SpringBoot 2整合SpringSecurity权限管理(七)实现基于Ajax的访问

最新推荐文章于 2023-02-11 13:09:17 发布
最新推荐文章于 2023-02-11 13:09:17 发布
阅读量602 收藏 2
点赞数
文章标签: java ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26030541/article/details/105014136
版权
前言

前面所做的SpringSecurity登录处理都是基于页面的,现在流行前后端分离开发,没有使用表单,数据交互都是使用JSON,下面来看看怎么处理Ajax请求,移动端的请求验证也适用。

一、修改原login页面的form表单

这是原来的:

<form th:action="@{/login}" method="post">
    <div><label> User Name : <input type="text" name="username"/> </label></div>
    <div><label> Password: <input type="password" name="password"/> </label></div>
    <div><label> code: <input type="text" name="captcha"/> </label>
        <img src="/getCode" id="code" alt="验证码" onclick="refresh(this)"/>
    </div>
      <label> <input type="hidden" name="uuid" id="uuid"/> </label>
    <div><input type="submit" value="Sign In"/></div>
</form>

我们要修改成这样:

<form >
    <div><label> User Name : <input type="text" name="username"/> </label></div>
    <div><label> Password: <input type="password" name="password"/> </label></div>
    <div><label> code: <input type="text" name="captcha"/> </label> 
        <img src="/getCode" id="code" alt="验证码" onclick="refresh(this)"/>
    </div>
    <label> <input type="hidden" name="uuid" id="uuid"/> </label>
    <div><a  href="javascript:login();" >登录</a></div>
</form>

// js

    let login=()=>{
        let username = $("input[name = 'username']");
        let password = $("input[name = 'password']");
        let captcha = $("input[name = 'captcha']");
        let uuid = $("input[name = 'uuid']");
        $.ajax({
            type : "POST",
            url : "/login",
            data : {
                "username" : username.val(),
                "password" : password.val(),
                "captcha" : captcha.val(),
                "uuid" : uuid.val()
            },

            success : function(data) {
                console.log(data);
                if (data.code === 1) {
                    //登录成功
                    window.location.href = "/";
                } else {
                    alert("登录失败");
                }
            },
            error : function(data) {
                alert("错误的用户或密码");
            },
            beforeSend : function() {
                if (username.val() === "") {
                    alert("请输入用户名!");
                    username.focus();
                    return false;
                }
                if (password.val() === "") {
                    alert("请输入密码!");
                    password.focus();
                    return false;
                }
            }
        });
    };

二、在controller中新增login方法,用来代替spring security的登录界面

/**
 * 这个接口用来代替spring security的登录界面
 *
 * @Author zhangchao
 @Date 2020/3/21 02:44
     * @param
     * @retrun java.lang.Object
     **/
@GetMapping("/login_page")
public Object loginpage(){
  return new ResponseMessage(false,"0","还未登录,请登录!",null);
}

三、在Spring Security配置类SecurityConfig中加入login_page

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests() //需要授权的请求
                .antMatchers("/login","/login_page","/home","/getCode").permitAll() //过滤不需要认证的路径
                .antMatchers("/auth/**").permitAll() //过滤不需要认证的路径
                .anyRequest().authenticated() //对任何一个请求,都需要认证
                .and() //完成上一个配置,进行下一步配置
                //.httpBasic();
                .formLogin() //配置表单登录
                .loginPage("/login_page") //设置登录页面
                .loginProcessingUrl("/login")
                .successHandler(successHandler)  /* 设置成功处理器 */
                .failureHandler(failureHandler)  /* 设置失败处理器*/
                .and()
                .logout() //登出
                .logoutSuccessUrl("/home"); //设置退出页面
        // 添加验证码过滤器
        http.addFilterBefore(verifyCodeFilter, UsernamePasswordAuthenticationFilter.class);
        // 禁用CSRF防护
        http.csrf().disable();
        http.addFilterBefore(jwtAuthorizationTokenFilter,UsernamePasswordAuthenticationFilter.class);
    }

另外还要修改登录成功处理器LoginSuccessHandler:

 /**
 * @author ZHANGCHAO
 * @date 2020/3/13 9:35
 * @since 1.0.0
 */
@Slf4j
@Component
public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    private static final ObjectMapper mapper = new ObjectMapper();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
        log.info("登录成功!");
        /* 默认:会帮我们跳转到上一次请求的页面上 */
        //super.onAuthenticationSuccess(request, response, authentication);

        //生成token
        String token = jwtTokenUtil.makeToken((UserDetails) authentication.getPrincipal());

        log.info("用户 [{}] 登录成功!",authentication.getName());
        response.setStatus(HttpServletResponse.SC_OK);
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        PrintWriter writer = response.getWriter();
//        writer.write("{\"status\":\"ok\",\"msg\":\"登录成功\",\"token\":\""+token+"\"}");
        writer.write(mapper.writeValueAsString(new ResponseMessage(true, "1", "操作成功!",token)));
        writer.flush();
        writer.close();
    }
}

由于配置的loginPage("/login_page")跳转的页面是json数据,不是一个页面,所以我们需要自定义一个AuthenticationEntryPoint,

