Spring Security入门(十七)-个性化用户认证流程(一)

最新推荐文章于 2024-02-18 09:13:04 发布
最新推荐文章于 2024-02-18 09:13:04 发布
阅读量255 收藏
点赞数
分类专栏: Spring security+OAuth 文章标签: Spring Security
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_33248299/article/details/90246350
版权
一.导学
  • 自定义登录页面
  • 自定义登录成功处理器
  • 自定义登录失败处理器
二.自定义登录页面
  • loginPage方法:指定登录页面的url
@Override
    protected void configure(HttpSecurity http) throws Exception {

         http.formLogin()//form表单 高版本中默认是表单 低版本中默认是HttpBasic
                 .loginPage("/playmaker-signIn.html") //指定登录页面的url
                 //httpBasic() //httpBasic
                 .and()
                 //对请求授权配置
                 .authorizeRequests()
                 .anyRequest()//对任意请求都必须是已认证才能访问
                 .authenticated();
    }

在这里插入图片描述

  • playmaker-signIn.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>标准登录页面</title>
</head>
<body>
     <h1>标准登录页面</h1>
     <form action="/authentication/form" method="post">
          <table>
               <tr>
                   <td>用户名:</td>
                   <td><input type="text" name="username"></td>
               </tr>
              <tr>
                  <td>密码:</td>
                  <td><input type="password" name="password"></td>
              </tr>
              <tr>
                  <td colspan="2">
                      <button type="submit">登录</button>
                  </td>
              </tr>
          </table>
     </form>
</body>
</html>
  • 这里写的处理请求路径是自定义的,表单登录是由UsernamePasswordAuthenticationFilter控制的 它控制的是login POST请求,所以加条代码
 @Override
    protected void configure(HttpSecurity http) throws Exception {

         http.formLogin()//form表单 高版本中默认是表单 低版本中默认是HttpBasic
                 .loginPage("/playmaker-signIn.html") //指定登录页面的url
                 .loginProcessingUrl("/authentication/form") //指定处理登录请求的url
                 //httpBasic() //httpBasic
                 .and()
                 //对请求授权配置
                 .authorizeRequests()
                 .anyRequest()//对任意请求都必须是已认证才能访问
                 .authenticated();
    }
  • 访问登录页会出现这个问题,因为你后边的代码,任何请求都需要认证,包括你的登录页面,于是又跳到自己页面去了,不断死循环去了
    在这里插入图片描述
 @Override
    protected void configure(HttpSecurity http) throws Exception {

         http.formLogin()//form表单 高版本中默认是表单 低版本中默认是HttpBasic
                 .loginPage("/playmaker-signIn.html") //指定登录页面的url
                 .loginProcessingUrl("/authentication/form") //指定处理登录请求的url
                 //httpBasic() //httpBasic
                 .and()
                 //对请求授权配置
                 .authorizeRequests()
                 .antMatchers("/playmaker-signIn.html").permitAll()//当访问这个url时不需要身份认证
                 .anyRequest()//对任意请求都必须是已认证才能访问
                 .authenticated();
    }
  • 视频中此时访问登陆进去会报错403,关于csrf 跨站请求的东西(后边会讲)
  • 然而我们并没有出现这个问题,但还是把它关了吧,完整配置代码如下
@Override
    protected void configure(HttpSecurity http) throws Exception {

         http.formLogin()//form表单 高版本中默认是表单 低版本中默认是HttpBasic
                 .loginPage("/playmaker-signIn.html") //指定登录页面的url
                 .loginProcessingUrl("/authentication/form") //指定处理登录请求的url 会认为必须是跳转到我们自己写的这个真是存在的控制器里面, 
实际上这个路径对应的控制器不存在也没有关系。因为不会走。这里看起来更像是对security默认/login路径的重命名
                 //httpBasic() //httpBasic
                 .and()
                 //对请求授权配置
                 .authorizeRequests()
                 .antMatchers("/playmaker-signIn.html").permitAll()//当访问这个url时不需要身份认证
                 .anyRequest()//对任意请求都必须是已认证才能访问
                 .authenticated()
                 .and()
                 .csrf().disable();//关闭csrf
    }

此时访问OK
在这里插入图片描述
但是这里有两个问题

  • 我们发的是RESTful请求 如果这个请求需要身份认证 那么返回去的是一段html 这个是不合理的 RESTful服务返回去得应该是状态码和json信息,但是现在实际上是html(如果是html请求跳到登录页上 如果不是就返回一段json对象)
  • 虽然写了一个标准登陆页面 但我们的目标是写一个可重用的安全模块 意味着多个项目要运行这个安全模块 如何让使用这个安全模块的项目能够自定义这个模块 不用的时候才用你这个标准安全模块
三.处理不同类型的请求

