springsecurity 登录失败_145-Spring Security

1. 自定义登录逻辑

当 进 行 自 定 义 登 录 逻 辑 时 需 要 用 到 之 前 讲 解 的 UserDetailsService和 PasswordEncoder。但是 Spring Security 要求：当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象。

①编写配置类

@Configuration

public class SecurityConfig {

@Bean

public PasswordEncoder getPwdEncoder(){

return new BCryptPasswordEncoder();

}

}

②自定义逻辑

在 Spring Security 中实现 UserDetailService 就表示为用户详情服务。在这个类中编写用户认证逻辑

@Service
public class UserDetailServiceImpl implements UserDetailsService {
@Autowired
private PasswordEncoder encoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//查询数据库判断用户名是否存在，如果不存在抛出UsernameNotFoundException
if(!username.equals("admin")){
throw new UsernameNotFoundException("用户名不存在");
}
//把查询出来的密码进行解析，或者直接把password放到构造器中
//理解：password就是数据库中查询出来的密码，查询出来的内容不是123
String password = encoder.encode("123");
return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
}
}

③查看效果

重启项目后，在浏览器中输入账号：admin，密码：123。后可以正确进入到 login.html 页面。

2. 自定义登录页面

虽然 Spring Security 给我们提供了登录页面，但是对于实际项目中，大多喜欢使用自己的登录页面。所以 Spring Security 中不仅仅提供了登录页面，还支持用户自定义登录页面。实现过程也比较简单，只需要修改配置类即可。

①编写登录页面

编写登录页面，登录页面中<form>的 action 不编写对应控制器也可以。

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login" method="post">
姓名:<input type="text" name="username"/><br/>
密码:<input type="password" name="password"/><br/>
记住我:<input type="checkbox" name="remember-me" value="true"/>
<input type="submit" value="提交"/>
</form>
</body>
</html>

②修改配置类

修改配置类中主要是设置哪个页面是登录页面。配置类需要继承

WebSecurityConfigurerAdapte,并重写 configure 方法。

successForwardUrl()登录成功后跳转地址

loginPage() 登录页面

loginProcessingUrl 登录页面表单提交地址，此地址可以不真实存在。

antMatchers():匹配内容

permitAll():允许

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
//自定义表单登陆的相关配置
http.formLogin()
.loginPage("/login.html")//自定义登录页面
.loginProcessingUrl("/login")//当发现/login（与登录页面的methed相同）时认为是登录，需要执行UserDetailServiceImpl
.successForwardUrl("/login")；//当登录成功之后需要拦截/login（与controller中需要执行的方法的@RequestMapping相同），此处是post请求，
//url拦截
http.authorizeRequests()
//顺序不能错误，先设置放行，再进行拦截
.antMatchers("/login.html").permitAll()//login.html不需要被认证
.anyRequest().authenticated();//所有请求都必须被认证，登录后才能访问
//关闭csrf防护
http.csrf().disable();
@Bean
public PasswordEncoder getPasswordEncoder(){
return new BCryptPasswordEncoder();
}
}

③编写控制器

@Controller
public class LoginController {
@RequestMapping("/login")
public String login(){
System.out.println("login方法");
return "redirect:main.html";
}

}

3. 失败跳转

①编写页面（在 src/main/resources/static 下新建 fail.html 并编写如下内容 ）

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登陆失败</title>
</head>
<body>
登陆失败，请重新登录<a href="/login.html">跳转</a>
</body>
</html>

②修改表单配置

在配置方法中表单认证部分添加 failureForwardUrl()方法，表示登 录失败跳转的 url。此处依然是 POST 请求，所以跳转到可以接收 POST 请求的控制器/fail 中。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
//自定义表单登陆的相关配置
http.formLogin()
.loginPage("/login.html")//自定义登录页面
.loginProcessingUrl("/login")//当发现/login（与登录页面的methed相同）时认为是登录，需要执行UserDetailServiceImpl
.successForwardUrl("/login")；//当登录成功之后需要拦截/login（与controller中需要执行的方法的@RequestMapping相同），此处是post请求，
.failureForwardUrl("/fail");//当登录失败之后需要拦截/fail（与controller中需要执行的方法的@RequestMapping相同），此处是post请求，
//url拦截
http.authorizeRequests()
//顺序不能错误，先设置放行，再进行拦截
.antMatchers("/login.html").permitAll()//login.html不需要被认证
.anyRequest().authenticated();//所有请求都必须被认证，登录后才能访问
//关闭csrf防护
http.csrf().disable();
@Bean
public PasswordEncoder getPasswordEncoder(){
return new BCryptPasswordEncoder();
}
}

③添加控制器方法

在控制器类中添加控制器方法，方法映射路径/fail。此处要注意：由于是 POST 请求访问/fail。所以如果返回值直接转发到 fail.html 中，即使有效果，控制台也会报警告，提示 fail.html 不支持 POST 访问方式。

@RequestMapping("/fail")
public String faillogin(){
System.out.println("faillogin方法");
return "redirect:fail.html";
}

④设置 fail.html 不需要认证

认证失败跳转到 fail.html 页面中，所以必须配置 fail.html 不需要被认证。需要修改配置类中内容

//url拦截
http.authorizeRequests()
//顺序不能错误，先设置放行，再进行拦截
.antMatchers("/login.html").permitAll()//login.html不需要被认证
.antMatchers("/fail.html").permitAll()//fail.html不需要被认证

.anyRequest().authenticated();//所有请求都必须被认证，登录后才能访问

4. 设置请求账户和密码的参数名

//自定义表单登陆的相关配置
http.formLogin()
.usernameParameter("name")//设定登录名参数，与登录页面一致
.passwordParameter("pwd")//设定密码参数，与登录页面一致
.loginPage("/login.html")//自定义登录页面

