4.SpringSecurity自定义登录成功处理、显示登录失败信息、自定义登录失败处理、注销登录配置、前后端分离注销登录配置

最新推荐文章于 2024-10-11 09:18:29 发布
最新推荐文章于 2024-10-11 09:18:29 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: spring security 文章标签: java 前端 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64061088/article/details/128212101
版权

自定义登录成功处理

有时候页面跳转并不能满足我们,特别是在前后端分离开发中就不需要成功之后跳转页面。只需要给前端返回一个 JSON 通知登录成功还是失败与否。这个时候可以通过自定义 AuthenticationSucccessHandler 实现

public interface AuthenticationSuccessHandler {

	/**
	 * Called when a user has been successfully authenticated.
	 * @param request the request which caused the successful authentication
	 * @param response the response
	 * @param authentication the <tt>Authentication</tt> object which was created during
	 * the authentication process.
	 */
	void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException;
}

根据接口的描述信息,也可以得知登录成功会自动回调这个方法,进一步查看它的默认实现,你会发现successForwardUrl、defaultSuccessUrl也是由它的子类实现的
在这里插入图片描述

  • 自定义 AuthenticationSuccessHandler 实现
/**
 * 自定义认证成功之后的处理
 */
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler{
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        Map<String,Object> result=new HashMap<>();
        result.put("msg", "登录成功");
        result.put("status", 200);
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}
  • 配置 AuthenticationSuccessHandler
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .mvcMatchers("/login.html").permitAll()
                .mvcMatchers("/index").permitAll()//放行资源写在任何前面
                .anyRequest().authenticated()
                .and().formLogin()
                .loginPage("/login.html")//用来指定默认登录页面 注意:一旦自定义登录页面后必须只能登录url
                .loginProcessingUrl("/doLogin")//指定处理登录请求url
                .usernameParameter("uname")
                .passwordParameter("passwd")
                //.successForwardUrl("/index")//认证成功 forward 跳转路径 始终在认证成功之后跳转到指定请求
                //.defaultSuccessUrl("/hello")//认证成功 redirect 如果之前请求路径,会有优先跳转之前请求路径
                !!!!
                .successHandler(new MyAuthenticationSuccessHandler())//认证成功时处理 前后端分离时的处理方案
                
                .and()
                .csrf().disable();
    }
}

运行并测试,可以发现前端返回json数据
在这里插入图片描述

显示登录失败信息

为了能更直观在登录页面看到异常错误信息,可以在登录页面中直接获取异常信息。Spring Security 在登录失败之后会将异常信息存储到 requestsession作用域中 key 为SPRING_SECURITY_LAST_EXCEPTION 命名属性中

  • 显示异常信息
<div th:text="${session.SPRING_SECURITY_LAST_EXCEPTION}"></div>
  • 配置
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                //...............
                .failureForwardUrl("/login.html")//认证失败之后 forward跳转
                .failureUrl("/login.html")//认证失败之后 redirect跳转
                //................
    }
}

  • failureUrl、failureForwardUrl 关系类似于之前提到的 successForwardUrl
    、defaultSuccessUrl 方法

    • failureUrl 失败以后的重定向跳转
    • failureForwardUrl 失败以后的 forward 跳转 注意:因此获取 request 中异常信息,这里只能使用failureForwardUrl

  • 运行项目并测试

在这里插入图片描述

自定义登录失败处理

和自定义登录成功处理一样,Spring Security 同样为前后端分离开发提供了登录失败的处理,这个类就是 AuthenticationFailureHandler,源码为:

public interface AuthenticationFailureHandler {
	/**
	 * Called when an authentication attempt fails.
	 * @param request the request during which the authentication attempt occurred.
	 * @param response the response.
	 * @param exception the exception which was thrown to reject the authentication
	 * request.
	 */
	void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException, ServletException;

}

根据接口的描述信息,也可以得知登录失败会自动回调这个方法,进一步查看它的默认实现,你会发现failureUrl、failureForwardUrl也是由它的子类实现的
在这里插入图片描述

  • 自定义 AuthenticationFailureHandler 实现
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<String, Object>();
        result.put("msg", "登录失败: "+exception.getMessage());
        result.put("status", 500);
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}
  • 配置 AuthenticationFailureHandler
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                //......
                .failureHandler(new MyAuthenticationFailureHandler())
                //......
    }
}

