Security之自定义处理程序篇

已于 2022-03-17 22:29:42 修改
阅读量279 收藏
点赞数
分类专栏: security 文章标签: security
于 2021-10-25 16:10:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43654581/article/details/120953239
版权

1、功能实现

1.自定义登录成功、登录失败处理程序
2.自定义匿名访问无权、已认证无权访问处理程序
3.自定义记住我认证、退出登录成功处理程序

2、security05 子工程

在这里插入图片描述

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>com.yzm</groupId>
        <artifactId>security</artifactId>
        <version>0.0.1-SNAPSHOT</version>
        <relativePath>../pom.xml</relativePath> <!-- lookup parent from repository -->
    </parent>

    <artifactId>security05</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>jar</packaging>
    <name>security05</name>
    <description>Demo project for Spring Boot</description>

    <dependencies>
        <dependency>
            <groupId>com.yzm</groupId>
            <artifactId>common</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

application.yml

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://192.168.192.128:3306/testdb?useUnicode=true&characterEncoding=utf8&useSSL=false&allowMultiQueries=true&zeroDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghai
    username: root
    password: 1234

  main:
    allow-bean-definition-overriding: true

mybatis-plus:
  mapper-locations: classpath:/mapper/*Mapper.xml
  type-aliases-package: com.yzm.security05.entity
  configuration:
    map-underscore-to-camel-case: true
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

login.thml 页面

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录页</title>
</head>
<body>
<h1 th:if="${param.logout}">You have been logged out.</h1>
<h1 th:if="${param.error}">You username or password is wrong</h1>
<h1 th:if="${param.authentication}">Full authentication is required to access this resource</h1>

<h2>用户名密码登录</h2>
<form action="/login" method="post">
    <p>
        <label for="username">Username</label>
        <input type="text" id="username" name="username" placeholder="Username">
    </p>
    <p>
        <label for="password">Password</label>
        <input type="password" id="password" name="password" placeholder="Password">
    </p>
    <p>
        <label>
            <input type="checkbox" name="remember-me">
        </label> Remember me on this computer.
    </p>
    <button type="submit">Sign in</button>
</form>
</body>
</html>

3、登录成功、登录失败

package com.yzm.security05.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 登录成功后进行业务处理
 * Security默认是跳转 /
 */
@Slf4j
public class SecLoginSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
        log.info("登录成功");
        // 重定向到/home
        response.sendRedirect(request.getContextPath() + "/home");
    }

}

package com.yzm.security05.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 登录失败后进行业务处理
 */
@Slf4j
public class SecLoginFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        log.info("登录失败:" + exception.getMessage());
        // 重定向到登录页
        response.sendRedirect(request.getContextPath() + "/auth/login?error");
    }
}

在SecurityConfig#configure

//配置资源权限规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 关闭CSRF跨域
                .csrf().disable()

                // 登录
                .formLogin()
                .loginPage("/auth/login") //指定登录页的路径,默认/login
                .loginProcessingUrl("/login") //指定自定义form表单请求的路径(必须跟login.html中的form action=“url”一致)
                //.defaultSuccessUrl("/home", true) // 登录成功后的跳转url地址,默认是 "/"
                //.failureUrl("/auth/login?error") // 登录失败后的跳转url地址,默认是 "/login?error"
                .successHandler(new SecLoginSuccessHandler())
                .failureHandler(new SecLoginFailureHandler())
                .permitAll()
                .and()

                ...
                // 访问路径URL的授权策略,如注册、登录免登录认证等
                .authorizeRequests()
                .antMatchers("/", "/home", "/register", "/auth/login").permitAll() //指定url放行
                .antMatchers("/hello").rememberMe()
                .anyRequest().authenticated() //其他任何请求都需要身份认证
        ;
    }

启动项目,登录时输入错误的密码
在这里插入图片描述

然后再输入正确的密码
在这里插入图片描述

4、匿名无权访问、认证后无权访问

package com.yzm.security05.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 匿名用户访问无权限资源时的异常
 */
@Slf4j
public class SecAuthenticationEntryPoint extends BasicAuthenticationEntryPoint {

   @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
        log.info("需要登录");
        response.sendRedirect(request.getContextPath() + "/auth/login?authentication");
    }
}

package com.yzm.security05.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandlerImpl;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 认证过的用户访问无权限资源时的异常
 */
@Slf4j
public class SecAccessDeniedHandler extends AccessDeniedHandlerImpl {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        log.info("授权失败:" + accessDeniedException.getMessage());
        // 重定向到登录页
        response.sendRedirect(request.getContextPath() + "/401");
    }
}

在SecurityConfig#configure

//配置资源权限规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                ...

