SpringSecurity(五)表单配置-登录失败及页面跳转原理

已于 2023-02-01 14:53:59 修改
阅读量4k 收藏 3
点赞数 3
分类专栏: Spring Security 文章标签: java spring security 表单配置 页面
于 2022-03-11 17:22:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40409260/article/details/123429947
版权

认证失败

继上一篇内容我们继续讨论一下关于表单登录配置认证失败的时候,它默认页面的跳转原理。

前言

为了方便在前端页面中展示失败的异常信息,我们现在项目中的pom.xml文件中引入thymeleaf依赖。

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

接下来修改一下上篇文章中的页面,增加一个div用来展示异常信息

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qcfkpmio-1646990447899)(C:\Users\chenx\Desktop\新建文件夹\SpringSecurity\i异常信息-login.png)]

既然现在的页面是动态页面,那么就不能像静态页面那样直接访问,需要我们提供一个访问控制器。

 @GetMapping({"/","login",""})
    public String login(){
        return "login";
    }

最后在SecurityConfig中配置页面登录。

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and().formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/doLogin")
                .successHandler(new MyAuthenticationSuccessHandler())
                .failureUrl("/login.html")
                .usernameParameter("uname")
                .passwordParameter("passwd")
                .permitAll()
                .and()
                .csrf().disable();
    }

failureUrl表示登录失败后重定向到login.html页面,重定向是一种客户端跳转,重定向不方便携带请求失败的异常信息(只能放在URL中)

如果希望能够在前端展示请求失败的异常信息,可以使用下面这种方式:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and().formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/doLogin")
                .successHandler(new MyAuthenticationSuccessHandler())
//                .failureUrl("/login.html")
                .failureForwardUrl("/login.html")
                .usernameParameter("uname")
                .passwordParameter("passwd")
                .permitAll()
                .and()
                .csrf().disable();
    }

failureForwardUrl方法从名字上就可以看出,这种跳转是一个服务器端跳转,服务器端跳转的好处是可以携带登录异常信息。如果登录失败,自动跳转到登录页面后,就可以将错误信息展示出来。

无论是failureUrl还是failureForwardUrl,最终所配置的都是AuthenticationFailureHandler接口实现的,SpringSecurity中提供了AuthenticationFailureHandler接口,用来规范登录失败的实现:

public interface AuthenticationFailureHandler {

	void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException, ServletException;

}

AuthenticationFailureHandler中只有一个方法,用来处理登录失败请求,最后的exception参数则表示登录失败的异常信息。SpringSecurity中为AuthenticationFailureHandler一共提供了五个实现类,如下:

在这里插入图片描述

(1)、SimpleUrlAuthenticationFailureHandler 默认的处理逻辑就算通过重定向跳转到登录页面,当然也可以通过配置forwardToDestination属性将重定向改为服务器端跳转,failureUrl方法底层的实现逻辑就是SimpleUrlAuthenticationFailureHandler

(2)、ExceptionMappingAuthenticationFailureHandler 可以实现根据不同的异常类型,映射到不同的路径。

(3)、ForwardAuthenticationFailureHandler 表示通过服务器端跳转来重新回到登录页面,failureForwardUrl方法底层实现逻辑就是ForwardAuthenticationFailureHandler

(4)、AuthenticationEntryPointFailureHandler 是SpringSecurity 5.2新引进的处理类,可以通过AuthenticationEntryPoint来处理登录异常。

(5)、DelegatingAuthenticationFailureHandler 可以实现为不同的异常类型配置不同的登录失败处理回调。

这里举一个简单的例子,如果不适用failureForwardUrl方法,同时又想在登录失败后通过服务器端跳转回到登录页面,那么可以自定义SimpleUrlAuthenticationFailureHandler配置,并将forwardToDestination属性设置为true,代码如下:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and().formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/doLogin")
                .successHandler(new MyAuthenticationSuccessHandler())
                .failureHandler(failureHandler())
//                .failureUrl("/login.html")
//                .failureForwardUrl("/login.html")
                .usernameParameter("uname")
                .passwordParameter("passwd")
                .permitAll()
                .and()
                .csrf().disable();
    }
    
    
    SimpleUrlAuthenticationFailureHandler failureHandler(){
        SimpleUrlAuthenticationFailureHandler handler = new SimpleUrlAuthenticationFailureHandler();
        handler.setDefaultFailureUrl("/login.html");
        handler.setUseForward(true);
        return handler;
    }
}