在这里插入图片描述

注销登录

Spring Security 中也提供了默认的注销登录配置,在开发时也可以按照自己需求对注销进行个性化定制。

  • 开启注销登录默认开启
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                //.............
                .successHandler(new MyAuthenticationSuccessHandler())//认证成功时处理 前后端分离时的处理方案
                //.failureForwardUrl("/login.html")//认证失败之后 forward跳转
                //.failureUrl("/login.html")//认证失败之后 redirect跳转
                .failureHandler(new MyAuthenticationFailureHandler())
                //................
                .and()
                .logout()
                //.logoutUrl("/logout")//指定注销登录url
                .logoutRequestMatcher(new OrRequestMatcher(
                        new AntPathRequestMatcher("/aa","GET"),
                        new AntPathRequestMatcher("/bb","POST")
                ))
                .invalidateHttpSession(true)//默认 会话失效
                .clearAuthentication(true)//默认 清除认证标记
                .logoutSuccessUrl("/login.html")//注销登录 成功之后跳转页面
                //..............
                .and()
                .csrf().disable();
    }
}
  • 通过 logout() 方法开启注销配置
  • logoutUrl 指定退出登录请求地址,默认是 GET 请求,路径为 /logout
  • invalidateHttpSession 退出时是否是 session 失效,默认值为 true
  • clearAuthentication 退出时是否清除认证信息,默认值为 true
  • logoutSuccessUrl 退出登录时跳转地址

前后端分离注销登录配置

如果是前后端分离开发,注销成功之后就不需要页面跳转了,只需要将注销成功的信息返回前端即可,此时我们可以通过自定义 LogoutSuccessHandler 实现来返回注销之后信息:

/**
 * 自定义注销成功之后处理
 */
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<String, Object>();
        result.put("msg", "注销成功,当前认证对象为:"+authentication);
        result.put("status", 200);
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                //...................
                .logoutSuccessHandler(new MyLogoutSuccessHandler())
                //....................
    }
}

