security 登陆成功 访问 403_spring security自定义处理登陆

最新推荐文章于 2024-08-13 08:00:22 发布
最新推荐文章于 2024-08-13 08:00:22 发布
阅读量791 收藏
点赞数
文章标签: security 登陆成功 访问 403
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42624889/article/details/113316869
版权

spring security

自定义处理登陆

pom

 <dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
 </dependency>
 <dependency>
     <groupId>com.alibaba</groupId>
     <artifactId>fastjson</artifactId>
     <version>1.2.68</version>
 </dependency>

项目结构

3b2fbef625f95f54e73c73f92836e41a.png

配置类

 /**
  * @author spp
  * @date 2020-06-11 14:17
  **/
 @EnableWebSecurity
 public class SecurityConfig extends WebSecurityConfigurerAdapter {
     final
     AuthUserDetailsServiceImpl userDetails;
     final
     AuthSuccessHandler authSuccessHandler;
     final
     AuthFailHandler authFailHandler;
 ​
     public SecurityConfig(AuthSuccessHandler authSuccessHandler, AuthFailHandler authFailHandler, AuthUserDetailsServiceImpl userDetails) {
         this.authSuccessHandler = authSuccessHandler;
         this.authFailHandler = authFailHandler;
         this.userDetails = userDetails;
     }
 ​
     @Override
     public void configure(WebSecurity web) throws Exception {
         //忽略请求,不经过security过滤器链
         web.ignoring().mvcMatchers(HttpMethod.GET,"/**");
     }
 ​
     /**
      * 从容器中取出 AuthenticationManagerBuilder,执行方法里面的逻辑之后,放回容器
      * @param authenticationManagerBuilder x
      * @throws Exception
      */
     @Autowired
     public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
         authenticationManagerBuilder.userDetailsService(userDetails).passwordEncoder(new BCryptPasswordEncoder());
     }
 ​
     @Override
     public void configure(HttpSecurity http) throws Exception {
         //解决跨域问题。cors 预检请求放行,让Spring security 放行所有preflight request(cors 预检请求)
         http.authorizeRequests().requestMatchers(CorsUtils::isPreFlightRequest).permitAll();
         //让Security永远不会创建HttpSession,它不会使用HttpSession来获取SecurityContext
         http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                 .and().headers().cacheControl();
 ​
         http.authorizeRequests()
                 .antMatchers("/admin/**")
                 .hasAuthority("root")
                 .antMatchers("/").permitAll();
 ​
         //登陆
         http.addFilterAt(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
         //处理异常情况:认证失败和权限不足
         http.exceptionHandling().authenticationEntryPoint((request, response, authException) -> {
             response.getWriter().println("认证失败");
         }).accessDeniedHandler((request, response, accessDeniedException) -> {
             response.getWriter().println("你的权限不足以访问该资源");
         });
     }
 ​
     /**
      * 登陆拦截器
      * @return
      * @throws Exception
      */
     @Bean
     public UsernamePassAuthFilter myUsernamePasswordAuthenticationFilter() throws Exception {
         UsernamePassAuthFilter filter = new UsernamePassAuthFilter();
         //成功后处理
         filter.setAuthenticationSuccessHandler(authSuccessHandler);
         //失败后处理
         filter.setAuthenticationFailureHandler(authFailHandler);
         filter.setAuthenticationManager(authenticationManagerBean());
         return filter;
     }
 ​
 }

自定义的登陆过滤器,继承UsernamePasswordAuthenticationFilter

 /**
  * @author spp
  * @date 2020-06-09 15:34
  * 自定义登陆
  **/
 ​
 public class UsernamePassAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
 ​
     @Autowired
     UserService service;
     public static final String APPLICATION_JSON = "application/json";
     public static final String APPLICATION_JSON_UTF8 = "application/json;charset=UTF-8";
     @Override
     public Authentication attemptAuthentication(HttpServletRequest request,
                                                 HttpServletResponse response) throws AuthenticationException {
         String contentType = request.getContentType();
 ​
         if (contentType == null){
             throw new AuthException("内容类型不符");
         }
         if ( APPLICATION_JSON.equals(contentType) || APPLICATION_JSON_UTF8.equals(contentType)) {
             UsernamePasswordAuthenticationToken authRequest;
             User user;
             try (InputStream is = request.getInputStream()) {
                 int len;
                 byte[] b = new byte[2048];
                 StringBuilder sb = new StringBuilder();
                 while ((len = is.read(b)) != -1){
                     sb.append(new String(b,0,len));
                 }
                 user = JSON.parseObject(sb.toString(),User.class);
             } catch (IOException e) {
                 //将异常放到自定义的异常类中
                 throw new AuthException(e.getMessage());
             }catch (JSONException j){
                 throw new AuthException("参数映射错误"+j.getMessage());
             }
             try {
                 if (user != null) {
                     //获得账号、密码
                     logger.info(user);
                     //登陆逻辑
                     if ("admin".equals(user.getUsername()) && "123456".equals(user.getPassword())){
                         authRequest = new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword());
                         setDetails(request, authRequest);
                         return getAuthenticationManager().authenticate(authRequest);
                     }else {
                         throw new AuthException("用户名密码不匹配");
                     }
                 }
             } catch (Exception e) {
                 throw new AuthException(e.getMessage());
             }
             return null;
         } else {
             response.setStatus(405);
             throw new AuthException("内容类型不符");
         }
     }
 }

