Spring Security Form Login

最新推荐文章于 2024-05-11 11:50:51 发布
最新推荐文章于 2024-05-11 11:50:51 发布
阅读量579 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java spring boot
原文链接:https://www.baeldung.com/security-spring
版权

1. 简介

本教程将重点介绍使用 Spring Security 登录。我们将在前面的 Spring MVC 示例之上构建,因为这是设置 Web 应用程序以及登录机制的必要部分。

2. Maven 依赖

使用 Spring Boot 时,spring-boot-starter-security启动器将自动包含所有依赖项,例如spring-security-corespring-security-webspring-security-config等:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.3.3.RELEASE</version>
</dependency>

如果我们不使用 Spring Boot,请参阅Spring Security with Maven 文章,其中介绍了如何添加所有必需的依赖项。标准的 spring-security-webspring-security-config都是必需的。

3. Spring Security Java配置

让我们从创建一个创建SecurityFilterChain bean的 Spring Security 配置类开始*。*

通过添加@EnableWebSecurity,我们获得了 Spring Security 和 MVC 集成支持:

@Configuration
@EnableWebSecurity
public class SecSecurityConfig {

    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        // InMemoryUserDetailsManager (see below)
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        // http builder configurations for authorize requests and form login (see below)
    }
}

在此示例中,我们使用内存中身份验证并定义了三个用户。

接下来,我们将介绍用于创建表单登录配置的元素。

让我们从构建我们的身份验证管理器开始。

3.1. InMemoryUserDetailsManager

身份验证提供者(Authentication Provider) 由一个简单的内存中实现InMemoryUserDetailsManager提供支持。当还不需要完整的持久性机制时,这对于快速原型制作很有用:

    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        UserDetails user1 = User.withUsername("user1")
            .password(passwordEncoder().encode("user1Pass"))
            .roles("USER")
            .build();
        UserDetails user2 = User.withUsername("user2")
            .password(passwordEncoder().encode("user2Pass"))
            .roles("USER")
            .build();
        UserDetails admin = User.withUsername("admin")
            .password(passwordEncoder().encode("adminPass"))
            .roles("ADMIN")
            .build();
        return new InMemoryUserDetailsManager(user1, user2, admin);
    }

在这里,我们将使用硬编码的用户名、密码和角色配置三个用户。

从 Spring 5 开始,我们还必须定义一个密码编码器。在我们的示例中,我们将使用BCryptPasswordEncoder:

@Bean 
public PasswordEncoder passwordEncoder() { 
    return new BCryptPasswordEncoder(); 
}

接下来让我们配置HttpSecurity。

3.2. 授权请求的配置

我们将从进行授权请求的必要配置开始。

在这里,我们允许对/login进行匿名访问,以便用户可以进行身份验证。我们将/admin限制为ADMIN角色并保护其他一切:

   @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.csrf()
            .disable()
            .authorizeRequests()
            .antMatchers("/admin/**")
            .hasRole("ADMIN")
            .antMatchers("/anonymous*")
            .anonymous()
            .antMatchers("/login*")
            .permitAll()
            .anyRequest()
            .authenticated()
            .and()
            // ...
    }

注意: antMatchers()元素的顺序很重要;更具体的规则需要先出现,然后是更一般的规则

3.3. 表单登录配置

接下来我们将扩展上面的配置用于表单登录和注销:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
      // ...
      .and()
      .formLogin()
      .loginPage("/login.html")
      .loginProcessingUrl("/perform_login")
      .defaultSuccessUrl("/homepage.html", true)
      .failureUrl("/login.html?error=true")
      .failureHandler(authenticationFailureHandler())
      .and()
      .logout()
      .logoutUrl("/perform_logout")
      .deleteCookies("JSESSIONID")
      .logoutSuccessHandler(logoutSuccessHandler());
      return http.build();
}
  • loginPage() – 自定义登录页面
  • loginProcessingUrl() – 提交用户名和密码的 URL
  • defaultSuccessUrl() – 登录成功后的登陆页面
  • failureUrl() – 登录失败后的登陆页面
  • logoutUrl() – 自定义注销

