Spring Security总结之如何让认证失败消息自定义在前端页面显示(一)

最新推荐文章于 2023-09-24 23:47:29 发布
最新推荐文章于 2023-09-24 23:47:29 发布
阅读量9.3k 收藏 6
点赞数 2
分类专栏: springsecurity 文章标签: spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43882359/article/details/89056206
版权

采用springboot+thymeleaf

前端登录页面代码

<form action="/doLogin" method="post">
	用户名:<input type="text" name="username" id="username"/><br/>
	密码:<input type="password" name="password" id="password"/><br/>
	<button id="submit">登录</button>
</form>
<!-- 以下为显示认证失败等提示信息(th:if=""一定要写 ) -->     
<div th:if="${param.error}" th:text="${session?.SPRING_SECURITY_LAST_EXCEPTION?.message}"></div>

spring security配置文件

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	SessionRegistry sessionRegistry;
	
	
	@Bean
	public SessionRegistry sessionRegistry() {
		return new SessionRegistryImpl();
	}
	
	/** session失效处理 */
	@Bean
	public SessionInformationExpiredStrategy expiredSessionStrategy() {
		return new ExpiredSessionStrategy();
	}
	
	/** 获取数据库中信息存到User对象中 */
	@Bean
    public UserDetailsService userService(){ 
        //实现了UserDetailsService接口
        return new UserServiceImpl();
    }
	
	/**security自带加密*/
	@Bean
	PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}
	
	/**自定义MD5加密*/
	@Bean
	PasswordEncoder md5PasswordEncoder() {
		return new MD5PasswordEncoder();
	}
	
	/** 放行静态资源 */
	@Override
    public void configure(WebSecurity web) throws Exception {
        //解决静态资源被拦截的问题
        web.ignoring().antMatchers("/css/**");
        web.ignoring().antMatchers("/js/**");
        web.ignoring().antMatchers("/images/**");
        web.ignoring().antMatchers("/login/**");
        //解决服务注册url被拦截的问题
        web.ignoring().antMatchers("/resources/**");
        
    }
	/** 授权 */
	@Override
    protected void configure(HttpSecurity http) throws Exception {
    	
		//解决非thymeleaf的form表单提交被拦截问题
		http.csrf().disable();
        // 登录
		http.formLogin().loginPage("/login")
		    .loginProcessingUrl("/doLogin")
		    .successForwardUrl("/index")
		    .failureUrl("/login?error=true");  
		//授权
		http
			.authorizeRequests()
                .anyRequest()
                .authenticated()
				.and()
				.formLogin()
                .loginPage("/login").permitAll()
                ;
                
        //session管理
        //session失效后跳转  
        http.sessionManagement().invalidSessionUrl("/login"); 

        //单用户登录,如果有一个登录了,同一个用户在其他地方登录将前一个剔除下线
        //http.sessionManagement().maximumSessions(1).expiredSessionStrategy(expiredSessionStrategy());
        
		//单用户登录,如果有一个登录了,同一个用户在其他地方不能登录
	    http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);
	    //退出删除cookie
	    http.logout().deleteCookies("JESSIONID");
	    
	    //解决中文乱码问题
        CharacterEncodingFilter filter = new CharacterEncodingFilter();
        filter.setEncoding("UTF-8");
        filter.setForceEncoding(true);
        http.addFilterBefore(filter,CsrfFilter.class)
		
	}
	
	/**
	 * 认证器
	 */
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		
		//将用户信息写入内存
		//auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("huihui").password(new BCryptPasswordEncoder().encode("123456")).roles("USER");
		
		// 使用数据库中用户数据,使用自定义的加密方法
		auth.userDetailsService(userService()).passwordEncoder(md5PasswordEncoder());
		
	}
	
}

用户实体类

需要实现security的UserDetails类

public class T_user implements UserDetails {
	private String username;
	private String password;
    //  ... 省略get,set 方法
    @Override
	public String toString() {
		return this.username;
	}
	@Override
	public int hashCode() {
		return username.hashCode();
	}
	
	@Override
	public boolean equals(Object obj) {
		return this.toString().equals(obj.toString());
	}

	// 权限
	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		// TODO Auto-generated method stub
		return null;
	}

	// 账号是否过期
	@Override
	public boolean isAccountNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	// 账号是否锁定
	@Override
	public boolean isAccountNonLocked() {
		// TODO Auto-generated method stub
		return true;
	}

