实际开发中还是需要根据具体需求来设定,都是大同小异,根据需求自由发挥即可。
thymeleaf访问springboot静态资源被dispatcherservlet拦截
qq_43478625的博客
11-09 516
thymeleaf访问springboot静态资源被dispatcherservlet拦截解决方案 解决方案 @Configuration @EnableWebMvc public class WebConfig implements WebMvcConfigurer { /** * 解决resources下面静态资源无法访问 * @param registry */ @Override public void addResourceHandlers(
springsecurity关闭默认登录页面
w11117的博客
03-19 1006
【代码】springsecurity关闭默认登录页面
SpringSecurity去掉登录
weixin_44569326的博客
05-22 1985
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 正常配置其他安全相关的内容 // 将登录框关闭 http.formLogin().disable(); } } ...
SpringSecurity学习笔记(三)自定义资源拦截规则以及登录界面跳转
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-03 1715
公共资源:可以随意访问认证访问:只有登录了之后的用户才能访问。授权访问:登录的用户必须具有响应的权限才能够访问。我们想要自定义认证逻辑,就需要创建一些原来不存在的bean,这个时候就可以使注解发现创建默认的实现类失效。测试环境搭建return "just a test,这个是公共资源!";return "访问受限资源!";}下面我们重写一个配置类去替换内部默认的配置类。
springboot系列学习(二十七):spring Security框架整合thymeleaf,记住我功能,自定义登录页面功能,小白必看(四)
一天不写代码难受的博客
10-09 738
spring Security框架整合thymeleaf了,现在要实现记住我功能。 记住我功能 这个要在配置里面进行配置记住我的功能 现在的情况,我们只要登录之后,关闭浏览器,再登录,就会让我们重新登录,但是很多网站的情况,就是有一个记住密码的功能,这个该如何实现呢?很简单 在授权的方法里面写这个 重新启动项目,进入登录页面,多了一个记住我的按钮 我们再次启动项目测试一下,发现登录页多了一个记住我功能,我们登录之后关闭 浏览器,然后重新打开浏览器访问,发现用户依旧存在! 思考:如何实现的呢?其实非常简
SpringBoot实现登录拦截器超详细(springboot拦截器excludePathPatterns方法不生效的坑)
Qgchun.
02-15 9080
SpringBoot实现登录拦截springboot拦截器excludePathPatterns方法不生效的坑与解决方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值