4. 为Web应用添加Spring Security

要使用上面定义的 Spring Security 配置,我们需要将其附加到 Web 应用程序。

我们将使用WebApplicationInitializer,因此我们不需要提供任何web.xml

public class AppInitializer implements WebApplicationInitializer {

    @Override
    public void onStartup(ServletContext sc) {

        AnnotationConfigWebApplicationContext root = new AnnotationConfigWebApplicationContext();
        root.register(SecSecurityConfig.class);

        sc.addListener(new ContextLoaderListener(root));

        sc.addFilter("securityFilter", new DelegatingFilterProxy("springSecurityFilterChain"))
          .addMappingForUrlPatterns(null, false, "/*");
    }
}

注意: 如果我们使用的是 Spring Boot 应用程序,则不需要此初始化程序。有关如何在 Spring Boot 中加载安全配置的更多详细信息,请查看我们关于Spring Boot 安全自动配置的文章。

5. Spring Security XML配置

让我们也看看相应的 XML 配置。

整个项目使用的是Java配置,所以我们需要通过Java的*@Configuration*类导入XML配置文件:

@Configuration
@ImportResource({ "classpath:webSecurityConfig.xml" })
public class SecSecurityConfig {
   public SecSecurityConfig() {
      super();
   }
}

和 Spring Security XML 配置,webSecurityConfig.xml

<http use-expressions="true">
    <intercept-url pattern="/login*" access="isAnonymous()" />
    <intercept-url pattern="/**" access="isAuthenticated()"/>

    <form-login login-page='/login.html' 
      default-target-url="/homepage.html" 
      authentication-failure-url="/login.html?error=true" />
    <logout logout-success-url="/login.html" />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="user1" password="user1Pass" authorities="ROLE_USER" />
        </user-service>
        <password-encoder ref="encoder" />
    </authentication-provider>
</authentication-manager>

<beans:bean id="encoder" 
  class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
</beans:bean>

6. web.xml

在引入 Spring 4 之前,我们习惯于在*web.xml 中配置 Spring Security;*只有一个额外的过滤器添加到标准的 Spring MVC web.xml中:

<display-name>Spring Secured Application</display-name>

<!-- Spring MVC -->
<!-- ... -->

<!-- Spring Security -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

过滤器 - DelegatingFilterProxy - 简单地委托给 Spring 管理的 bean - FilterChainProxy - 它本身能够从完整的 Spring bean 生命周期管理等中受益。

7.登录表单

登录表单页面将使用将视图名称映射到 URL的直接机制向 Spring MVC 注册。此外,两者之间不需要显式控制器:

registry.addViewController("/login.html");

这当然对应于login.jsp

<html>
<head></head>
<body>
   <h1>Login</h1>
   <form name='f' action="login" method='POST'>
      <table>
         <tr>
            <td>User:</td>
            <td><input type='text' name='username' value=''></td>
         </tr>
         <tr>
            <td>Password:</td>
            <td><input type='password' name='password' /></td>
         </tr>
         <tr>
            <td><input name="submit" type="submit" value="submit" /></td>
         </tr>
      </table>
  </form>
</body>
</html>

Spring 登录表单具有以下相关工件:

  • 登录- 发布表单以触发身份验证过程的 URL
  • 用户名——用户名
  • 密码——密码

8. 进一步配置Spring登录

上面我们在介绍Spring Security Configuration的时候简单的讨论了登录机制的几个配置。现在让我们更详细地讨论一下。

覆盖 Spring Security 中大多数默认值的原因之一是**隐藏应用程序受 Spring Security 保护的事实。**我们还希望尽量减少潜在攻击者对应用程序的了解。

完全配置后,登录元素如下所示:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.formLogin()
      .loginPage("/login.html")
      .loginProcessingUrl("/perform_login")
      .defaultSuccessUrl("/homepage.html",true)
      .failureUrl("/login.html?error=true")
    return http.build();
}

或者相应的XML配置:

<form-login 
  login-page='/login.html' 
  login-processing-url="/perform_login" 
  default-target-url="/homepage.html"
  authentication-failure-url="/login.html?error=true" 
  always-use-default-target="true"/>