	// 密码是否过期
	@Override
	public boolean isCredentialsNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	// 账号是否可用
	@Override
	public boolean isEnabled() {
		// TODO Auto-generated method stub
		return true;
	}
}

登录认证实现类

需要实现security的UserDetailsService接口,重写它的loadUserByUsername方法

@Service
public class UserServiceImpl implements UserDetailsService  {

	@Autowired
	private UserMapper userMapper;
	@Autowired
    private SessionRegistry sessionRegistry;
	//@Autowired
	//private PasswordEncoder passwordEncoder;
	@Autowired
	private MD5PasswordEncoder md5PasswordEncoder;

	/**
	 * 重写springSecurity类方法
	 */
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		// 通过用户名称获取对象
		T_user user = userMapper.findByUserName(username);
		
		if (user != null) {			
			// 通过用户id查询角色
			List<T_role> roles = user.getRoles();
			List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
			for (T_role role : roles) {
				if (role != null && role.getName() != null) {

					GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role.getName());
					// 1:此处将角色信息添加到 GrantedAuthority
					// 对象中,在后面进行全权限验证时会使用GrantedAuthority 对象。
					grantedAuthorities.add(grantedAuthority);
				}
			}
			//因为我测试,数据库中的密码是没有加密的,所以在这里加密了
			String password = md5PasswordEncoder.encode(user.getPassword());
			//这个User对象是security的,不是我们自定义的
			return new User(user.getUsername(), password, grantedAuthorities);

		} else {
			throw new UsernameNotFoundException("admin: " + username + " 不存在!");
		}
				
	}	
	
}

登录错误时返回自定义的消息

写一个消息配置文件

@Configuration
public class MySecurityMessages {
	/** 注册bean */
	@Bean
	public MessageSource messageSource() {
        Locale.setDefault(Locale.CHINA);
        ReloadableResourceBundleMessageSource messageSource = new ReloadableResourceBundleMessageSource();
        /**
		 *	下面为加载自定义消息的properties文件,我放在了maven结构resources下,里面的提示消息可以自己定义,
		 *	比如:密码错误是,原文件中提示的是,坏的凭证,我们可以找到它对应的key,修改它的值为 用户名或密码错误。
		 */
        messageSource.addBasenames("classpath:messages_zh_CN");
 
