SpringSecurity:认证和自定义登陆界面

已于 2022-10-23 21:00:13 修改
阅读量2.3k 收藏 2
点赞数
文章标签: 安全
于 2022-10-23 20:21:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51992178/article/details/127479233
版权

目录

配置

解决中文乱码问题

认证

直接认证

使用数据库认证

自定义登录界面

替换默认的登陆界面

关闭csrf防护

配置

配置初始化器

public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
    //不用重写任何内容
  	//这里实际上会自动注册一个Filter,SpringSecurity底层就是依靠N个过滤器实现的
}

创建一个配置类用于配置 SpringSecurity

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
		//继承WebSecurityConfigurerAdapter,之后会进行配置
}

在初始化器中把该配置类添加进去

@Override
protected Class<?>[] getRootConfigClasses() {
    return new Class[]{RootConfiguration.class, SecurityConfiguration.class};
}

解决中文乱码问题

在初始化器添加,要在进入过滤链之前设置编码方式

public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
    @Override
    protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
        servletContext.addFilter("CharacterEncodingFilter", new CharacterEncodingFilter("utf-8", true))
                .addMappingForUrlPatterns(null, false, "/*");
        //super.beforeSpringSecurityFilterChain(servletContext);
    }
}

认证

要实现登录功能,就需要用户认证

直接认证

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();  
//这里使用SpringSecurity提供的BCryptPasswordEncoder
    auth
            .inMemoryAuthentication() //直接验证方式
            .passwordEncoder(encoder) //密码加密器
            .withUser("test")   //用户名
            .password(encoder.encode("123456"))   //这里需要填写加密后的密码
            .roles("user");   //用户的角色
}

SpringSecurity 的密码校验并不是直接使用原文进行比较,而是使用加密算法将密码进行加密,而且这个过程是不可逆的,然后将用户提供的密码以同样的方式加密后与密文进行比较,保存也是密文,所以即使数据库被窃取了也无法得知密码是多少,很好地保证了用户信息的安全性。

使用数据库认证

需要创建一个 Service 来实现 接口UserDetailsService,它支持我们自己返回一个 UserDetails 对象,我们只需直接返回一个包含数据库中的用户名、密码等信息的 UserDetails 即可,SpringSecurity 会自动进行比对,在配置类中进行扫描并将其注册为 Bean

@Service
public class UserAuthService implements UserDetailsService {
    @Resource
    UserMapper mapper;
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        String password = mapper.getPasswordByUsername(s);  //从数据库根据用户名获取密码
        if(password == null)
            throw new UsernameNotFoundException("登录失败,用户名或密码错误!");
        return User   //这里需要返回UserDetails,SpringSecurity会根据给定的信息进行比对
                .withUsername(s)
                .password(password)   //直接从数据库取的密码
                .roles("user")   //用户角色
                .build();
    }
}

最后再修改一下 Security 配置类

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
      .userDetailsService(service)   //使用自定义的Service实现类进行验证
      .passwordEncoder(new BCryptPasswordEncoder());   //依然使用BCryptPasswordEncoder
}

自定义登录界面

替换默认的登陆界面

首先来看一下Spring Security的自定义界面,包含了一个重要的东西

    <input

      name="_csrf"

      type="hidden"

      value="83421936-b84b-44e3-be47-58bb2c14571a"

    />

他是隐藏的,为了防止 CSRF 攻击而存在的。

从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法的请求(不仅仅只是登陆请求,这里指的是任何请求路径)进行防护。在不带_csrf的情况下,页面中只要发起了 PATCH,POST,PUT 和 DELETE 请求一定会被拒绝,并返回403错误

需要在请求的时候加入 csrfToken ,也就是"83421936-b84b-44e3-be47-58bb2c14571a",正是 csrfToken,如果提交的是表单类型的数据,那么表单中必须包含此 Token 字符串,键名称为"\_csrf";如果是 JSON 数据格式发送的,那么就需要在请求头中包含此 Token 字符串。

如果用的是Thymeleaf视图解析器,可以加一个这样的输入框

<input

  type="text"

  th:name="${_csrf.getParameterName()}"

  th:value="${_csrf.token}"

  hidden

/>

Token 的键名称和 Token 字符串可以通过 Thymeleaf 从 Model 中获取,SpringSecurity 会自动将 Token 信息添加到 Model 中