这样配置后,如果用户在此登录失败,就会通过服务端跳转重新回到登录页面,登录页面也会展示相应的错误信息,效果和failureForwardUrl一致。

SimpleUrlAuthenticationFailureHandler 的源码也很简单,我们也来看看(列出核心部分)

public class SimpleUrlAuthenticationFailureHandler implements AuthenticationFailureHandler {

    	public SimpleUrlAuthenticationFailureHandler(String defaultFailureUrl) {
		setDefaultFailureUrl(defaultFailureUrl);
	}

    @Override
	public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException, ServletException {
		if (this.defaultFailureUrl == null) {
			if (this.logger.isTraceEnabled()) {
				this.logger.trace("Sending 401 Unauthorized error since no failure URL is set");
			}
			else {
				this.logger.debug("Sending 401 Unauthorized error");
			}
			response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
			return;
		}
		saveException(request, exception);
		if (this.forwardToDestination) {
			this.logger.debug("Forwarding to " + this.defaultFailureUrl);
			request.getRequestDispatcher(this.defaultFailureUrl).forward(request, response);
		}
		else {
			this.redirectStrategy.sendRedirect(request, response, this.defaultFailureUrl);
		}
	}
	
    protected final void saveException(HttpServletRequest request, AuthenticationException exception) {
		if (this.forwardToDestination) {
			request.setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception);
			return;
		}
		HttpSession session = request.getSession(false);
		if (session != null || this.allowSessionCreation) {
			request.getSession().setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception);
		}
	}
	
    	public void setUseForward(boolean forwardToDestination) {
		this.forwardToDestination = forwardToDestination;
	}

}

从这段源码中可以看到,当用户构造SimpleUrlAuthenticationFailureHandler对象的时候,就传入了defaultFailureUrl,也就是登录失败时要跳转的地址。在onAuthenticationFailure方法中,如果发现了defaultFailureUrl为null,则直接通过response返回异常信息,否则调用saveException方法,在saveException方法中,如果forwardToDestination为true,就通过服务区端跳转回到登录页面,否则通过重定向回到登录页面。

如果是前后的分离开发,登录失败就不需要页面跳转了,只需要返回JSON字符串给前端即可,此时可以通过自定义AuthenticationFailureHandler的实现类来完成,如下:

public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        HashMap<String,Object> resp = new HashMap<>();
        resp.put("status",200);
        resp.put("msg",exception.getMessage());
        ObjectMapper om = new ObjectMapper();
        final String writeValueAsString = om.writeValueAsString(resp);
        response.getWriter().write(writeValueAsString);
    }
}

同样在WebSecurity中配置

http.failureHandler(new MyAuthenticationFailureHandler());