        return messageSource;
    }
	
}

下面是messages_zh_CN.properties中的内容

AbstractAccessDecisionManager.accessDenied=\u4E0D\u5141\u8BB8\u8BBF\u95EE
AbstractLdapAuthenticationProvider.emptyPassword=\u574F\u7684\u51ED\u8BC1
AbstractSecurityInterceptor.authenticationNotFound=\u672A\u5728SecurityContext\u4E2D\u67E5\u627E\u5230\u8BA4\u8BC1\u5BF9\u8C61
AbstractUserDetailsAuthenticationProvider.badCredentials=\u7528\u6237\u540D\u6216\u5BC6\u7801\u9519\u8BEF
AbstractUserDetailsAuthenticationProvider.credentialsExpired=\u7528\u6237\u51ED\u8BC1\u5DF2\u8FC7\u671F
AbstractUserDetailsAuthenticationProvider.disabled=\u7528\u6237\u5DF2\u5931\u6548
AbstractUserDetailsAuthenticationProvider.expired=\u7528\u6237\u5E10\u53F7\u5DF2\u8FC7\u671F
AbstractUserDetailsAuthenticationProvider.locked=\u7528\u6237\u5E10\u53F7\u5DF2\u88AB\u9501\u5B9A
AbstractUserDetailsAuthenticationProvider.onlySupports=\u4EC5\u4EC5\u652F\u6301UsernamePasswordAuthenticationToken
AccountStatusUserDetailsChecker.credentialsExpired=\u7528\u6237\u51ED\u8BC1\u5DF2\u8FC7\u671F
AccountStatusUserDetailsChecker.disabled=\u7528\u6237\u5DF2\u5931\u6548
AccountStatusUserDetailsChecker.expired=\u7528\u6237\u5E10\u53F7\u5DF2\u8FC7\u671F
AccountStatusUserDetailsChecker.locked=\u7528\u6237\u5E10\u53F7\u5DF2\u88AB\u9501\u5B9A
AclEntryAfterInvocationProvider.noPermission=\u7ED9\u5B9A\u7684Authentication\u5BF9\u8C61({0})\u6839\u672C\u65E0\u6743\u64CD\u63A7\u9886\u57DF\u5BF9\u8C61({1})
AnonymousAuthenticationProvider.incorrectKey=\u5C55\u793A\u7684AnonymousAuthenticationToken\u4E0D\u542B\u6709\u9884\u671F\u7684key
BindAuthenticator.badCredentials=\u574F\u7684\u51ED\u8BC1
BindAuthenticator.emptyPassword=\u574F\u7684\u51ED\u8BC1
CasAuthenticationProvider.incorrectKey=\u5C55\u793A\u7684CasAuthenticationToken\u4E0D\u542B\u6709\u9884\u671F\u7684key
CasAuthenticationProvider.noServiceTicket=\u672A\u80FD\u591F\u6B63\u786E\u63D0\u4F9B\u5F85\u9A8C\u8BC1\u7684CAS\u670D\u52A1\u7968\u6839
ConcurrentSessionControlAuthenticationStrategy.exceededAllowed=\u8BE5\u8D26\u53F7\u6B63\u5728\u5176\u4ED6\u5730\u65B9\u767B\u5F55
DigestAuthenticationFilter.incorrectRealm=\u54CD\u5E94\u7ED3\u679C\u4E2D\u7684Realm\u540D\u5B57({0})\u540C\u7CFB\u7EDF\u6307\u5B9A\u7684Realm\u540D\u5B57({1})\u4E0D\u543B\u5408
DigestAuthenticationFilter.incorrectResponse=\u9519\u8BEF\u7684\u54CD\u5E94\u7ED3\u679C
DigestAuthenticationFilter.missingAuth=\u9057\u6F0F\u4E86\u9488\u5BF9'auth' QOP\u7684\u3001\u5FC5\u987B\u7ED9\u5B9A\u7684\u6458\u8981\u53D6\u503C; \u63A5\u6536\u5230\u7684\u5934\u4FE1\u606F\u4E3A{0}
DigestAuthenticationFilter.missingMandatory=\u9057\u6F0F\u4E86\u5FC5\u987B\u7ED9\u5B9A\u7684\u6458\u8981\u53D6\u503C; \u63A5\u6536\u5230\u7684\u5934\u4FE1\u606F\u4E3A{0}
DigestAuthenticationFilter.nonceCompromised=Nonce\u4EE4\u724C\u5DF2\u7ECF\u5B58\u5728\u95EE\u9898\u4E86\uFF0C{0}
DigestAuthenticationFilter.nonceEncoding=Nonce\u672A\u7ECF\u8FC7Base64\u7F16\u7801; \u76F8\u5E94\u7684nonce\u53D6\u503C\u4E3A {0}
DigestAuthenticationFilter.nonceExpired=Nonce\u5DF2\u7ECF\u8FC7\u671F/\u8D85\u65F6
DigestAuthenticationFilter.nonceNotNumeric=Nonce\u4EE4\u724C\u7684\u7B2C1\u90E8\u5206\u5E94\u8BE5\u662F\u6570\u5B57\uFF0C\u4F46\u7ED3\u679C\u5374\u662F{0}