然后就可以配置自己的登陆界面了

先重写Security 配置类中的另一个configure方法

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()   //首先需要配置哪些请求会被拦截,哪些请求必须具有什么角色才能访问
            .antMatchers("/static/**").permitAll()    //静态资源,使用permitAll来运行任何人访问(注意一定要放在前面)
            .antMatchers("/**").hasRole("user")     //所有请求必须登陆并且是user角色才可以访问(不包含上面的静态资源)
}

配置拦截规则,也就是当用户未登录时,哪些路径可以访问,哪些路径不可以访问,如果不可以访问,那么会被自动重定向到登陆页面。

接着需要配置表单登陆和登录页面

.formLogin()       //配置Form表单登陆
.loginPage("/login")       //登陆页面地址(GET)
.loginProcessingUrl("/doLogin")    //form表单提交地址(POST)
.defaultSuccessUrl("/index")    //登陆成功后跳转的页面,也可以通过Handler实现高度自定义
.permitAll()    //登陆页面也需要允许所有人访问

登陆页面需要我们自己去编写 Controller 来实现,登陆请求提交处理由 SpringSecurity 提供,只需要写路径就可以了。

@RequestMapping("/login")
public String login(){
    return "login";
}

再需要配置一下退出登录操作

.and()
.logout()
.logoutUrl("/logout")    //退出登陆的请求地址
.logoutSuccessUrl("/login");    //退出后重定向的地址

注意这里的退出登陆请求也必须是 POST 请求方式(因为开启了 CSFR 防护,需要添加 Token),否则无法访问

<body>
    <form action="logout" method="post">
        <input type="text" th:name="${_csrf.getParameterName()}" th:value="${_csrf.token}" hidden>
        <button>退出登陆</button>
    </form>
</body>

关闭csrf防护

直接在配置类中配置

.and()

.csrf().disable();