自定义登陆成功处理类,实现AuthenticationSuccessHandler接口

 /**
  * @author spp
  * @date 2020-06-11 14:28
  **/
 @Slf4j
 @Component
 public class AuthSuccessHandler implements AuthenticationSuccessHandler {
     @Override
     public void onAuthenticationSuccess(HttpServletRequest request,
                                         HttpServletResponse response,
                                         Authentication authentication) throws IOException {
         //取得账号信息
         UserDetails userDetails = (UserDetails) authentication.getPrincipal();
         log.info(userDetails + "--->>登陆成功");
         response.getWriter().println("success");
     }
 }
 ​

自定义登陆失败处理类,实现AuthenticationFailureHandler接口

 /**
  * @author spp
  * @date 2020-06-09 16:50
  **/
 @Component
 @Slf4j
 public class AuthFailHandler implements AuthenticationFailureHandler {
     @Override
     public void onAuthenticationFailure(HttpServletRequest request,
                                         HttpServletResponse response,
                                         AuthenticationException e) throws IOException {
         log.info("登陆失败--->>>>");
         //输出
         JSONUtil.WriteJSON(request, response,"登陆失败:"+e.getMessage());
     }
 }

登陆成功后给其添加权限或者身份

实体类需要实现UserDetails接口

 /**
  * @author spp
  * @date 2020-06-09 15:54
  **/
 @Data
 @AllArgsConstructor
 @NoArgsConstructor
 public class AuthUser implements UserDetails {
     private String username;
 ​
     private String password;
 ​
     private Integer state;
 ​
     public AuthUser(String username, String password, Integer state, Collection<? extends GrantedAuthority> authorities) {
         this.username = username;
         this.password = password;
         this.state = state;
         this.authorities = authorities;
     }
 ​
     private Boolean rememberMe;
 ​
     private Collection<? extends GrantedAuthority> authorities;
 ​
     //账号是否未过期
     @Override
     public boolean isAccountNonExpired() {
         return true;
     }
 ​
     //是否未锁定
     @Override
     public boolean isAccountNonLocked() {
         return true;
     }
 ​
     //凭据是否未过期
     @Override
     public boolean isCredentialsNonExpired() {
         return true;
     }
 ​
     //是否启用
     @Override
     public boolean isEnabled() {
         return true;
     }
 }

添加权限类,需要实现UserDetailsService接口

 /**
  * @author spp
  * @date 2020-06-11 14:34
  * 登陆成功后添加权限或者身份
  **/
 @Component
 public class AuthUserDetailsServiceImpl implements UserDetailsService {
 ​
     @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         return new AuthUser(username,new BCryptPasswordEncoder().encode("123456"),null);
     }
 }

