使用AJAX实现SpringSecurity登录(不禁用csrf )

已于 2022-11-28 15:54:18 修改
阅读量368 收藏
点赞数
分类专栏: java 文章标签: ajax csrf javascript
于 2022-11-28 10:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45004609/article/details/128075338
版权

SpringSecurity配置类代码:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WelfareSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private LoginAuthenticationFailureHandler loginAuthenticationFailureHandler;

    @Autowired
    private LoginAuthenticationSuccessHandler loginAuthenticationSuccessHandler;

    
    @Override
    protected void configure(HttpSecurity security) throws Exception {
        security.authorizeRequests()
                //放行首页
                .antMatchers("/index.jsp")
                .permitAll()
                //放行静态资源
                .antMatchers("/assets/**")
                .permitAll()
               //除此之外其他请求都需要进行授权
                .anyRequest()
                .authenticated()
                //登录请求授权
                .and()
                .formLogin()
                .loginPage("/admin/to/login.html")
                .loginProcessingUrl("/security/login.json")
                .permitAll()
                .usernameParameter("username")
                .passwordParameter("password")
                .successHandler(loginAuthenticationSuccessHandler)
                .failureHandler(loginAuthenticationFailureHandler)
                //开启退出登录功能
                .and()
                .logout()
                .logoutUrl("/security/logout.json")
                .logoutSuccessUrl("/admin/to/login.html");
    }

    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
			auth.inMemoryAuthentication().
			withUser("vinci").password("lmy9901").roles("Admin");
    }

}

重写认证成功、失败处理器
其中的ResultEntity为封装的统一返回类型

@Component
public class LoginAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        ResultEntity<Object> resultEntity = ResultEntity.successWithoutData();
        String json = new Gson().toJson(resultEntity);
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write(json);
        out.flush();
        out.close();
    }

}

@Component
public class LoginAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        ResultEntity<Object> resultEntity = ResultEntity.failed(WelfareConstant.MESSAGE_LOGIN_FAILED);
        String json = new Gson().toJson(resultEntity);
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write(json);
        out.flush();
        out.close();
    }

}

前端页面表单:

<form class="form-horizontal" action="return false"  id="adminLoginForm">
                    <div class="form-group row">
                        <div class="col-12">
                            <input value="vinci" class="form-control" name="username" type="text" required="" placeholder="请输入账号">
                        </div>
                    </div>

                    <div class="form-group row">
                        <div class="col-12">
                            <input value="lmy9901" class="form-control" name="password" type="password" required="" placeholder="请输入密码">
                        </div>
                    </div>

                    <div class="form-group row">
                        <div class="col-12">
                            <div class="custom-control custom-checkbox">
                                <input type="checkbox" class="custom-control-input" id="customCheck1">
                                <label class="custom-control-label" for="customCheck1">记住我</label>
                            </div>
                        </div>
                    </div>

                    <div class="form-group text-center row m-t-20">
                        <div class="col-12">
                            <button id="adminLoginBtn" class="btn btn-info btn-block waves-effect waves-light" type="button">登录</button>
                        </div>
                    </div>
                </form>

注意:在head标签内一定要加入以下代码

 	<meta name="_csrf" content="${_csrf.token}" />
    <meta name="_csrf_header" content="${_csrf.headerName}" />

最后:向服务器发送AJAX请求

$(function(){

    //获取登录表单数据
    $("#adminLoginBtn").on('click', function () {
        let username = $("#adminLoginForm input[name='username']").val();
        let password = $("#adminLoginForm input[name='password']").val();
        adminLogin(username, password);
    })


})


//管理员登录方法
function adminLogin(username, password) {

    if (username == null || username == "") {
        layer.msg("请输入账号");
        return;
    }
    if (password == null || password == "") {
        layer.msg("请输入密码");
        return;
    }

    let token = $("meta[name='_csrf']").attr("content");
    let header = $("meta[name='_csrf_header']").attr("content");


    $.ajax({
        type: "post",
        url: "/security/login.json",
        data: {
            "username": username,
            "password": password
        },
        dataType: "json",
        beforeSend: function(request) {
            request.setRequestHeader(header, token);
        },
        success(response) {
            let result = response.operationResult;
            let msg = response.operationMessage;
            if (result == "success") {
                layer.msg("登录成功");
                setTimeout(function () {
                    window.location.href = "admin/to/main.html"
                }, 1000)
            }
            if (result == "failed") {
                layer.msg(msg);
            }
        },
        error(response) {
            layer.alert(response);
        }
    })