在这里插入图片描述

@RestController
public class BorowserSecurityController {

    private Logger logger = LoggerFactory.getLogger(getClass());

    private RequestCache requestCache = new HttpSessionRequestCache();//跳转之前spring security用HttpSessionRequestCache这个类把当前请求缓存到这个session里面去 所以当我们跳转到authentication/require这个请求时我们可以用这个类,从session中把之前缓存的请求拿出来


    @Autowired
    private SecurityProperties securityProperties;
    @RequestMapping("/authentication/require")
    @ResponseStatus(code= HttpStatus.UNAUTHORIZED) //401
    public SimpleResponse authenticationrequire(HttpServletRequest request, HttpServletResponse response) throws IOException {
        SavedRequest savedRequest = requestCache.getRequest(request,response);//SavedRequest就是之前缓存的请求
        if(savedRequest!=null){
            String redirectUrl = savedRequest.getRedirectUrl();
            logger.info("跳转的地址:"+redirectUrl);
            if(StringUtils.endsWithIgnoreCase(redirectUrl,".html")){
                   redirectStrategy.sendRedirect(request,response,"");//这个跳转url是第二个要处理的问题
            }

        }
        return new SimpleResponse("访问的服务需要身份认证,请引导用户到登录页");
    }
}
  • SimpleResponse 类只是一个返回结果的信息类
public class SimpleResponse {
     private Object content;//定义成Object可以返回任何数据类型

    public SimpleResponse(Object content) {
        this.content = content;
    }

    public Object getContent() {
        return content;
    }

    public void setContent(Object content) {
        this.content = content;
    }
}
  • 我们把登录页面url换成/authentication/require
@Override
    protected void configure(HttpSecurity http) throws Exception {

         http.formLogin()//form表单 高版本中默认是表单 低版本中默认是HttpBasic
                 .loginPage("/authentication/require") //指定登录页面的url
                 .loginProcessingUrl("/authentication/form") //指定处理登录请求的url
                 //httpBasic() //httpBasic
                 .and()
                 //对请求授权配置
                 .authorizeRequests()
                 .antMatchers("/playmaker-signIn.html",
                         "/authentication/require").permitAll()//当访问这个url时不需要身份认证
                 .anyRequest()//对任意请求都必须是已认证才能访问
                 .authenticated()
                 .and()
                 .csrf().disable();//关闭csrf
    }
四.自定义安全模块
  • 让用户配置自己登录页面
  • application.properties
playmaker.security.browser.loginPage = /demo-signIn.html
  • demo-signIn.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Demo登录页</title>
</head>
<body>
       <h1>Demo登录页</h1>
</body>
</html>

在这里插入图片描述

  • BrowserProperties 浏览器相关的配置项

  • ValidateCodeProperties 验证码相关的

  • OAuth2Properties OAuth配置

  • SocialProperties Social配置

  • 由于这些配置类是 app 和 browser 项目公用的,写在core里面

@ConfigurationProperties( prefix = "playmaker.security")//读取配置中配置名为playmaker.security的项目项
public class SecurityProperties {
    private BrowserProperties browser = new BrowserProperties();

    public BrowserProperties getBrowser() {
        return browser;
    }

    public void setBrowser(BrowserProperties browser) {
        this.browser = browser;
    }
}

public class BrowserProperties {

    private String loginPage = "/playmaker-signIn.html";//默认配置

    public String getLoginPage() {
        return loginPage;
    }

    public void setLoginPage(String loginPage) {
        this.loginPage = loginPage;
    }
}
  • 为了职责分离,单独写一个入口被扫描开启的配置类
@Configuration
@EnableConfigurationProperties(SecurityProperties.class)//EnableConfigurationProperties 的作用是标明加载哪一个类 这效果和直接在目标类上写上@Configuration效果一样
public class SecurityCoreConfig {
}
  • 不要忘记放行了
@RestController
public class BorowserSecurityController {

    private Logger logger = LoggerFactory.getLogger(getClass());

    private RequestCache requestCache = new HttpSessionRequestCache();//跳转之前spring security用HttpSessionRequestCache这个类把当前请求缓存到这个session里面去 所以当我们跳转到authentication/require这个请求时我们可以用这个类,从session中把之前缓存的请求拿出来

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();//spring中的跳转工具

    @Autowired
    private SecurityProperties securityProperties;//注入
    
    @RequestMapping("/authentication/require")
    @ResponseStatus(code= HttpStatus.UNAUTHORIZED) //401
    public SimpleResponse authenticationrequire(HttpServletRequest request, HttpServletResponse response) throws IOException {
        SavedRequest savedRequest = requestCache.getRequest(request,response);//SavedRequest就是之前缓存的请求
        if(savedRequest!=null){
            String redirectUrl = savedRequest.getRedirectUrl();
            logger.info("跳转的地址:"+redirectUrl);
            if(StringUtils.endsWithIgnoreCase(redirectUrl,".html")){
                   redirectStrategy.sendRedirect(request,response,securityProperties.getBrowser().getLoginPage());//注入url
            }

