spring security ajax登录及返回

最新推荐文章于 2024-05-28 21:47:35 发布
最新推荐文章于 2024-05-28 21:47:35 发布
阅读量487 收藏 3
点赞数
文章标签: java 后端 前端 ViewUI
原文链接:https://segmentfault.com/a/1190000012140889
版权

本文讲述一下如何自定义spring security的登录页,网上给的资料大多过时,而且是基于后端模板技术的,讲的不是太清晰,本文给出一个采用ajax的登录及返回的前后端分离方式。

ajax返回

总共需要处理3个地方,一个是异常的处理,需要兼容ajax请求,一个是成功返回的处理,一个是失败返回的处理。

ajax的异常处理

public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        if(isAjaxRequest(request)){
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED,authException.getMessage());
        }else{
            response.sendRedirect("/login.html");
        }

    }

    public static boolean isAjaxRequest(HttpServletRequest request) {
        String ajaxFlag = request.getHeader("X-Requested-With");
        return ajaxFlag != null && "XMLHttpRequest".equals(ajaxFlag);
    }
}

这里我们自定义成功及失败的ajax返回,当然这里我们简单处理,只返回statusCode

AjaxAuthSuccessHandler

public class AjaxAuthSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_OK);
    }
}

AjaxAuthFailHandler

public class AjaxAuthFailHandler extends SimpleUrlAuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Authentication failed");
    }
}

security配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .exceptionHandling().authenticationEntryPoint(new UnauthorizedEntryPoint())
                .and()
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/login","/css/**", "/js/**","/fonts/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/login")
                .usernameParameter("name")
                .passwordParameter("password")
                .successHandler(new AjaxAuthSuccessHandler())
                .failureHandler(new AjaxAuthFailHandler())
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout")
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("admin").password("admin").roles("USER");
    }
}

这里有几个要注意的点:

  • permitAll

这里要添加前端资源路径,以及登陆表单请求的接口地址/login

  • loginPage

这里设置登录页面的地址,这里我们用静态页面,即static目录下的login.html

  • ajax配置

将authenticationEntryPoint,successHandler,failureHandler设置为上面自定义的ajax处理类

登录页面

就是一个纯粹的html页面,其中登录按钮的ajax请求如下:

$.ajax({
            url: '/login',
            type: 'POST',
            data: "name="+name+"&password="+password,
            success: function (res, status) {
                window.location.href='/ok.html'
            },
            error: function (res, status) {
                dangerDialog(res.statusText);
            }
        });

这里是请求/login,也就是spring security会默认拦截的路径,不了解spring security的人可能会纳闷,我请求这个路径,但是工程里头没有定义/login的request mapping,不要紧么。下面来剖析一下。

spring security内置的各种filter:

AliasFilter ClassNamespace Element or Attribute
CHANNEL_FILTERChannelProcessingFilterhttp/intercept-url@requires-channel
SECURITY_CONTEXT_FILTERSecurityContextPersistenceFilterhttp
CONCURRENT_SESSION_FILTERConcurrentSessionFiltersession-management/concurrency-control
HEADERS_FILTERHeaderWriterFilterhttp/headers
CSRF_FILTERCsrfFilterhttp/csrf
LOGOUT_FILTERLogoutFilterhttp/logout
X509_FILTERX509AuthenticationFilterhttp/x509
PRE_AUTH_FILTERAbstractPreAuthenticatedProcessingFilter SubclassesN/A
CAS_FILTERCasAuthenticationFilterN/A
FORM_LOGIN_FILTERUsernamePasswordAuthenticationFilterhttp/form-login
BASIC_AUTH_FILTERBasicAuthenticationFilterhttp/http-basic
SERVLET_API_SUPPORT_FILTERSecurityContextHolderAwareRequestFilterhttp/@servlet-api-provision
JAAS_API_SUPPORT_FILTERJaasApiIntegrationFilterhttp/@jaas-api-provision
REMEMBER_ME_FILTERRememberMeAuthenticationFilterhttp/remember-me
ANONYMOUS_FILTERAnonymousAuthenticationFilterhttp/anonymous
SESSION_MANAGEMENT_FILTERSessionManagementFiltersession-management
EXCEPTION_TRANSLATION_FILTERExceptionTranslationFilterhttp
FILTER_SECURITY_INTERCEPTORFilterSecurityInterceptorhttp
SWITCH_USER_FILTERSwitchUserFilterN/A