.loginProcessingUrl("/login")//当发现/login（与登录页面的methed相同）时认为是登录，需要执行UserDetailServiceImpl
.successForwardUrl("/login")；//当登录成功之后需要拦截/login（与controller中需要执行的方法的@RequestMapping相同），此处是post请求，
.failureForwardUrl("/fail");//当登录失败之后需要拦截/fail（与controller中需要执行的方法的@RequestMapping相同），此处是post请求，

修改页面

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login" method="post">
姓名:<input type="text" name="name"/><br/>
密码:<input type="password" name="pwd"/><br/>
记住我:<input type="checkbox" name="remember-me" value="true"/>
<input type="submit" value="提交"/>
</form>
</body>
</html>

5. 访问控制 url 匹配

http.formLogin() ：认证中所有常用配置

http.authorizeRequests()主要是对 url 进行控制，也就是我们所说的授权（访问控制）

总体公式为：url 匹配规则.权限控制方法

注意：在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权 效果，越是具体的应该放在前面，越是笼统的应该放到后面。

①anyRequest() ：在之前认证过程中我们就已经使用过 anyRequest()，表示匹配所 有的请求。一般情况下此方法都会使用，设置全部内容都需要进行认 证。

anyRequest().authenticated();

②antMatcher()

参数是不定向参数，每个参数是一个 ant 表达式，用于匹配 URL规则。

规则如下：

? 匹配一个字符

* 匹配 0 个或多个字符

** 匹配 0 个或多个目录

在实际项目中经常需要放行所有静态资源，下面演示放行 js 文件夹下所有脚本文件。

.antMatchers("/js/**").permitAll()

还有一种配置方式是只要是.js 文件都放行

antMatchers("/**/*.js").permitAll()

③regexMatchers()

使用正则表达式进行匹配。和 antMatchers()主要的区别就是参 数，antMatchers()参数是ant 表达式，regexMatchers()参数是正则表 达式。

演示所有以.js 结尾的文件都被放行。

.regexMatchers(".+[.]js").permitAll()

无论是 antMatchers()还是 regexMatchers()都具有两个参数的方 法，其中第一个参数都是 HttpMethod，表示请求方式，当设置了 HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置。

枚举类型 HttpMethod 内置属性如下：

④mvcMatchers()

mvcMatchers()适用于配置了 servletPath 的情况。 servletPath 就是所有的 URL 的统一前缀。在 SpringBoot 整合 SpringMVC 的项目中可以在 application.properties 中添加下面内容设 置 ServletPath

spring.mvc.servlet.path= /bjsxt

在 Spring Security 的配置类中配置.servletPath()是 mvcMatchers() 返回值特有的方法，antMatchers()和 regexMatchers()没有这个方法。 在 servletPath()中配置了 servletPath 后，mvcMatchers()直接写 Spring MVC 中@RequestMapping()中设置的路径即可。

.mvcMatchers("demo").servletPath("/bjsxt").permitAll()

如果不习惯使用 mvcMatchers()也可以使用 antMatchers()，下面 代码和上面代码是等效的

.antMatchers("/bjsxt/demo").permitAll()

6. 内置访问控制方法介绍

Spring Security 匹配了 URL 后调用了 permitAll()表示不需要认证， 随意访问。在 Spring Security 中提供了多种内置控制。

①permitAll()表示所匹配的 URL 任何人都允许访问。

②authenticated()表示所匹配的 URL 都需要被认证才能访问。

③anonymous()表示可以匿名访问匹配的 URL。和 permitAll()效果类 似，只是设置为 anonymous()的 url 会执行 filter 链中

④denyAll()表示所匹配的 URL 都不允许被访问。

⑤rememberMe() 被“remember me”的用户允许访问

⑥fullyAuthenticated() 如果用户不是被 remember me 的，才可以访问。

7. 角色权限判断

①hasAuthority(String)

判断用户是否具有特定的权限，用户的权限是在自定义登录逻辑 中创建 User 对象时指定的。 下图中 admin 就是用户的权限。admin 严格区分大小写。

在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才 能访问。

.antMatchers("/main1.html").hasAuthority("admin")

②hasAnyAuthority(String ...)

如果用户具备给定权限中某一个，就允许访问。 下面代码中由于大小写和用户的权限不相同，所以用户无权访问 /main1.html

.antMatchers("/main1.html").hasAnyAuthority("admin","123")//拥有该权限才能访问该页面

③hasRole(String)

如果用户具备给定角色就允许访问。否则出现 403。 参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创 建 User 对象时给 User 赋予的授权。 在给用户赋予角色时角色需要以：ROLE_ 开头，后面添加角色名 称。例如：ROLE_abc 其中 abc 是角色名，ROLE_是固定的字符开头。 使用 hasRole()时参数也只写 abc 即可。否则启动报错。

给用户赋予角色：

在配置类中直接写 abc 即可。

.antMatchers("/main1.html").hasRole("abc")//拥有该角色才能访问该页面

④hasAnyRole(String ...) 如果用户具备给定角色的任意一个，就允许被访问

.antMatchers("/main1.html").hasAnyRole("123","1")//拥有该角色才能访问该页面

⑤hasIpAddress(String)

如果请求是指定的 IP 就运行访问。可以通过 request.getRemoteAddr()获取 ip 地址。

需要注意的是在本机进行测试时 localhost 和 127.0.0.1 输出的 ip 地址是不一样的。

当浏览器中通过 localhost 进行访问时控制台打印的内容：

当浏览器中通过 127.0.0.1 访问时控制台打印的内容：

当浏览器中通过具体 ip 进行访问时控制台打印内容：

.antMatchers("/main1.html").hasIpAddress("127.0.0.1")//只有该ip才能访问该页面