        }
        return new SimpleResponse("访问的服务需要身份认证,请引导用户到登录页");
    }
}

 	@Autowired
    private SecurityProperties securityProperties;//注入

	@Override
    protected void configure(HttpSecurity http) throws Exception {

         http.formLogin()//form表单 高版本中默认是表单 低版本中默认是HttpBasic
                 .loginPage("/authentication/require") //指定登录页面的url
                 .loginProcessingUrl("/authentication/form") //指定处理登录请求的url
                 //httpBasic() //httpBasic
                 .and()
                 //对请求授权配置
                 .authorizeRequests()
                 .antMatchers("/playmaker-signIn.html",
                         "/authentication/require",
                         securityProperties.getBrowser().getLoginPage()).permitAll()//当访问这个url时不需要身份认证
                 .anyRequest()//对任意请求都必须是已认证才能访问
                 .authenticated()
                 .and()
                 .csrf().disable();//关闭csrf
    }
  • 运行效果如下
    在这里插入图片描述
  • 访问index.html(因为你自定义登录页面)
    在这里插入图片描述
  • 没有自定义,访问index.html跳转到标准登陆页面
    在这里插入图片描述
一个爱浪费时间的人
关注
专栏目录
Spring Security个性化用户认证流程
superbeyone
12-01 478
文章目录Spring Security个性化用户认证流程1. 自定义登录页面2. 自定义登录成功处理3. 自定义登录失败处理 Spring Security个性化用户认证流程 1. 自定义登录页面 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Co...
Spring Security入门(十八)-个性化用户认证流程(二)
上千主上-贝库塔
05-17 323
一.导学 自定义登录成功处理器 自定义登录失败处理器 默认情况下,spring security 跳到你引发登录的请求上 访问/user 要登录 登录成功就跳到/user 在SPA下,登录可能不是表单提交的同步方式来访问的,而是异步AJAX请求来访问登录,这个时候前端希望拿到用户相关的一些信息(json格式),这时登录成功做一个跳转这是不合适的 二.自定义登录成功处理器 在Spring se...
spring-security 个性化用户认证流程——自定义登录成功/失败的处理
weixin_33878457的博客
12-23 270
1.自定义登录成功处理什么需要自定义登录成功处理,因为登录行为不止只有一种,有可能是ajax请求,而默认的则是form提交跳转的行为,这个时候就不是我们想要的一种结果。 如果自定义登录成功之后的行为?只需要实现AuthenticationSuccessHandler接口 @Component("myAuthenticationSuccessHandler") public class MyAuth...
Spring Security(五):个性化用户认证流程
zhujunjun6的专栏
03-20 409
继续接着上篇文章《Spring Security(四):自定义用户认证逻辑》,本篇文章主要介绍如何进行个性化用户认证。 场景:考虑到前后端分离的场景,后端提供接口供前端调用,并返回JSON格式的数据给前端。或请求html请求返回页面,来处理不同类型的请求(html请求或数据请求)。 处理不同类型的请求 1、【zjj-security-browser 工程】修改安全框架的配置类Br...
[Spring Security] 表单登录通过配置自定义登录页面,以及自定义认证成功/失败处理机制
ShotMoon的博客
05-16 3733
书接上回,1.目录结构2.配置自定义登录页通过配置SecurityProperties,MyProperties,SecurityCoreConfig来读取resources文件夹下application.properties中相关配置项。SecurityProperties:package com.security.properties; import lombok.Data; import ...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3550
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
spring-starter-security:该项目在gradle构建机制中包含了入门api,用于注册,帐户验证和登录
03-21
- `WebSecurityConfigurerAdapter`是一个用于定制安全规则的基类,开发者可以通过重写其方法来实现个性化需求。 5. **注册和帐户验证**: - Spring Security提供了UserDetailsService接口,用于从数据源加载用户...
带你认识Spring Security,一个功能强大,可高度定制的认证与授权的框架;重点处理认证和授权2个功能
JAVA88866的博客
05-12 332
一、基础 官网地址:spring.io/projects/spring-security Spring Security是一个功能强大,可高度定制的认证与授权的框架;重点处理认证和授权2个功能 1.1)认证 就是判断一个用户身份是否合法的过程,用户访问系统资源时系统要求验证用户的身份信息,根据认证的结果来进行后一步的操作;认证是为了保证系统的隐私数据与资源; 1.2)授权 授权是用户通过认证后,根据用户的权益来控制用户可以访问资源的过程;授权是为了更细粒度地对隐私数据进行划分,授权是发生在认证