测试

2c1f17b3df146b1946a41fe6da1c7cd3.png

ac0ad398cb03351b1c22188aeed428e3.png
fire life
关注
第三章:springboot-springsecurity登录成功与失败的处理
qq_26278133的博客
03-31 716
springsecurity认证通过的用户进行的成功失败处理,并返回前后端分离数据
Spring security 入门 - 03 自定义登录成功后的处理逻辑
nimo10050的博客
02-01 2199
Spring security 系列博客目录 Spring Security 01- 将 Spring security 引入到工程 Spring security 02-自定义用户登录页面和登录处理逻辑 Spring security 03-自定义登录成功后的处理逻辑 Spring security 04-整合 jwt 对应源代码 Spring Security 01- 将 Spring ...
Spring Security自定义登录成功处理
Leon_Jinhai_Sun的博客
05-05 892
有时候页面跳转并不能满足我们,特别是在前后端分离开发中就不需要成功之后跳转页面。只需要给前端返回一个 JSON 通知登录成功还是失败与否。这个时候可以通过自定义 AuthenticationSucccessHandler 实现 public interface AuthenticationSuccessHandler { /** * Called when a user has been successfully authenticated. * @param request the req
springboot security安全管理报错403
最新发布
weixin_74009895的博客
08-13 561
springboot security安全管理报错403
SpringSecurity自定义登录成功处理
weixin_46278059的博客
12-11 912
SpringSecurity自定义登录成功处理
4.SpringSecurity自定义登录成功处理、显示登录失败信息、自定义登录失败处理、注销登录配置、前后端分离注销登录配置
一个双子座的Java攻城狮
12-07 2474
Spring security自定义登录成功处理、失败处理
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 的核心设计理念是“最小权限原则”,即用户只能访问他们被明确允许访问的资源。 在Spring Security 4.x版本中,对XSS(跨站脚本)攻击的防护得到了强化。XSS是一种常见的网络安全漏洞,攻击者通过...
SpringSecurity自定义成功失败处理器的示例代码
09-07
通过以上步骤,我们就完成了Spring Security自定义登录成功处理器的配置。在`onAuthenticationSuccess`方法中,你可以添加任何需要的业务逻辑,如记录日志、发送通知、更新用户状态等。同样,你也可以自定义登录失败...
Spring Security--自定义403处理方案
我和井盖都笑了博客
04-05 3199
    自定义 403 处理方案       使用 Spring Security 时经常会看见 403(无权限),默认情况下显示的效果如下:       而在实际项目中可能都是一个异步请求,显示上述效果对于用户 就不是特别友好了。Spring Se...
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
此外,笔记中可能还涉及了Spring Security与OAuth2.0结合时的常见问题和最佳实践,例如如何处理刷新令牌以延长访问权限,如何实现单点登录(SSO),以及如何利用JWT(JSON Web Tokens)来提高性能和安全性。...
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
SpringSecurity登录后自定义成功和失败处理器(源码级讲解)
业精于勤,荒于嬉
07-05 1399
文章转载自https://www.jianshu.com/p/5b660b32d96d 一、简单叙述 上一节【SpringSecurity登陆原理(源码级讲解)】已经讲过了完整的登录流程,所以此处不再重复讲解,只是接着上一节继续讲解。登陆完后会给我们返回信息,这没毛病,但是问题来了,他跳转了页面,假设我们不想跳转页面,只想返回固定格式的JSON呢?这就需要我们自定义成功处理器了。失败的情况...
SpringSecurity(四)表单配置-登录成功及页面跳转原理
陈橙橙
03-11 5440
登录表单配置 在上一篇文章中,我们介绍了,基本认证以及默认用户名和密码以及页面SpringSecurity是怎样帮我们生成的,这里我们就来看一下登录表单的详细配置。 项目准备 导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId&gt
SpringSecurity成功、失败和异常处理
oPeiJie1的博客
02-09 3027
SpringSecurity成功、失败和异常处理
Spring Security登录接口总报403异常问题
qq_53324833的博客
06-01 1256
就是如果是新系统的话,一定要把旧SQL文件中的被加密的部分进行重新加密存储,反正我是这么解决的。
集成SpringSecurity默认登录效果并解决Forbidden 403问题
努力分享一些干货内容,纯干货,没有一点水
03-10 1301
集成SpringSecurity默认登录,项目里面任何的请求都会先通过security访问系统的接口。
Spring Security3实现自定义用户名、密码
weixin_34356555的博客
06-23 157
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 自定义登陆页面报HTTP Status 403 - Invalid CSRF Token 'null' was found on the request paramet
jxchallenger的专栏
02-28 8445
在表单中添加隐藏域 Spring Security默认启用CSRF 防御 官方原文: When should you use CSRF protection? Our recommendation is to use CSRF protection for any request that could be processed by a browser by
spring security返回403 forbidden的踩坑日记
qq_63815371的博客
12-25 1507
我后面改成permitAll()就好了,表示:有没有认证都能访问:登录或未登录都能访问。anonymous()是匿名用户可访问,认证用户不能访问!
Spring Security 3 自定义数据库权限管理实战
此外,Spring Security还具有Web安全和方法安全两大部分,分别通过Servlet Filter和AOP(面向切面编程)实现,同时提供了表达式语言来定义访问规则。 配置Spring Security通常涉及以下几个步骤: 1. 在`web.xml`中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值