DigestAuthenticationFilter.nonceNotTwoTokens=Nonce\u5E94\u8BE5\u7531\u4E24\u90E8\u5206\u53D6\u503C\u6784\u6210\uFF0C\u4F46\u7ED3\u679C\u5374\u662F{0}
DigestAuthenticationFilter.usernameNotFound=\u7528\u6237\u540D{0}\u672A\u627E\u5230
JdbcDaoImpl.noAuthority=\u6CA1\u6709\u4E3A\u7528\u6237{0}\u6307\u5B9A\u89D2\u8272
JdbcDaoImpl.notFound=\u672A\u627E\u5230\u7528\u6237{0}
LdapAuthenticationProvider.badCredentials=\u7528\u6237\u540D\u6216\u5BC6\u7801\u9519\u8BEF
LdapAuthenticationProvider.credentialsExpired=\u7528\u6237\u51ED\u8BC1\u5DF2\u8FC7\u671F
LdapAuthenticationProvider.disabled=\u7528\u6237\u5DF2\u5931\u6548
LdapAuthenticationProvider.expired=\u7528\u6237\u5E10\u53F7\u5DF2\u8FC7\u671F
LdapAuthenticationProvider.locked=\u7528\u6237\u5E10\u53F7\u5DF2\u88AB\u9501\u5B9A
LdapAuthenticationProvider.emptyUsername=\u7528\u6237\u540D\u4E0D\u5141\u8BB8\u4E3A\u7A7A
LdapAuthenticationProvider.onlySupports=\u4EC5\u4EC5\u652F\u6301UsernamePasswordAuthenticationToken
PasswordComparisonAuthenticator.badCredentials=\u7528\u6237\u540D\u6216\u5BC6\u7801\u9519\u8BEF
#PersistentTokenBasedRememberMeServices.cookieStolen=Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack.
ProviderManager.providerNotFound=\u672A\u67E5\u627E\u5230\u9488\u5BF9{0}\u7684AuthenticationProvider
RememberMeAuthenticationProvider.incorrectKey=\u5C55\u793ARememberMeAuthenticationToken\u4E0D\u542B\u6709\u9884\u671F\u7684key
RunAsImplAuthenticationProvider.incorrectKey=\u5C55\u793A\u7684RunAsUserToken\u4E0D\u542B\u6709\u9884\u671F\u7684key
SubjectDnX509PrincipalExtractor.noMatching=\u672A\u5728subjectDN\: {0}\u4E2D\u627E\u5230\u5339\u914D\u7684\u6A21\u5F0F
SwitchUserFilter.noCurrentUser=\u4E0D\u5B58\u5728\u5F53\u524D\u7528\u6237
SwitchUserFilter.noOriginalAuthentication=\u4E0D\u80FD\u591F\u67E5\u627E\u5230\u539F\u5148\u7684\u5DF2\u8BA4\u8BC1\u5BF9\u8C61
Jayden人生
关注
专栏目录
Spring Security 6.x 系列(12)—— Form表单认证登录注销自定义配置
gmHappy
12-23 5574
在本系列文章中介绍了 `Form` 表单认证和注销流程,对部分源码也进行详细分析。 本章主要学习 `Spring Security` 中表单认证登录注销的相关自定义配置。
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 1772
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
SpringBoot整合SpringSecurity系列(4)-登录失败控制
TianXinCoord的博客
04-15 467
文章目录一、定制失败页面二、定制失败处理器 一、定制失败页面 登录成功之后可以跳转到指定地址,登录失败之后也可以跳转到对应地址 编写错误页面error.html <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <title>登录失败</title> </head> <body> <h3>登录失败,请重新&lt
Spring Security自定义登录验证及登录返回结果
娃儿回家
07-16 5941
Spring Security自定义登录验证及登录返回结果一.功能描述二.处理逻辑简单流程自定义UserDetails自定义UserDetailsDAO自定义UserDetailsService自定义用户登录验证逻辑AuthenticationProvider三.Spring Security基本配置信息四.登录登出自定义处理器登录成功处理器LocalAuthenticationSuccessHandler登录失败处理器LocalAuthenticationFailureHandler登出成功处理器Loca
Spring Boot自定义错误页面
记忆碎片
03-01 1559
原文地址:http://blog.csdn.net/zmken497300/article/details/53434574 Spring Boot以一种新的微服务的方式来替代以Spring Framework构建项目的传统方式,我已经计划在后续的项目开发中使用它。它已经帮我们做了90%的工作,剩下10%的工作需要我们自己去完成。对于我来说,自定义错误页面就是其中之一。比如404错误,如
security登录验证,抛出自定义业务异常到前端
it佳佳的博客
06-16 621
后端 后端使用BadCredentialsException和AuthenticationException 将相关信息抛出 @Override public UserDetails loadUserByUsername(String username) throws AuthenticationException { UserPojo userPojo = mapper.queryByUserName(username); if(userPojo == null
SpringSecurity - 认证与授权、自定义失败处理、跨域问题、认证成功/失败处理器