				// 登录
                .formLogin()
                .loginPage("/auth/login") //指定登录页的路径,默认/login
                .loginProcessingUrl("/login") //指定自定义form表单请求的路径(必须跟login.html中的form action=“url”一致)
                //.defaultSuccessUrl("/home", true) // 登录成功后的跳转url地址,默认是 "/"
                //.failureUrl("/auth/login?error") // 登录失败后的跳转url地址,默认是 "/login?error"
                .successHandler(new SecLoginSuccessHandler())
                .failureHandler(new SecLoginFailureHandler())
                .permitAll()
                .and()

                // 异常处理
                .exceptionHandling()
                .authenticationEntryPoint(new SecAuthenticationEntryPoint()) // 需要认证
                //.accessDeniedPage("/401") // 拒接访问跳转页面
                .accessDeniedHandler(new SecAccessDeniedHandler()) // 授权失败
                .and()
               
                // 访问路径URL的授权策略,如注册、登录免登录认证等
                .authorizeRequests()
                .antMatchers("/", "/home", "/register", "/auth/login").permitAll() //指定url放行
                .antMatchers("/hello").rememberMe()
                .anyRequest().authenticated() //其他任何请求都需要身份认证
        ;
    }

重启项目,访问/home
在这里插入图片描述访问权限接口
在这里插入图片描述

登录yzm,访问/admin/**
在这里插入图片描述

5、记住我认证、退出成功

package com.yzm.security05.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 记住我认证成功处理
 */
@Slf4j
public class SecAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        log.info("使用记住我功能,认证成功:" + authentication.getPrincipal());
    }
}

package com.yzm.security05.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.logout.SimpleUrlLogoutSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 退出登录成功后进行业务处理
 */
@Slf4j
public class SecLogoutSuccessHandler extends SimpleUrlLogoutSuccessHandler {

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        if (authentication != null) {
            Object principal = authentication.getPrincipal();
            if (principal instanceof User) {
                String username = ((User) principal).getUsername();
                log.info("退出成功,用户名:{}", username);
            }
        }
        // 重定向到登录页
        response.sendRedirect(request.getContextPath() + "/auth/login?logout");
    }
}

在SecurityConfig#configure

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                ...
                
                // 自动登录
                .rememberMe()
                .tokenValiditySeconds(120)
                .authenticationSuccessHandler(new SecAuthenticationSuccessHandler())
                .and()

                // 退出登录
                .logout().permitAll()
                .deleteCookies("JSESSIONID")
                //.logoutSuccessUrl("/auth/login?logout") // 默认是 "/login?logout"
                .logoutSuccessHandler(new SecLogoutSuccessHandler())
                .permitAll()
                .and()