散漫的大学生
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security默认登录页面登录用户,和自定义数据源
cristianoxm的博客
04-02 3966
一、默认登录页面 请求 /hello 接口,在引入 spring security 之后会先经过一些列过滤器 在请求到达 FilterSecurityInterceptor时,发现请求并未认证。请求拦截下来,并抛出 AccessDeniedException 异常。 抛出 AccessDeniedException 的异常会被 ExceptionTranslationFilter 捕获,这个 Filter 中会调用 LoginUrlAuthenticationEntryPoint#commence 方
Spring Security默认登录页面
ttaannkkee的博客
06-29 7078
使用Spring Security作为权限管理模块的小伙伴们一定醉心于其极少的配置即可满足权限管理需求,以及比springMVC更简洁的filter配置。 在刚开始技术验证的demo阶段相信很多人试过在什么都不配置的时候,只写个接口然后访问是会自动跳转到默认的登录页面"/login"。 按常理,一般人会好奇,这个登录页面在哪儿?应该是个模板引擎提供的模板,并且应该有个ModeAndView绑定的页面。 但实际上并不是。这个默认登录页面其实极其暴力简单。是一个默认filter里面直接写入response
SpringSecurity的简单概述以及配置SpringSecurity的默认登录页面
weixin_46852039的博客
09-12 2905
SpringSecurity的简单概述 是什么:SpringSecurity融合Spring技术栈,提供JavaEE应 用的整体安全解决方案;提供全面的安全服务 有什么用:可以进行身份验证,就是证明你是谁;也可以进行授权,就是你可以做什么 配置SpringSecurity的默认登录页面 搭建SpringSecurity环境 创建maven项目后,添加security-pom依赖 <!-- springboot项目都要继承boot父工程--> <parent>
SpringSecurity的默认登录页的使用
无人罪的博客
11-30 945
配置系统文件 配置扫描包 02 编写测试接口 测试类 测试用的控制层接口 03 启动项目 启动之后,会自动生成默认密码 Using generated security password: 8d97e198-138c-4093-9a5c-ac83e2dda426这时候访问接口被spring-security默认拦截,必须登录后才能访问
Spring Security-自定义登录页面认证过程其他常用配置
m0_71777195的博客
07-31 1158
虽然Spring Security给我们提供了登录页面,但是对于实际项目中,大多喜欢使用自己的登录页面。所以Spring Security中不仅仅提供了登录页面,还支持用户自定义登录页面。实现过程也比较简单,只需要修改配置类即可。1.编写登录页面别写登录页面登录页面中的action不编写对应控制器也可以。 2.修改配置类​ 修改配置类中主要是设置哪个页面是登录页面。配置类需要继承WebSecurityConfigurerAdapter,并重写configure方法。​ successForwardUr
spring security自定义认证登录的全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring Security自定义用户认证过程详解
08-25
主要介绍了spring Security自定义用户认证过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot_SpringSecurity
【深入浅出Spring Security(三)】默认登录认证的实现原理
qq_63691275的博客
05-30 3226
思考:发送请求的登录界面是如何来的?用户名和密码为什么是user和一个UUID字符串呢?它又是如何进行用户名和密码验证的呢?得知道 DaoAuthenticationProvider retrieveUser 方法和 additionalAuthenticationChecks 方法(这俩方法分别应用了UserDetailsService和PasswordEncoder对象)。UsernamePasswordAuthenticationFilter 最后也是去通过 ProviderManager 中的 au
spring-security 默认登录页面(一)
最新发布
modelmd的博客
02-01 1405
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何生产的呢?
springsecurity oauth2.0 springboot整合 spring security自定义登录页面5
健康平安的活着的专栏
08-08 3373
自定义认证页面 1.1 说明 1. 如果用户没有自定义登录页面spring security 默认会启动自身内部的登录页面,尽管自动生成的登录页面很方便 快速启动和运行,但大多数应用程序都希望定义自己的登录页面。 1.2 自定义登录页面 在新建一个webapp目录,和resouces目录,平级,将login.jsp页面考配到这个页面下 页面代码: <%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-.
Spring Security快速入门(三)自定义页面
weixin_44283682的博客
03-16 351
Spring Security快速入门(三)自定义页面一、登录页面二、自定义登录成功处理器三、失败跳转 引言:Spring Security 给我们提供了登录页面,但是对于实际项目中,大多喜欢使用自己的登录页面。 所以 Spring Security 中不仅仅提供了登录页面,还支持用户自定义登录页面。 实现过程也比较简单,只需要修改配置类即可。 一、登录页面 我们先准备一个自己的登录页面。需要注意的是,input的name属性,必须是username和password,否则Spring Security
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6437
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
springboot整合spring-security并修改默认登录页面,添加验证码功能(实现方法一)
qq_42236679的博客
07-17 2472
文章目录 前言 一、环境搭建 1.创建springboot项目, 导入依赖 2.springboot启动器及application.yml配置文件创建 3.resources目录下建一个static文件夹, 存放自定义的登录界面login.html 4.用户实体类及数据库表 5.UserDao操作数据库, 整合了mybatis-plus 二、spring-security相关配置 1.拓展验证方式, 添加一个验证码 2.实现自定义相关的接口,返回MyWebAuth...
SpringSecuritySpringSecurity 自定义登录页面
专注于Java领域开发 关注我 带你玩转Java
11-05 709
自定义登录页面
Spring Security 6.x 系列【7】认证篇之表单登录的自定义配置
记录知识、锤炼自我
03-29 2097
提供了默认的认证规则,也支持各种自定义配置,本篇文档主要学习中表单登录的相关自定义配置。未认证的请求会重定向到默认登录页面,也支持自定义登录页面,首先创建一个简单的登录页login.html。
Spring Security OAuth2.0(6):自定义认证自定义登录页
不积跬步,无以至千里
07-19 417
qquad你可能想知道登录页面从哪里来?因为我们并没有提供任何的HTML或JSP文件。Spring Security 的默认配置没有明确设定一个登录页面的URL,因此Spring Security 会根据启用的功能自动生成一个登录的页面URL,并使用默认URL处理登录的提交内容,登录后跳转到默认URL等。尽管自动生成的登录页面很方便快速启动和运行,但大多数应用程序都希望定义自己的登录页面。在工程下添加login.jsp页面。
springsecurity自定义登陆界面
08-15
Spring Security中,可以通过配置来自定义登录页面。需要进行以下几个步骤: 1. 创建自定义登录页面。可以在项目中创建一个JSP或HTML文件,用于显示登录表单。 2. 在Spring Security的配置文件中指定自定义登录页面。可以使用`<security:form-login>`元素来配置登录页面的路径,例如:`<security:form-login login-page="/login.jsp" />`。其中,`login-page`属性指定了登录页面的路径。 3. 确保自定义登录页面可以被匿名访问。可以使用`<security:intercept-url>`元素来配置URL的访问权限,例如:`<security:intercept-url pattern="/login.jsp" access="permitAll" />`。其中,`pattern`属性指定了匹配的URL路径,`access`属性指定了访问该URL的权限。 通过以上配置,您可以实现Spring Security自定义登录界面。请注意,在配置文件中的其他部分可能还有其他相关配置,比如配置认证信息、配置退出登录等。详细配置可以参考引用和引用中的示例代码和解释。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringSecurity实现自定义登录界面](https://blog.csdn.net/qq_38526573/article/details/103402060)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值