weixin_51351637的博客
09-24 1818
SpringSecurity安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般Web应用需要进行认证和授权,而认证和授权是安全框架的核心功能。​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​ 授权:经过认证后判断当前用户是否有权限进行某个操作 引入依赖后,我们在尝试去访问之前的接口就会自动跳转到一个SpringSecurity的默认登录界面,默认用户名是User,密码会输出在控制台必须登陆之后
SpringSecurity自定义认证失败处理器
热门推荐
钟健的博客
03-21 6万+
自定义认证失败处理器 代码实现 1.实现AuthenticationFailureHandler接口 第一步:实现AuthenticationFailureHandler接口 @Component("customAuthenticationFailureHandler") public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler{ @Override public void
Spring Security5.0.1 总结之如何让认证失败(登录失败)消息自定义前端页面显示
闲时不练功,忙时一场空
07-22 2664
开发环境ssm+Spring Security 5.0.1.RELEASE 在自定义登录页面输入的帐号密码错误,页面中没有任何错误消息提示,所以需要将提示信息显示出来 Spring Security 框架将所有的错误信息都定义成了异常,并且提供了国际化的资源文件。这个资源文件在 spring-security-core-5.0.1.RELEASE.jar文件中 这里说下Idea国际...
Spring Security 6.x 系列【7】认证篇之表单登录自定义配置
记录知识、锤炼自我
03-29 2366
提供了默认的认证规则,也支持各种自定义配置,本篇文档主要学习中表单登录的相关自定义配置。未认证的请求会重定向到默认登录页面,也支持自定义登录页面,首先创建一个简单的登录页login.html。
spring security 表单入门,自定义跳转页面,包含ajax 和传统的web跳转,同时涵盖有前端页面
最新发布
08-22
帮助快速上手spirngsecurity,从入门到使用不在迷茫
Spring-Security自定义登陆错误提示信息
doinbb的博客
08-07 1万+
实现效果如图所示: 首先公布实现代码: 一. 自定义实现 import.org.springframework.security.core.userdetails.UserDetailsService类。 并且抛出BadCredentialsException异常,否则页面无法获取到错误信息。 @Slf4j @Service public class MyUserDetailsS...
spring boot security 登录失败跳转页面提示错误信息
余_小凡 的博客
10-16 4696
页面使用的是 Thymeleaf 模板,  我们使用security权限登录登录验证成功或失败的配置前文都有,security的验证如果失败后,我们怎么给客户一个提示呢,先学习并记录一个最简单的: 一共俩步搞定: ①,首先我们要在验证失败的配置路径上加入参数:     那么:第一步就完成了 ② 前端登录页面加入错误信息提示 这个,直接给图了   这里面的重点就是那个...
springboot security 自定义返回结果(三)
qq_27081015的博客
12-26 4211
1. 用户未登录时返回给前端的数据 package com.hanhuide.core.handler; import com.alibaba.fastjson.JSON; import com.hanhuide.core.enums.ResultEnum; import com.hanhuide.core.model.AjaxResponseBody; import org.springf...
Spring Security显示登录失败信息
Leon_Jinhai_Sun的博客
05-05 1718
为了能更直观在登录页面看到异常错误信息,可以在登录页面中直接获取异常信息。Spring Security登录失败之后会将异常信息存储到 request 、session作用域中 key 为 SPRING_SECURITY_LAST_EXCEPTION 命名属性中,源码可以参考 SimpleUrlAuthenticationFailureHandler : 显示异常信息 <!DOCTYPE html> <html lang="en" xmlns:th="https://www.
Springboot Vue 自定义权限验证 RBAC
Lyndon的专栏
10-29 735
Springboot如何做一个简单的权限管理 https://www.zhihu.com/question/363704837/answer/958505035 用户-角色-权限-资源
Springsecurity的权限提示页面
快马扬鞭须努力!
01-06 400
springsecurity的权限提示页面 最近项目中发现,用户在访问没有权限的页面的时候,系统返回了白页,后台也有日志报出如下: 12-13 17:34:33 [DEBUG] org.springframework.security.ui.ExceptionTranslationFilter.handleException(ExceptionTranslationFilter.java:...
spring security登录自定义错误信息
yanhuhui的专栏
07-22 1920
首先,spring security的authentication-provider默认加载的是DaoAuthenticationProvider类。然后找到DaoAuthenticationProvider的父类AbstractUserDetailsAuthenticationProvider的authenticate方法,发现了这段代码。 [code="java"] try { ...
Spring Boot简单异常处理及自定义错误页面
kaleldo的博客
12-07 1189
异常处理之前,先搭建一个基本的Spring Boot项目开启Spring Boot。然后引入mybatis-spring-boot-starter  也可参考springboot简单整合Mybatis 目录 默认异常处理机制  自定义html异常页面 自定义异常处理 Spring Boot对异常的处理有一套默认的机制:当应用中产生异常时,Spring Boot根据发送请求头中的acc...
Spring Security表单入门教程:自定义跳转与前端页面实现
- 本资源提供了两个示例项目:springsecurity-simple-demo2和springsecurity-simple-demo。 - 这些示例项目可以作为Spring Security表单登录入门的学习材料。 - 通过分析和运行这些示例项目,开发者可以理解如何...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值