8.1. 登录页面

接下来我们将使用 loginPage() 方法配置自定义登录页面:

http.formLogin()
  .loginPage("/login.html")

同样,我们可以使用 XML 配置:

login-page='/login.html'

如果我们不指定它,Spring Security 将在/login URL 生成一个非常基本的登录表单。

8.2. 用于登录的 POST URL

Spring Login 将 POST 以触发身份验证过程的默认 URL 是/login,在*Spring Security 4之前它曾经是*/j_spring_security_check

我们可以使用loginProcessingUrl 方法来覆盖这个 URL:

http.formLogin()
  .loginProcessingUrl("/perform_login")

我们还可以使用 XML 配置:

login-processing-url="/perform_login"

通过覆盖此默认 URL,我们隐藏了该应用程序实际上是受 Spring Security 保护的。此信息不应从外部获得。

8.3. 成功的登录页

成功登录后,我们将被重定向到默认情况下是 Web 应用程序根目录的页面。

我们可以通过*defaultSuccessUrl()*方法覆盖它:

http.formLogin()
  .defaultSuccessUrl("/homepage.html")

或者使用 XML 配置:

default-target-url="/homepage.html"

如果always-use-default-target属性设置为 true,则用户总是被重定向到该页面。如果该属性设置为 false,则在提示用户进行身份验证之前,用户将被重定向到他们想要访问的上一个页面。

8.4. 失败的登录页

与登录页面类似,登录失败页面由 Spring Security 在/login? 默认错误。

要覆盖它,我们可以使用 *failureUrl()*方法:

http.formLogin()
  .failureUrl("/login.html?error=true")

或者使用 XML:

authentication-failure-url="/login.html?error=true"

9. 结论

在这个Spring Login Example中,我们配置了一个简单的身份验证过程。我们还讨论了 Spring Security 登录表单、安全配置和一些可用的更高级的定制。

本文的实现可以在GitHub 项目中找到——这是一个基于 Eclipse 的项目,因此应该很容易导入并按原样运行。

当项目在本地运行时,可以在以下位置访问示例 HTML:

http://localhost:8080/spring-security-mvc-login/login.html
爱游泳的老白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Spring SecurityformLogin登录认证模式
08-25
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的formLogin模式登录认证模式,感兴趣的朋友跟随小编一起看看吧
Spring Security --- formLogin配置
汤键的博客
04-19 1542
Spring Security --- formLogin配置
SpringSecurity6 Form表单登录官方案例
最新发布
qq_44460210的博客
05-11 237
提示是否登出,点击确定则跳转到默认登录页面。
Spring Security】入门篇-formLogin登录认证模式
qq_42980244的博客
08-14 3272
1.概述 spring security是能够在Web请求级别和方法调用级别处理身份验证(认证who are you?)和授权(批准what can you do?)的安全框架 spring security从两个角度解决安全问题 1.使用Servlet规范中的Filter保护Web请求并限制URL级别的访问; 2.使用spring Aop保护方法调用,借用动态代理和使用通知确保只有在具有相应权限的用户才能访问被保护的方法 今天先来明白一下身份验证,spring security身份验证有两种,H
SpringSecurity权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解
最爱嫣夜来
03-23 1714
1、演示环境准备 1)创建一个Springboot的项目 2)整合spring security框架依赖 3)整合thymeleaf模板引擎依赖 2、自定义CustomWebSecurityConfigurerAdapter配置使用详解 项目结构大体如下: 2.1 配置自定义登录页面 2.1.1 效果实现 2.1.1.1 自定义login.html页面 2.1.1.2 Controller层显示login.html页面的前端控制器 package com.kkarma.web.controller
Spring Security 使用自带的 formLogin
qq_44131750的博客
04-17 2874
Session、Cookie 登陆认证 就是认证是否为合法用户,简单的说是登录。一般为匹对用户名和密码,即认证成功。 在 Spring Security 认证中,只要解决如下几个问题: 哪个类表示用户? 哪个属性表示用户名? 哪个属性表示密码? 怎么通过用户名取到对应的用户? 密码的验证方式是什么? 所有的自定义行为都是围绕这几个问题展开的 认证的执行流程就是 它会拿到用户输入的用户名密码; 根据用户名通过 UserDetailsService 的 loadUserByUsername(usernam
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
Spring security如何实现记录用户登录时间功能
08-24
<security:form-login login-page="/login.html" login-processing-url="/login" username-parameter="username" password-parameter="password" authentication-failure-forward-url="/failed.html" ...
Spring security登录过程逻辑详解
08-19
Spring Security 登录过程逻辑详解 Spring Security 是一个广泛使用的 Java 安全框架,提供了完善的身份验证和授权机制。本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解...
详解Spring Security 简单配置
08-30
<security:form-login login-page="/login" default-target-url="/welcome" /> <security:logout logout-url="/logout" logout-success-url="/login" /> </security:http> <security:authentication-manager ...
spring security自定义登录页面
08-29
<form action="j_spring_security_check" method="post"> 用户名: 密码: 登录" /> </form> ``` 问题解决 在使用自定义登录页面时,我们可能会遇到一些问题。例如,如果我们没有设置登录...
Spring security 入门学习笔记
qzonemen的专栏
12-06 1218
整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy核心过滤器里面是过滤器链(列表),过滤器链的每个元素都是一组URL对应一组过滤器WebSecurity用来创建FilterChainProxy过滤器, HttpSecurity用来创建过滤器链的每个元素。关注两个东西:和框架的用法就是通过对进行配置框架用法是写一个自定义配置类,继承,重写几个方法就是的适配器对象 1、SpringSecurity主要配置详解 涉及到需要掌握和了解
SpringSecurity使用
LD_HH的博客
09-02 1169
①、解决默认进入login页面的方法 当我们在创建springboot的时候选择了springsecurity maven就会发现一直跳转在springsecurity自带的login页面 1、直接将maven去除 2、加上(exclude = {SecurityAutoConfiguration.class}) //取消登录验证 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 3、可以设置login的账号和
Spring Boot整合Spring Security(二)自定义登录界面——formLogin()的配置
时雨吹雪的博客
01-28 2449
SpringSecurity配置formLogin登录界面
spring security起步三:自定义登录配置与form-login属性详解
热门推荐
小鱼儿的专栏
07-12 9万+
spring security 自定义登录页 spring security custom login 404 Not Found spring security 自定义登录 405 method not supported
spring security-formLogin表单登录和注销(spring security默认表单关闭)
西京刀客
08-27 3702
文章目录spring security-formLogin表单登录如何取消默认自带的表单登录参考 spring security-formLogin表单登录 表单登录即在form表单中输入用户名/密码,提交登录,在spring security中默认配置了formLogin来实现表单登录。 预置url和页面 因为formLogin自动配置了一些url和页面: /login (get):登录页面,任意没有登录的请求都会跳转到这里,就是上面看到的那个页面。 /login (post):登录接口,在登录页面点击
SpringSecurity框架
w_rj0824的博客
07-20 677
用户登录系统时我们协助 SpringSecurity 把 用户对应的角色、权限组装好,同时把各个资源所要求的权限信息设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity
Spring Security打造一个简单Login登录页面,实现登录+跳转+注销+角色权限功能,核心代码不到100行!
m0_59562547的博客
10-20 5307
#Spring Security简介 信息安全可以说是任何公司的红线,一般项目都会有严格的认证和授权操作。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,来自于Spring家族,专注于为 Java 应用程序提供身份验证和授权,它是保护基于Spring应用程序的事实上的行业标准。 就我理解和使用而言,Spring Security配置即用、功能强大、非常灵活,能将开发人员从大量安全协议和开发中解脱出来,更加专注于业务。 #Login登录页面设计思路和流程图: 认证和授
spring security面经
05-13
<security:form-login /> </security:http> ``` 8. Spring Security中如何防止跨站点请求伪造(CSRF)攻击? 可以通过在Spring Security配置文件中启用CSRF防护来防止跨站点请求伪造攻击。例如: ``` <security:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值