开发知识点-JAVA-springboot+Spring Security/Shiro
最新发布
aming小老弟
02-18 554
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
springSecurity入门实例讲解
weixin_44585066的博客
08-30 262
在web应用开发中,安全无疑是十分重要的,选择Spring Security来保护web应用是一个非常好的选择。Spring Securityspring项目之中的一个安全模块,可以非常方便与spring项目无缝集成。特别是在spring boot项目中加入spring security更是十分简单。本篇我们介绍spring security,以及spring security在web应用中的...
SpringSecurity表单认证
程序员劝退师的博客
10-07 423
自定义用户认证逻辑 这篇文章只要是实现web页面登录认证!就是用户通过账号密码登录系统,获得授权! 也就是这中样子的登录!实现起来比较简单,别说网页丑,这是SpringSecurity自己默认的登录界面 简单实现 1.一个登录后访问的请求 @RestController public class TestController { @RequestMapping("/user") public String user(){ return "HelloWorld"; }
spring security 自定义登录成功、失败处理
liu_xue_xue的专栏
11-30 2914
默认自定义配置 一、自定义成功处理器 使用继承SavedRequestAwareAuthenticationSuccessHandler类的方式?因为SavedRequestAwareAuthenticationSuccessHandler这个类记住了你上一次的请求路径,比如:你请求user.html。然后被拦截到了登录页,这时候你输入完用户名密码点击登录,会自动跳转到user.html,而不是主页面。 public class CoreAuthenticationSuccessHandler e
SpringBoot + Spring Security 基本使用及个性化登录配置
热门推荐
whyalwaysmea
03-18 15万+
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring S...
SpringSecurity个性化用户认证流程
weixin_30915951的博客
03-28 87
⒈自定义登录页面 1 package cn.coreqi.security.config; 2 3 import org.springframework.context.annotation.Bean; 4 import org.springframework.context.annotation.Configuration; 5 import org.spri...
spring-security-oauth2(二) 自定义个性化登录
codeing-tiger
12-07 1万+
自定义认证逻辑 1.认证逻辑接口 spring-security用户登录逻辑验证接口org.springframework.security.core.userdetails.UserDetailsService只有一个方法 UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; ...
Spring Security入门(十四)-使用WireMock快速伪造RESTful服务
上千主上-贝库塔
05-08 621
一.导学 在后端没有开发好的时候,使用wireMock快速伪造服务 为什么要伪造服务? 主要是用于多端并行开发,前段可能有pc、app,微信多端点,遇到这种情况,先伪造服务的确是能节省很多成本; 当然如果很耗费时间的话,肯定就得不偿失了; 到时候等后端写好之后,前段切换连接就行了 WireMock其实就是一个独立的服务器 二.WireMock介绍 去Wiremock官网下载 运...
Spring Security入门(十一) 使用Spring MVC开发RESTful API-文件的上传和下载
上千主上-贝库塔
05-06 600
一.导学 Spring boot中如何处理文件上传和下载的 在前后端分离的环境里面,尤其是现在前端技术 页面都是SPA(单面应用) 不会有刷新 表单提交 都是异步完成的 上传文件 给一个id 给一个路径 存在表单中 提交表单提交一个路径 先写个测试用例吧 注意:fileUpload方法过期了 @Test public void whenUploadSuccess() throws E...
Spring Security入门(八) 使用Spring MVC开发RESTful API-错误处理
上千主上-贝库塔
04-28 479
一.导学 Spring boot中默认的错误处理机制 自定义异常处理 二.spring boot中默认的错误处理机制 访问一个不存在的url http://localhost:8070/xxx 浏览器的默认错误如下图所示 浏览器的处理(我们先访问正常页面) http://localhost:8070/user/1 获取用户信息的请求,返回的是json格式的用户信息 我们...
Spring Security入门(二十)-实现图形验证码功能
上千主上-贝库塔
05-22 452
一.导学 开发生成图形验证码接口 根据随机数生成图片 将随机数存到session中 将生成的图片写入响应中 由于不论app还是浏览器 都要用到 所以写到core项目里面去 二.实现图形验证码 图片验证码类一般包含三个属性:图片 随机数 过期时间 一般过期时间不是直接设置的 而是设置的多少时间过期 当前时间+多少时间过期 public class ImageCode { pri...
Spring Security入门与实战教程:安全认证、授权与用户体验
第三章则关注于提升用户体验,如自定义登录页面,实现个性化设计,并介绍退出功能的实现。"RememberMe"功能也在此部分提及,它允许用户在一段时间内保持登录状态,增加了便利性,但同时也涉及到安全性问题,如何确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值