                ...
        ;
    }

重启,登录yzm,选中记住我,然后关闭浏览器,重开浏览器。访问 /home
在这里插入图片描述

点击注销
在这里插入图片描述

相关链接

首页
上一篇:记住我篇
下一篇:会话篇

yzm4399
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义Spring Security的身份验证失败处理方法
08-25
现在我们已经创建了自定义 AuthenticationFailureHandler,让我们配置我们的应用程序并覆盖 Spring 的默认处理程序。我们可以使用 @Configuration 和 @EnableWebSecurity 注解来配置我们的应用程序,并使用 ...
springsecurity2 自定义filter实现
03-16
我们将深入探讨如何在Spring Security自定义Filter,以及相关的知识点。 首先,我们需要了解Spring Security的Filter工作原理。Spring Security的过滤器链是由`DelegatingFilterProxy`管理的,它会委托给`...
SpringBoot SpringSecurity 登录、登出自定义与HttpSecurity配置
scdncby的博客
07-03 1515
SpringBoot SpringSecurity 登录、登出自定义与HttpSecurity配置 yml中的变量配置 ############################ -- 认证 -- ############################ security-fig: login-url: /login login-processing-url: /loginProcess error-url: /loginFail logout-url: /signout .
Spring Security自定义注销流程
程序三两行
07-14 518
spring security 自定义注销方式
Reporting Service 2016 自定义身份验证
热门推荐
Denny辉的博客
05-25 1万+
一般MSRS都是windows身份验证,在2016版本之前网上会有一些教程教你怎么去配置,但是关于2016的配置教程网上几乎没有的,又碰巧这次的项目中用的就是MSRS2016最后没办法,公司老板去微软花钱请人做了一个案列。 所以今天在这里分享给大家。(注:该配置方法目前只适合Reporting Service 2016,之前的版本请不要尝试)首先找到SQL SERVER的安装目录: 我是用的虚拟机
Spring Security 自定义SecurityContextRepository
最新发布
m13012606980的专栏
02-08 1716
spring security的逻辑是判断一个请求如果需要进行身份验证,它需要通过SecurityContextRepository#loadContext方法看是否能获取到已验证的身份信息,如果获取到则直接访问对应的请求,获取不到则说明用户没有进行身份认证,则需要跳转到“/login”进行登录,登录成功,会把已验证的身份信息存储起来,调用SecurityContextRepository#saveContext方法。
Spring Security Config : HttpSecurity安全配置器 SecurityContextConfigurer
Details Inside Spring
06-16 1402
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,SecurityContextConfigurer的配置任务如下 : 配置如下安全过滤器Filter SecurityContextPersistenceFilter 如果存在共享对象SecurityContextRepository,则使用它作为安全上下文存储库,否则创建一个实现类型为HttpSessi...
spring security进级 V 自定义标签控制显示
04-04
"Spring Security进阶 V 自定义标签控制显示"的博客文章显然深入探讨了如何在Spring Security中实现自定义的安全控制,以便更好地管理和展示应用内容。在本文中,我们将详细解析这个主题,并与"JSP自定义标签...
SpringSecurity4.2 自定义登陆页面,图形验证码,源码
04-09
SpringSecurity是Java领域中一款强大的安全框架,用于处理应用程序的安全性。在4.2版本中,它提供了丰富的功能,允许开发者自定义登录页面并集成图形验证码以增强安全性。本文章将详细探讨如何在SpringSecurity ...
spring-security3 入门
03-27
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它为Web应用和企业级应用提供了安全性的全面解决方案。本入门将介绍Spring Security的基础知识,包括其核心概念、配置以及...
Security自定义接口
weixin_44337267的博客
04-09 725
package com.wang.securitydemo.filter; import org.springframework.security.authentication.AuthenticationServiceException; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.Authe
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4727
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9524
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
基于spring cloud alibaba中使用security 自定义接口权限,支持动态赋权
唐伯虎点纹香的博客
07-08 1464
当需求是需要动态管理API接口,比如A用户 只开放ABCD四个接口,B用户只开放EFGH四个接口。 或者是当用户A刚注册只有A接口功能,用户A开通会员就有B接口功能。1、自定义一个接口权限注解,参数包括接口地址、服务ID 。方便管理接口是哪个服务的 2、服务一启动时,自动搜集所有使用这个注解的接口,然后保存到数据库。这样权限的字典表就有了 3、管理员给用户配置接口权限。如用户A 配置A、B、C、D四个接口的权限 .........
Spring Security(二) —— 自定义配置
eyes++的博客
07-24 1266
http.authorizeRequests().regexMatchers("/login1").permitAll()//注意要开放登录请求接口.mvcMatchers("/hello1").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login1")//指定登录页面路径.loginProcessingUrl("/doLogin");时会拦截请求并抛出。...
SpringSecurity自定义认证
张氏小毛驴的博客
08-11 4819
​ 学习了SpringSecurity的使用,以及跟着源码分析了一遍认证流程,掌握了这个登录认证流程,才能更方便我们做自定义操作。​ 下面我们来学习下怎么实现多种登录方式,比如新增加一种邮箱验证码登录的形式,但SpringSecurity默认的Usernamepassword方式不影响。自定义一个邮箱验证码的认证,将邮箱号码作为key,验证码作为value存放到Redis中缓存。首先回顾下之前源码分析的认证流程,如下图:首先前端是填写邮箱,点击获取验证码输入获取到的验证码,点击登录按钮,发送登录接口(/em
Spring Security OAuth:客户端模式超简单实现
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
08-16 4559
OAuth 是一个开放标准,Spring Security OAuth 给我们提供了一个 OAuth 的实现,本演示了如何使用 Spring Security OAuth 做客户端模式的授权和认证,代码非常简单!
分布式工程搭建--spring cloud alibaba(spring security网关鉴权)
asdcctv882的博客
08-21 3309
Nacos-注册中心搭建 1.1 注册中心Nacos与Eureka对比 在此项目中naocs服务器是通过mysql来进行连接的,nacos不用手动搭建服务器,对于开发者来说,上手很快。 1.2 Nacos安装和启动 nacos 的下载和启动方法请参考Nacos 官网。 在启动nacos2.01的时候,有个坑,默认启动方式是以集群的方式启动,需要修改, 直接使用命令启动 startup.sh -m standalone 1.3 注册中心客户端搭建 Pom依赖导入: <dependency&.
spring security自定义指南
weixin_34296641的博客
12-24 208
序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义AuthenticationProvider 自定义AccessDecisionManager 自定义securityMetadataSource 自定...
springsecurity springcloud
08-03
SpringSecurity是一个用于身份验证和授权的框架,可以帮助我们保护应用程序的安全性。而SpringCloud是一个用于构建分布式系统的框架,它提供了一系列的工具和组件,用于处理分布式系统中的各种问题,例如服务发现、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值