四、自定义认证入口点类UnauthorizedEntryPoint,继承AuthenticationEntryPoint

/**
 * @program sweet-dream
 * @description:
 * @author: zhangchao
 * @date: 2020/03/21 03:03
 * @since: 1.0.0
 */
@Component
public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        if (isAjaxRequest(request)){
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED,e.getMessage());
        } else {
            response.sendRedirect("/login");
        }
    }

    private boolean isAjaxRequest(HttpServletRequest request){
        return request.getHeader("X-Requested-With") != null && request.getHeader("X-Requested-With").equals("XMLHttpRequest");
    }
}

AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常!配置该类能够对匿名用户进行拦截并返回对应数据。当用户访问被保护资源的时候,在过滤器中被发现是匿名用户则会由这个类进行处理。

AuthenticationEntryPoint简介

AuthenticationEntryPointSpring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。
它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。

该接口只定义了一个方法 :

void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException;

这里参数request是遇到了认证异常authException用户请求,response是将要返回给客户的相应,方法commence实现,也就是相应的认证方案逻辑会修改response并返回给用户引导用户进入认证流程。

参考:AuthenticationEntryPoint导致登录页面异常

五、配置CRSF防护

  1. 在SpringSecurity配置类SecurityConfig中去掉禁止CRSF防护的代码,注入UnauthorizedEntryPoint

     // 禁用CSRF防护
//  http.csrf().disable(); /* 关闭csrf,否则会拦截ajax请求 */
    http.exceptionHandling().authenticationEntryPoint(unauthorizedEntryPoint); /* 用来解决匿名用户访问无权限资源时的异常 */

  2. 在登录页面login.html中开启CRSF防护,crsf开启,会拦截ajax请求所以需要在请求中加入crsf参数

    head里加:

    <head>
     <meta name="_csrf" th:content="${_csrf.token}"/>
   <meta name="_csrf_header"  th:content="${_csrf.parameterName}"/>
    <title>Spring Security Example </title>
    <script src="https://cdn.staticfile.org/jquery/3.3.1/jquery.min.js"></script>
</head>

    js里加:

    $.ajax({
  type : "POST",
  url : "/login",
  data : {
    "username" : username.val(),
    "password" : password.val(),
    "captcha" : captcha.val(),
    "uuid" : uuid.val(),
    [[${_csrf.parameterName}]]: [[${_csrf.token}]]
},

六、启动项目测试

image-20200321175203547

登录成功!