这里我们要关注的就是这个UsernamePasswordAuthenticationFilter,顾名思义,它是filter,在执行/login请求的时候拦截,因而是不需要工程里头去定义login的request mapping的。

UsernamePasswordAuthenticationFilter

spring-security-web-4.2.3.RELEASE-sources.jar!/org/springframework/security/web/authentication/UsernamePasswordAuthenticationFilter.java

public class UsernamePasswordAuthenticationFilter extends
        AbstractAuthenticationProcessingFilter {

public Authentication attemptAuthentication(HttpServletRequest request,
            HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        String username = obtainUsername(request);
        String password = obtainPassword(request);

        if (username == null) {
            username = "";
        }

        if (password == null) {
            password = "";
        }

        username = username.trim();

        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);

        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }
    //......
}

这里就是拦截,获取login.html提交的参数,然后交给authenticationManager去认证。之后就是走后续的filter,如果成功,则会进行相应的session配置。

doc

weixin_34032621
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
主要介绍了SpringBoot+SpringSecurity处理Ajax登录请求问题,本文给大家介绍的非常不错,具有参考借鉴价值,需要的朋友可以参考下
springsecurity ajax登录
桀骜浮沉的博客
03-04 630
springsecurity ajax登录 登录页面 <!DOCTYPE html> <html lang="en" > <script src="webjars/jquery/3.5.1/jquery.min.js"></script> <head> <meta charset="UTF-8"> <title>登录</title> </head> <body> <
SpringBoot整合SpringSecurit(一)实现ajax登录、退出、权限校验
最新发布
我是混IT圈的
05-28 724
1、本文章中SpringBoot整合SpringSecurity,只是基于session方式,并且没有使用到redis。2、登录、登出都是通过ajax的方式进行。
spring-security 3.0.X, 让ajax login和普通login共存
jmppok的专栏
03-31 1538
转自: http://my.oschina.net/jilujia/blog/66795 使用spring security时遇到一个问题,有大量的ajax post是需要登录控制的,但是默认的spring-security机制导致post结果返回的是登录页。 现在要解决几个问题: 1,ajax post如果需要登录的话,返回需要登录的json消息,前端可以继续处理 2,新建一
Spring Security AJAX登录
dean123363的专栏
09-06 215
[b]Spring Security版本:2.0.5[/b] 重写org.springframework.security.ui.webapp.AuthenticationProcessingFilter: [code="java"] package com.cay.core.web; import java.io.IOException; import java.util.Ha...
(七)Spring Security基于ajax登录
惜阳
07-18 2986
目录一:修改form 表单二:创建一个登录接口三:自定义认证入口点(AuthenticationEntryPoint)四:最终配置五:项目地址 spring security 最简单的登录莫过于form表单登录,但是要到极致的交互式体验,还是需要用到ajax登录 首先我们借助于(五)Spring Security基于数据库的权限授权的登录页面 一:修改form 表单 原表单:<for...
Spring Security基于json登录实现过程详解
10-14
主要介绍了Spring Security基于json登录实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Ajax登陆使用Spring Security缓存跳转到登陆前的链接
10-17
主要介绍了Ajax登陆使用Spring Security缓存跳转到登陆前的链接,需要的朋友可以参考下