这样在登录失败后,就不会进行页面跳转了,而是直接返回JSON字符串。

陈橙橙丶
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security实现多次登录失败后账户锁定功能
08-25
当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Security跳转页面失败问题解决
08-25
主要介绍了Spring Security跳转页面失败问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-crypto-5.5.2.pom; 包含翻译后的API文档:spring-security-crypto-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-crypto:5.5.2; 标签:springframework、securityspring、crypto、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
SpringBoot + SpringSecurity 权限身份安全验证异步ajax登录验证后又跳回security自带的login页面问题
搞代码的博客
08-25 1739
最近公司项目快结束了,基本业务都已跑通,现在需要将security安全框架的身份权限验证加入进去。但是在加入以后,自定义登录页面登录成功以后,并不会走继承于UserDetails的自定义类方法,那么security也就获取不到申请者的账号密码信息,也就没法进行身份权限的验证。所以每次自定义的控制层登录验证成功以后都会再次跳入自带的login页面,需要再登录一次才行。一开始以为是自己异步申请的问题,...
Spring Security Web 5.1.2 源码解析 -- SimpleUrlAuthenticationFailureHandler
Details Inside Spring
12-24 5641
概述 AuthenticationFailureHandler接口定义了Spring Security Web在遇到认证错误时所使用的处理策略。 典型做法一般是将用户重定向到认证页面(比如认证机制是用户名表单认证的情况)让用户再次认证。当然具体实现类可以根据需求实现更复杂的逻辑,比如根据异常做不同的处理等等。举个例子,如果遇到CredentialsExpiredException异常(Authen...
Spring SecurityAuthenticationFailureHandler 用户认证失败后处理
杜小舟的博客
12-28 931
`AuthenticationFailureHandler` 主要是做用户认证失败后调用的处理器,这里的失败一般是指用户名或密码错误。当出现错误后,该处理器就会被调用,一般在开发中,会自己实现一个处理器,用来给前端返回一些已经商量好的异常码,下面分成两大块,先简单介绍一下官方给的一些用户失败后的处理器,再介绍我们自己实现的自定义处理器。
SpringSecurity学习笔记二
我就是我的博客
10-25 561
SpringSecurity认证成功、失败处理器原理分析 首先需要知道的是,SpringSecurity默认的成功、失败处理器是SavedRequestAwareAuthenticationSuccessHandlerSimpleUrlAuthenticationFailureHandler;正常情况下,请求一个资源,在进入到SpringSecurity的认证中,认证成功才会跳转到待请求的资源 ...
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
Spring Security 前后端分离登录,非法请求直接返回 JSON
江南一点雨的专栏
10-10 6209
hello 各位小伙伴,国庆节终于过完啦,松哥也回来啦,今天开始咱们继续发干货! 关于 Spring Security,松哥之前发过多篇文章和大家聊聊这个安全框架的使用: 手把手带你入门 Spring SecuritySpring Security 登录添加验证码 SpringSecurity 登录使用 JSON 格式数据 Spring Security 中的角色继承问题 Spring Se...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
Spring Security教程外篇(1)---- AuthenticationException异常详解
z69183787的专栏
03-13 1万+
这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下AuthenticationException常用的的子类: UsernameNotFoundException 用户找不到 BadCredentialsException 坏的凭据 AccountStatusException 用户状态异常它包含如下子类 AccountExpiredExcept
Spring-Security自定义登陆错误提示信息
热门推荐
doinbb的博客
08-07 1万+
实现效果如图所示: 首先公布实现代码: 一. 自定义实现 import.org.springframework.security.core.userdetails.UserDetailsService类。 并且抛出BadCredentialsException异常,否则页面无法获取到错误信息。 @Slf4j @Service public class MyUserDetailsS...
1.SpringSecurity入门系列(一)
shanggushenlong的博客
03-24 366
1、spring security入门 idea + springboot + spring security 依赖 2、搭建步骤 pom文件加入依赖:springboot最方便就是,需要什么就直接加入依赖即可,无需配置 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-b
spring security 使用自定义AuthenticationFailureHandler无法跳转failureUrl
路过君的博客
08-12 2595
默认AuthenticationFailureHandler源码 org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer protected final void updateAuthenticationDefaults() { if (loginProcessingUrl == null) { loginProcessingUrl(loginPage
Spring Security自定义登录失败处理
Leon_Jinhai_Sun的博客
05-05 1698
和自定义登录成功处理一样,Spring Security 同样为前后端分离开发提供了登录失败的处理,这个类就是 AuthenticationFailureHandler,源码为: public interface AuthenticationFailureHandler { /** * Called when an authentication attempt fails. * @param request the request during which the authenticatio
SpringSecurity(二)
hangkhang的博客
08-20 536
前言 本篇文章将会将认证以及授权一并学习完成,话不多说,那就让我们开始SpringSecurity的第二段旅程吧。 认证的进阶(四) 自定义登录成功处理器 之前我们登录成功以后会去Controller实现一个跳转,由于目前的项目都实现了前后端分离,所以后端就不需要再管页面跳转了,交给前端即可。假如我们登录成功后需要跳转到csdn界面,如果将网址直接写在successForwardUrl,就会出现问题的。 .successForwardUrl("https://www.csdn.net") 如果这样写的话,
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 866
都是符合我们的预期的。
springboot整合spring security如何配置跳转页面
04-21
可以使用以下配置来跳转到指定的页面: 在 Spring Security 配置中,使用`formLogin()`方法开启表单登录,在其中设置`loginPage()`方法来指定登录页面地址,如下所示: ```java @Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 不进行权限验证的 URL .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") // 指定登录页面地址 .permitAll() .and() .logout() .permitAll(); } } ``` 在上述代码中,`/login` 路径为登录页面地址,是一个 GET 请求,访问该路径时返回登录页面。在登录页面中,用户输入用户名和密码,然后提交表单,将会通过 POST 请求发送到`/login`地址。 通过重写 `configure(AuthenticationManagerBuilder auth)` 方法,可以指定用户认证方式默认使用内存中的认证方式。在下面的代码示例中,使用了一对用户名和密码 `user/userpassword`。 ```java @Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 不进行权限验证的 URL .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") // 指定登录页面地址 .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user") .password("{noop}userpassword") .roles("USER"); } } ``` 在上述代码中,“{noop}” 是 5.x 版本的特性,用于指定密码以明文形式存储。否则的话,需要使用`PasswordEncoder`接口的实现来加密密码,不过这样做对于一个小型项目并不是必要的。 Spring Security 提供了默认的 login form 表单,不过在以下情况下,可能需要重写默认的登录页面模板。 默认模板位于`/org/springframework/security/web/server/ui/login/LoginPageGeneratingWebFilter.DEFAULT_LOGIN_PAGE_TEMPLATE`。 利用 FreeMarker 模板引擎可以重写该模板。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈橙橙丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值