自定义登录页面
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
final String password = passwordEncoder().encode("123");
auth.inMemoryAuthentication()
.withUser("devin")
.password(password)
.authorities("ADMIN");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login/page") //自定义登录页面
.and()
.authorizeRequests().anyRequest().authenticated();
}
}
这里会形成死循环,最后就是重定向次数过多。
对所有的请求都要进行认证,当你请求
/login/page
时,/login/page
自己也要认证,就会又重定向到/login/page
,这样就形成了死循环。
解决办法就是对/login/page
不进行认证就可以访问。
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login/page") //自定义登录页面
.and()
.authorizeRequests()
.antMatchers("/login/page").permitAll() // 放行跳转认证请求
.anyRequest().authenticated();
}
解决上面的问题以后,还是会有问题,关闭跨站请求伪造
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login/page") //自定义登录页面
.and()
.authorizeRequests()
.antMatchers("/login/page").permitAll() // 放行跳转认证请求
.anyRequest().authenticated();
//关闭CSRF(Cross-site request forgery) 跨站请求伪造
http.csrf().disable();
}
关闭跨站请求伪造以后,登录后还是又回到登录页面,调试发现还要设置loginProcessingUrl("/login"),虽然/login
是spring security提供的默认处理认证的路径,但是还是要设置。
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login/page") //自定义登录页面
.loginProcessingUrl("/login") //这个值必须设置,如果不设置就是loginPage指定的地址,org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer.updateAuthenticationDefaults
.and()
.authorizeRequests()
.antMatchers("/login/page").permitAll() // 放行跳转认证请求
.anyRequest().authenticated();
//关闭CSRF(Cross-site request forgery) 跨站请求伪造
http.csrf().disable();
}
<!DOCTYPE html>
<head>
<meta charset="utf-8">
<title>自定义登录页面</title>
</head>
<body>
<!--- /login username password 都是spring security默认提供的,如果想修改,需要在配置中修改 -->
<form action="/login" method="POST">
<input name="username" type="text"><br/>
<input name="password" type="password"><br/>
<button type="submit" >登录</button>
</form>
</body>
</html>
@Slf4j
@Controller
@RequestMapping("/login")
public class LoginController {
@GetMapping("/page")
public String login() {
log.info("/login/page");
//视图解析需要引入spring-boot-starter-thymeleaf
return "login";
}
}
我们还可以自定义username 和password
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login/page") //自定义登录页面
.loginProcessingUrl("/login") //这个值必须设置,如果不设置就是loginPage指定的地址,org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer.updateAuthenticationDefaults
//.usernameParameter("uname")
//.passwordParameter("pwd")
.and()
.authorizeRequests()
.antMatchers("/login/page").permitAll() // 放行跳转认证请求
.anyRequest().authenticated();
//关闭CSRF(Cross-site request forgery) 跨站请求伪造
http.csrf().disable();
}
<!DOCTYPE html>
<head>
<meta charset="utf-8">
<title>自定义登录页面</title>
</head>
<body>
<form action="/login" method="POST">
<!-- action的值要和spring security config中配置的一致 -->
<input name="uname" type="text"><br/>
<!-- action的值要和spring security config中配置的一致 -->
<input name="pwd" type="password"><br/>
<button type="submit" >登录</button>
</form>
</body>
</html>