spring security ajax请求与html共存
03-23
Ajax请求被拒绝时,Spring Security默认会重定向到一个错误页面,但这对Ajax请求并不适用。因此,我们需要提供一个错误处理器,将错误信息作为JSON或其他适合Ajax响应的格式返回。 5. **HTML与Ajax共存** 在...
spring Security Json 数据库登录验证
01-21
在这个主题中,我们将深入探讨如何在Spring Boot应用中使用Spring Security进行JSON数据库登录验证。 首先,`pom.xml`是Maven项目的核心配置文件,这里我们需要引入Spring Security的相关依赖,例如`spring-boot-...
spring security session ajax,spring-boot整合spring-security实现简单登录(ajax登录实现)
weixin_30199703的博客
08-05 277
spring-boot整合spring-security实现简单登录(ajax登录实现)发布时间:2018-10-24 09:46,浏览次数:1399, 标签:springbootsecurityajax个人技术网站 欢迎关注平常再一些项目时,有些项目并不需要复杂的登录权限验证只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring...
理解Spring Web Security实现Ajax登录
wudengyu的博客
10-05 867
前面写了一篇《网页登录以及单点登录的一些概念》,提到了token和登录用户的相关信息,说token是保存在cookies里,而登录用户的信息是保存在Session里,应该说,如果登录、身份验证、权限验证等这些功能都自己实现的话,大多数人都是这么存放的,原因应该是Servlet提供的接口也就是这些。在说Spring Web Security之前,先看看假如按前面那种思路,继续把登录、身份验证等功能继
spring-boot整合spring-security实现简单登录(ajax登录实现)
热门推荐
会飞的老王博客
10-24 1万+
个人技术网站 欢迎关注 平常再一些项目时,有些项目并不需要复杂的登录权限验证 只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring-boot下配置简单 便捷 快速 能满足基本的登录权限控制需求。 第一步:引入spring-security maven依赖 &lt;!-- 整合spring security --&gt; &...
SpringBoot+SpringSecurity处理Ajax登录请求
wuxiaopengnihao1的博客
08-15 430
后面的passwordEncoder是可选项,可写可不写,因为我是将用户的明文密码生成了MD5消息摘要后存入数据库的,因此在登录时也需要对明文密码进行处理,所以就加上了passwordEncoder,加上passwordEncoder后,直接new一个PasswordEncoder匿名内部类即可,这里有两个方法要实现,看名字就知道方法的含义,第一个方法encode显然是对明文进行加密,这里我使用了MD5消息摘要,具体的实现方法是由commons-codec依赖提供的;...
spring boot + spring security + ajax 实现登录退出session管理
记录代码生活
04-05 482
文章目录登录验证--> 权限管理-->session 设置Maven导入jar包数据库设计创建实体类Mapper文件(部分代码省去,只有sql语句)UserService 准备登录,权限验证配置session过期时间测试(ajax) 登录验证–> 权限管理–>session 设置 Maven导入jar包 <dependency> ...
基于Spring SecurityAJAX请求需要登录的解决方案
Littleree的博客
05-16 168
基于Spring SecurityAJAX请求需要登录的解决方案
spring security + ajax 登录 搭建与问题
weixin_44771582的博客
12-13 1195
这里写自定义目录标题spring security部分编写登录成功和失败处理器前端ajax代码疑问后续 spring security部分 编写登录成功和失败处理器 登录失败处理器 @Component public class ChatAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServlet
spring securityajax登录,用countroller控制返回json数据
小生范
07-09 215
spring securityajax登录 这一篇文章便不是具体的教程,只会说我这个登录涉及到的相关东西。 WebSecurityConfigurerAdapter的实现类: 值得注意的是,userService应该是实现了UserDetailsService接口。setHideUserNotFoundExceptions(true)这个设置为true的话,可以返回UserNotFoundException,从而可以区分是用户名还是密码有问题。 值得注意的是,failureForwardUrl和fail
ajax发送springSecurity登录请求一直被返回登录页面
03-02
关于您提到的问题,可能是由于您的ajax请求没有经过身份验证或者认证失败导致的。您可以检查一下ajax请求请求头信息,是否携带了合适的认证信息,以及检查一下后端的安全配置是否正确。另外,您可以尝试使用浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值