}
.予安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ajax登陆使用Spring Security缓存跳转到登陆前的链接
10-17
主要介绍了Ajax登陆使用Spring Security缓存跳转到登陆前的链接,需要的朋友可以参考下
spring-boot整合spring-security实现简单登录(ajax登录实现)
热门推荐
会飞的老王博客
10-24 1万+
个人技术网站 欢迎关注 平常再做一些项目时,有些项目并不需要复杂的登录权限验证 只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring-boot下配置简单 便捷 快速 能满足基本的登录权限控制需求。 第一步:引入spring-security maven依赖 &lt;!-- 整合spring security --&gt; &...
Spring Boot和Spring Security环境中处理Ajax登录请求,我们首先需要定义一个登录接口
最新发布
BLOG域名:programb.blog.csdn.net
03-25 321
Spring Boot应用中,我们可以定义一个Controller来处理登录请求。在这个Controller中,我们需要一个处理POST请求的方法,该方法会接收登录信息(如用户名和密码),并验证它们。在Spring Boot和Spring Security环境中处理Ajax登录请求,我们首先需要定义一个登录接口,然后配置Spring Security来处理这个接口。,这是一个自定义的过滤器,用于处理JWT认证。我们需要实现这个过滤器,以便在用户登录后生成JWT,并在后续请求中验证JWT。
springboot2.x+springsecurity使用ajax实现异步登录
秋楓的博客
12-03 1757
前言 前面介绍了springboot整合shiro的基本实现案例,这段时间有空又去研究了一下springsecurity,毕竟他是spring全家桶中的一员,我们用springboot开发项目自然springsecurity能够提供更好地集成。 环境搭建 1.新建springboot项目,maven导入springsecurity的包 <dependency> <group...
(七)Spring Security基于ajax登录
惜阳
07-18 2946
目录一:修改form 表单二:创建一个登录接口三:自定义认证入口点(AuthenticationEntryPoint)四:最终配置五:项目地址 spring security 最简单的登录莫过于form表单登录,但是要做到极致的交互式体验,还是需要用到ajax登录 首先我们借助于(五)Spring Security基于数据库的权限授权的登录页面 一:修改form 表单 原表单:<for...
理解Spring Web Security实现Ajax登录
wudengyu的博客
10-05 856
前面写了一篇《网页登录以及单点登录的一些概念》,提到了token和登录用户的相关信息,说token是保存在cookies里,而登录用户的信息是保存在Session里,应该说,如果登录、身份验证、权限验证等这些功能都自己实现的话,大多数人都是这么存放的,原因应该是Servlet提供的接口也就是这些。在说Spring Web Security之前,先看看假如按前面那种思路,继续把登录、身份验证等功能继
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
主要介绍了SpringBoot+SpringSecurity处理Ajax登录请求问题,本文给大家介绍的非常不错,具有参考借鉴价值,需要的朋友可以参考下
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
AJAX也有安全隐患 谈谈AJAX的安全性(from redant)
北溟居
02-24 1314
 Web开发者不会注意到由 “AJAX(Asynchronous JavaScript And XML)”所带来的激情。不费力气就能创建像Google Suggest那样的智能网站或者像Gmail那样基于Web的应用程序,这在很大程度上要归功于这种技术。然而,伴随着AJAX应用程序的发展,我们发 现了它的一些不足之处,我们发现它的安全漏洞也在逐渐变大,就像慢慢地把基于AJAX的站点放入了一颗定时炸
spring security + ajax 登录 搭建与问题
weixin_44771582的博客
12-13 1172
这里写自定义目录标题spring security部分编写登录成功和失败处理器前端ajax代码疑问后续 spring security部分 编写登录成功和失败处理器 登录失败处理器 @Component public class ChatAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServlet
springboot中使用SpringSecurityajax实现前后端的分离以及验证码的实现
二十一克阳光!的博客
07-08 518
基本思路 服务端通过 JSON字符串,告诉前端用户是否登录、认证;前端根据这些提示跳转对应的登录页、认证页。 实现代码 添加依赖: <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security --> <dependency> <groupId>org.springframework.boot</gr
springsecurity配置csrfajax发送post请求访问
qq_51961167的博客
04-24 1670
springsecurity配置csrfajax发送post请求访问
SpringBoot+SpringSecurity处理Ajax登录请求
wuxiaopengnihao1的博客
08-15 420
后面的passwordEncoder是可选项,可写可不写,因为我是将用户的明文密码生成了MD5消息摘要后存入数据库的,因此在登录时也需要对明文密码进行处理,所以就加上了passwordEncoder,加上passwordEncoder后,直接new一个PasswordEncoder匿名内部类即可,这里有两个方法要实现,看名字就知道方法的含义,第一个方法encode显然是对明文进行加密,这里我使用了MD5消息摘要,具体的实现方法是由commons-codec依赖提供的;...
spring security + ajax登录:自定义登录验证异常,编写登录失败处理器获取错误消息,源码分析
weixin_44771582的博客
12-14 1998
自定义spring security登录验证异常,编写登录失败处理器 1. 发现spring security异常 当我在登录页面输入了错误的账号时,idea的控制台报出以下异常信息: org.springframework.security.authentication.InternalAuthenticationServiceException: UserDetailsService returned null, which is an interface contract violation at
springsecurityCSRF怎么使用
05-13
Spring Security提供了防止跨站点请求伪造(CSRF)攻击的机制。在Spring Security使用CSRF可以通过以下步骤实现: 1. 在HTML表单中添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在HTML表单中添加CSRF令牌 在表单中添加CSRF令牌可以防止攻击者向服务器发送伪造的请求。可以使用Spring Security的标签库来添加CSRF令牌。以下是一个示例: ```html <form method="post" action="/process-form"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <!-- 其他表单元素 --> <button type="submit">Submit</button> </form> ``` 在这个例子中,我们使用了隐藏的输入字段来存储CSRF令牌,并使用Spring Security的EL表达式来生成令牌名称和值。 2. 配置Spring Security以启用CSRF保护 要启用Spring SecurityCSRF保护,需要配置一个CsrfTokenRepository。以下是一个示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } } ``` 在这个例子中,我们使用了CookieCsrfTokenRepository作为CsrfTokenRepository。这个仓库将生成一个CSRF令牌,并将其存储在一个cookie中,这个cookie会在每个请求中发送回服务器。 3. 配置CSRF令牌在表单提交时如何发送到服务器 当表单被提交时,需要将CSRF令牌发送回服务器。可以使用以下代码片段来从页面中的隐藏字段中提取CSRF令牌,并在表单提交时将其发送回服务器: ```javascript $(function () { var csrfToken = $("meta[name='_csrf']").attr("content"); var csrfHeader = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(csrfHeader, csrfToken); }); }); ``` 在这个例子中,我们使用了jQuery来提取页面中的CSRF令牌,并将其作为请求头发送回服务器。 以上是一个基本的Spring Security使用CSRF的示例。如果需要更高级的配置,可以参考Spring Security的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值