Spring boot + Spring Security + Thymeleaf 认证失败返回错误信息

Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息

Spring boot以其众多友谊的特性，如零配置、微服务等，吸引了很多的粉丝。而其与Spring Security安全框架的无缝结合，使其具备的安全的特性。在此基础上使用Thymeleaf模板引擎进行渲染，静动态结合，让页面开发更加简单、直观。

通过表单提交登录的用户名和密码是登录接口比较常见的一种设计。在初学的过程中，我也不例外的采用个这种方式。表单设计见下图。

 

登录成功，完成正常的主页面跳转，这个不存在问题。存在问题的是，登录失败了该咋办呢？我就在考虑，由于thymeleaf的局部刷新操作，登录失败了将登录失败的异常信息显示在登录页面，也就是表单上。于是，我的登录设计又变成了如下图所示的表单。

        

         通过这种方法，当登录表单验证失败时，会该用户显示”用户名或密码错误，请重试”，这当然是比较好的，但是验证失败的情况不仅仅是用户名或密码错误吧，应该还有其它的情形，比较常见的就有，该用户已被锁定，该用户不存在，请先注册等。

那么该如何区分这么情形呢，怎么把登录表单验证失败的比较详细的状况显示给用户呢。经过一段时间的调研，发现Spring boot提供了比较完美的解决方案，而其秘密就在Spring Security的配置中。我项目中的Spring Security配置如下图所示。

 

而我在阅读Spring Security源码时，当认证失败时，找寻到以下处理的代码

而重点就在saveException函数，而此函数的具体代码如下：

从这段代码中，我们可以清晰的看到，认证失败的异常信息被保存在Session中，如果我们可以读取Session中的信息那么，之前所遇到的问题就迎刃而解了吧。

事实上，事物的发展从来不是一帆风顺的，解决问题也是类似。我了解到Thymeleaf提供了读取缓存Session的方案，就迫不及待的进行尝试，于是乎，我的登录表单又变成了如下模样，红线指出的是Thymleaf缓存的读取方式。

 

这样就可以显示验证失败的具体信息了吗？经过我的测试，我发现，此信息是未定义。也就是说，模样读取到缓存中的信息。

通过在网上查找资料，我在浩瀚的百度的犄角旮旯里，查找到以下的代码片段。

         我如获至宝，仿佛见到了光明。在配置文件配置的时代，可以设置登录失败的跳转页面为”/login.html?error=true”,而我设置的是“/login?error”，那么是否可以设置为类似的true呢？我迫不及待的进行尝试。于是乎，我Spring Security的Java Config又变成了如下的样子。

经过验证，通过这样设置，完美的解决了我遇到的问题，到现在，我仍没有明白设置true的含义，望知道的读者可以告诉小编。

小编来总结哈，在Spring boot +Spring Security + Thymeleaf框架下，通过用户名/密码表单提交，在登录界面获取异常信息的步骤，主要有以下两点：

其一：将登录失败的url设置为”/login?error=true”(即后缀带?error=true),使前端的thymleaf可以读取Session；

其二：Thymeleaf提供的读取缓存中信息的方法${session.SPRING_SECURITY_LAST_EXCEPTION.message}，两者缺一不可。