以上

码上艺术家
关注
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5539
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
Springboot+SpringSecurity提供ajax访问的跨域资源服务
mdahly的博客
04-07 1392
Springboot+SpringSecurity提供ajax访问的跨域资源服务 1.为何要提供跨域资源服务 最近在写的一个项目后端使用了springbootspringsecurity,前端使用Vue和axios(发送ajax)。为了实现前后端分离,后端要开启CORS(跨站资源共享),保证后端能对不同站点下的前端提供服务。 由于浏览器的同源策略,跨域请求一般会被拒绝,导致ajax无法访问到后...
Spring Security中使用AJAX向后台传送数据
bnrmaster的博客
10-26 7435
Spring Security中使用AJAX向后台传送数据 AJAX 跨域 org.springframework.security.web.csrf.CsrfFilter - Invalid CSRF token found for
Spring Boot+Spring Security+Ajax 实现自定义登录
Coder_py的博客
02-16 2678
Spring Boot+Spring Security+Ajax 实现自定义登录 自定义的用户需要实现UserDetails接口,Security这个框架不关心你的应用时怎么存储用户和权限信息的。只要取出来的时候把它包装成一个UserDetails对象就OK。: User.class: package com.example.demo.model; import lombok.AllArgs...
SpringBoot+SpringSecurity处理Ajax登录请求
wuxiaopengnihao1的博客
08-15 437
后面的passwordEncoder是可选项,可写可不写,因为我是将用户的明文密码生成了MD5消息摘要后存入数据库的,因此在登录时也需要对明文密码进行处理,所以就加上了passwordEncoder,加上passwordEncoder后,直接new一个PasswordEncoder匿名内部类即可,这里有两个方法要实现,看名字就知道方法的含义,第一个方法encode显然是对明文进行加密,这里我使用了MD5消息摘要,具体的实现方法是由commons-codec依赖提供的;...
springboot2.X整合spring security5实现jquery的ajax方式登录
qq_34309663的博客
03-13 787
首先,需要读者已经基本了解springboot2和spring security5的基本知识,现在开始上代码 我的项目的目录结构如下所示: 现在是登录页面login_page.html的代码 <!DOCTYPE html> <html lang="zh-CN" xmlns:th="http://www.thymeleaf.org"> <head> ...
springboot2.x+springsecurity使用ajax实现异步登录
秋楓的博客
12-03 1808
前言 前面介绍了springboot整合shiro的基本实现案例,这段时间有空又去研究了一下springsecurity,毕竟他是spring全家桶中的一员,我们用springboot开发项目自然springsecurity能够提供更好地集成。 环境搭建 1.新建springboot项目,maven导入springsecurity的包 <dependency> <group...
Springboot项目整合springsecurity框架实现自定义登录认证
qq_41522183的博客
02-23 1914
目录Springsecurity框架整合实现自定义登录认证1.导入依赖:2.进行自定义登录配置3.进行UserDetailsService接口实现类的实现4.自定义认证核心代码类LoginValidateAuthenticationProvider5.认证成功处理器LoginSuccessHandler6.认证失败处理器LoginFailureHandler7.登录界面login.html8.各个路由请求路径9.springsecurity核心配置10.小结 Springsecurity框架整合实现自定义登
SpringBoot整合SpringSecurity(五)权限控制
fulinlin的博客
07-02 8214
Spring Security具有强大的权限验证。 权限有些人认为是页面的隐藏,其实不然。权限可以理解为是否可以访问资源,页面隐藏什么的是客户友好度的事情,所以对于web而言,系统的安全不安全,最终取决于对url的控制。 本文章代码可以参考 https://gitee.com/Maoxs/security-test中的 security-permission 准备 页面 首先呢是登陆 <...
大学生竞赛管理系统SpringBoot+SpringSecurity+Jwt+Vue.js
最新发布
10-23
《构建大学生竞赛管理系统:SpringBootSpringSecurityJwt与Vue.js的深度整合》 在现代信息化社会,教育领域的管理效率愈发重要,特别是针对大学生竞赛的管理。为了提高工作效率,一个高效且安全的管理系统至关...
spring security session ajax,spring-boot整合spring-security实现简单登录(ajax登录实现)
weixin_30199703的博客
08-05 298
spring-boot整合spring-security实现简单登录(ajax登录实现)发布时间:2018-10-24 09:46,浏览次数:1399, 标签:springbootsecurityajax个人技术网站 欢迎关注平常再做一些项目时,有些项目并不需要复杂的登录权限验证只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring...
spring boot ajax登录,SpringBoot+SpringSecurity处理Ajax登录请求
weixin_33316599的博客
08-06 355
最近在项目中遇到了这样一个问题:前后端分离,前端用Vue来做,所有的数据请求都使用vue-resource,没有使用表单,因此数据交互都是使用JSON,后台使用Spring Boot,权限验证使用了Spring Security,因为之前用Spring Security都是处理页面的,这次单纯处理Ajax请求,因此记录下遇到的一些问题。这里的解决方案不仅适用于Ajax请求,也可以解决移动端请求验证...
仅需四步,整合SpringSecurity+JWT实现登录认证
weixin_45386898的博客
09-09 449
目录整合步骤实现原理目录结构做了哪些变化 整合步骤 第一步,给需要登录认证的模块添加mall-security 依赖: <dependency> <groupId>com.macro.mall</groupId> <artifactId>mall-security</artifactId> </dependency> 第二步,添加MallSecurityConfig配置类,继承mall-security中的Sec
理解Spring Web Security实现Ajax登录
wudengyu的博客
10-05 876
前面写了一篇《网页登录以及单点登录的一些概念》,提到了token和登录用户的相关信息,说token是保存在cookies里,而登录用户的信息是保存在Session里,应该说,如果登录、身份验证、权限验证等这些功能都自己实现的话,大多数人都是这么存放的,原因应该是Servlet提供的接口也就是这些。在说Spring Web Security之前,先看看假如按前面那种思路,继续把登录、身份验证等功能继
前后端分离Ajax请求 SpringSecurity权限无法验证
图图是只猫
03-28 1890
Security在一切都配置好的情况下!通过浏览器访问没测试都没有什么问题!而一旦到前后端完全分离的项目中无论怎么访问都会跳到需要身份验证的请求中去! 起初一直以为是Security出的问题,后来再查看浏览器的时候发现每次AJAX请求的Cookie有的没有,有的每次都会发生变化!而服务端存储的Cookie和新的ajax生成Cookie不一致导致Security以为是新的请求(实际上存储着sessi...
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
热门推荐
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
spring-boot整合spring-security实现简单登录(ajax登录实现)
会飞的老王博客
10-24 1万+
个人技术网站 欢迎关注 平常再做一些项目时,有些项目并不需要复杂的登录权限验证 只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring-boot下配置简单 便捷 快速 能满足基本的登录权限控制需求。 第一步:引入spring-security maven依赖 &lt;!-- 整合spring security --&gt; &...
SpringSecurity笔记(非自记)
m0_59563359的博客
02-11 178
它是一个身份认证及权限控制的框架。shiro是它的对标框架,springsecurity已经开发很多年了,由于shiro的优势,它发展的不是很好,直到springboot出现,security的配置变的非常简单,现在微服务的项目都会优先选择security框架。security实现原理是通过Filter实现的。
SpringBoot2.0 + SpringSecurity实现用户权限安全管理详解
本文将详细介绍如何在SpringBoot 2.0版本中集成SpringSecurity框架,以实现强大的用户权限安全管理。SpringSecurity是一个广泛应用于Spring企业应用的开源安全框架,它提供了一种声明式的方式来控制系统的访问权限,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值