在这里插入图片描述

一个双子座的Java攻城狮
关注
专栏目录
Spring Security 6.x 系列(12)—— Form表单认证登录注销自定义配置
gmHappy
12-23 5603
在本系列文章介绍了 `Form` 表单认证和注销流程,对部分源码也进行详细分析。 本章主要学习 `Spring Security` 表单认证登录注销的相关自定义配置
Spring Security 6.x 系列【8】认证篇之注销登录
记录知识、锤炼自我
03-29 1179
本篇文档主要学习在注销登录操作,以及自定义配置和流程分析。和表单登录配置一样,使用开启注销登录功能(默认开启),logout()方法应用了一个注销登录配置类默认处理/logout请求被过滤器处理,并执行注销操作,可以自定义配置请求处理路径,下方配置表示请求// 注销登录 http . logout() . logoutUrl("/custom/logout");// 自定义注销登录请求处理路径可以看到在判定该请求是不是注销请求时,路径为,而且支持多种请求方式:还可以通过自定义注销请求匹配器。
spring security登录失败的错误提示
softwarehe的专栏
06-29 1万+
这篇文章讲得很清楚了,http://forum.springsource.org/showthread.php?96206-How-to-display-error-message-in-spring-security 另外需要解决的是验证码问题,可以用filter方式解决,只有验证码通过了才去真的用spring security验证 这篇文章解决方案更好:http://www.mkyong.
第三章:springboot-springsecurity登录成功失败处理
qq_26278133的博客
03-31 718
springsecurity对认证通过的用户进行的成功失败处理,并返回前后端分离数据
spring security自定义登陆页面登录失败
最新发布
YuNhAi01的博客
10-11 159
前端axios请求里加入了验证成功后localStorage.setItem('token', res.data.token),如果没有登出自动清除或者手动清除似乎会导致security验证失败进入FailureHandler,具体内部框架原理不清楚。查看位置在:f12-应用。
Spring Security自定义登录成功处理
Leon_Jinhai_Sun的博客
05-05 896
有时候页面跳转并不能满足我们,特别是在前后端分离开发就不需要成功之后跳转页面。只需要给前端返回一个 JSON 通知登录成功还是失败与否。这个时候可以通过自定义 AuthenticationSucccessHandler 实现 public interface AuthenticationSuccessHandler { /** * Called when a user has been successfully authenticated. * @param request the req
SpringSecurity自定义登录成功处理
weixin_46278059的博客
12-11 914
SpringSecurity自定义登录成功处理
SpringSecurity自定义登录成功界面
weixin_44569326的博客
01-07 365
使用 successForwardUrl()时表示成功后转发请求到地址。内部是 通过 successHandler()方法进行控制成功后交给哪个类进行处理 ForwardAuthenticationSuccessHandler 内部就是最简单的请求转 发。由于是请求转发,当遇到需要跳转到站外或在前后端分离的项目 就无法使用了。 package com.wyt.handler; import org.springframework.security.core.Authentication; import
security 登陆成功 访问 403_spring security自定义处理登陆
weixin_42624889的博客
01-25 792
spring security自定义处理登陆pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> &...
SpringSecurity前后端分离登录认证
m0_67401153的博客
09-08 981
新增接口:@Autowiredreturn new Result(200,"登陆成功",loginService.login(user));}}@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证}配置redis:spring:redis:port: 6379认证逻辑:将注入到容器@Bean@Override}
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)
qq_51553982的博客
07-26 1332
根据上方官方文档的解释我们在前后端分离的项目,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......
基于SpringSecurity登录详解(前后端分离
qq_45784240的博客
08-06 4818
前后端分离登录:JWT单点登录
Spring-Security自定义登陆错误提示信息
doinbb的博客
08-07 1万+
实现效果如图所示: 首先公布实现代码: 一. 自定义实现 import.org.springframework.security.core.userdetails.UserDetailsService类。 并且抛出BadCredentialsException异常,否则页面无法获取到错误信息。 @Slf4j @Service public class MyUserDetailsS...
Spring security 入门 - 03 自定义登录成功后的处理逻辑
nimo10050的博客
02-01 2203
Spring security 系列博客目录 Spring Security 01- 将 Spring security 引入到工程 Spring security 02-自定义用户登录页面和登录处理逻辑 Spring security 03-自定义登录成功后的处理逻辑 Spring security 04-整合 jwt 对应源代码 Spring Security 01- 将 Spring ...
SpringSecurity成功失败和异常处理
oPeiJie1的博客
02-09 3046
SpringSecurity成功失败和异常处理
SpringSecurity登录自定义成功失败处理器(源码级讲解)
业精于勤,荒于嬉
07-05 1403
文章转载自https://www.jianshu.com/p/5b660b32d96d 一、简单叙述 上一节【SpringSecurity登陆原理(源码级讲解)】已经讲过了完整的登录流程,所以此处不再重复讲解,只是接着上一节继续讲解。登陆完后会给我们返回信息,这没毛病,但是问题来了,他跳转了页面,假设我们不想跳转页面,只想返回固定格式的JSON呢?这就需要我们自定义成功处理器了。失败的情况...
SpringSecurity-3-AuthenticationSuccessHandler接口(登录成功之后的处理逻辑)
热门推荐
文天大人
09-14 1万+
怀念二抱三抱
SpringSecurity系列 - 06 SpringSecurity 登录成功后如何获取用户认证信息?设计模式之策略模式
你今天真好看呀
09-12 1279
以后每当有请求到来时,Spring Security就会先从 Session 取出用户登录数据,保存到SecurityContextHolder ,方便在该请求的后续处理过程使用,同时在请求结束时将 SecurityContextHolder 的数据拿出来保存到 Session ,然后将SecurityContextHolder 的数据清空。Strategy抽象策略角色:策略的抽象,通常为接口,定义每个策略或算法必须具有的方法和属性;:实现抽象策略的操作,该类含有具体的算法。
springsecurity登陆失败_Spring Security
weixin_39753857的博客
11-26 2151
4自定义登录失败处理器(续上一篇文章)4.1源码分析failureForwardUrl()内部调用的是failureHandler()方法ForwardAuthenticationFailureHandler也是一个请求转发,并在request作用域设置SPRING_SECURITY_LAST_EXCEPTION的key,内容为异常对象。4.2代码实现4.2.1新建控制器新建com.bjsxt...
Spring Security自定义form登录流程与实现详解
这篇文章详细介绍了如何在Spring Security自定义form登录过程,包括配置类的使用、登录页面的指定以及登录请求的处理。通过深入理解并实践这些内容,开发人员能够更好地控制和扩展他们的应用安全机制,满足项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个双子座的Java攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值