Spring Security 登录后重定向到不同的页面

1. 概述

Web 应用程序的一个常见需求是在登录后将不同类型的用户重定向到不同的页面。例如，将标准用户重定向到/homepage.html页面，将管理员用户重定向到/console.html页面就是一个例子。

本文将展示如何使用 Spring Security 快速安全地实现此机制。本文还建立在Spring MVC 教程之上，该教程介绍了设置项目所需的核心 MVC 内容。

2. Spring Security配置

Spring Security 提供了一个组件，它直接负责决定在成功验证后要做什么—— AuthenticationSuccessHandler。

2.1. 基本配置

让我们首先配置一个基本的 @Configuration 和 @Service类：

@Configuration
@EnableWebSecurity
public class SecSecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            // ... endpoints
            .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/login")
                .defaultSuccessUrl("/homepage.html", true)
            // ... other configuration   
        return http.build();
    }
}

此配置中要关注的部分是defaultSuccessUrl()方法。成功登录后，任何用户都将被重定向到homepage.html。

此外，我们需要配置用户及其角色。出于本文的目的，我们将实现一个包含两个用户的简单UserDetailService，每个用户都有一个角色。有关此主题的更多信息，请阅读我们的文章Spring Security – 角色和特权。

@Service
public class MyUserDetailsService implements UserDetailsService {

    private Map<String, User> roles = new HashMap<>();

    @PostConstruct
    public void init() {
        roles.put("admin2", new User("admin", "{noop}admin1", getAuthority("ROLE_ADMIN")));
        roles.put("user2", new User("user", "{noop}user1", getAuthority("ROLE_USER")));
    }

    @Override
    public UserDetails loadUserByUsername(String username) {
        return roles.get(username);
    }

    private List<GrantedAuthority> getAuthority(String role) {
        return Collections.singletonList(new SimpleGrantedAuthority(role));
    }
}

另请注意，在这个简单的示例中，我们不会使用密码编码器，因此密码以*{noop}*为前缀。

2.2. 添加自定义成功处理程序

我们现在有两个具有两个不同角色的用户：user和admin。成功登录后，两者都将被重定向到hompeage.html。让我们看看如何根据用户的角色进行不同的重定向。

首先，我们需要将自定义成功处理程序定义为 bean：

@Bean
public AuthenticationSuccessHandler myAuthenticationSuccessHandler(){
    return new MySimpleUrlAuthenticationSuccessHandler();
}

然后用successHandler法替换defaultSuccessUrl调用，该方法接受我们的自定义成功处理程序作为参数：

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        // endpoints
        .formLogin()
            .loginPage("/login.html")
            .loginProcessingUrl("/login")
            .successHandler(myAuthenticationSuccessHandler())
        // other configuration      
    return http.build();
}

📝注意: 因为successHandler 和 defaultSuccessUrl都包含相似的功能,因此不能同时使用!

2.3. XML配置

在查看我们的自定义成功处理程序的实现之前，让我们再看看等效的 XML 配置：

<http use-expressions="true" >
    <!-- other configuration -->
    <form-login login-page='/login.html' 
      authentication-failure-url="/login.html?error=true"
      authentication-success-handler-ref="myAuthenticationSuccessHandler"/>
    <logout/>
</http>

<beans:bean id="myAuthenticationSuccessHandler"
  class="com.baeldung.security.MySimpleUrlAuthenticationSuccessHandler" />

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="user1" password="{noop}user1Pass" authorities="ROLE_USER" />
            <user name="admin1" password="{noop}admin1Pass" authorities="ROLE_ADMIN" />
        </user-service>
    </authentication-provider>
</authentication-manager>

3. 自定义身份验证成功处理程序

除了AuthenticationSuccessHandler接口，Spring 还为该策略组件提供了一个合理的默认值—— AbstractAuthenticationTargetUrlRequestHandler和一个简单的实现—— SimpleUrlAuthenticationSuccessHandler。通常，这些实现将在登录后确定 URL 并执行到该 URL 的重定向。

虽然有些灵活，但确定此目标 URL 的机制不允许以编程方式完成确定 - 因此我们将实现接口并提供成功处理程序的自定义实现。此实现将根据用户的角色确定在登录后将用户重定向到的 URL。

首先，我们需要重写onAuthenticationSuccess方法：

public class MySimpleUrlAuthenticationSuccessHandler
  implements AuthenticationSuccessHandler {
 
    protected Log logger = LogFactory.getLog(this.getClass());

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, 
      HttpServletResponse response, Authentication authentication)
      throws IOException {
 
        handle(request, response, authentication);
        clearAuthenticationAttributes(request);
    }

我们的自定义方法调用了两个辅助方法：

protected void handle(
        HttpServletRequest request,
        HttpServletResponse response, 
        Authentication authentication
) throws IOException {

    String targetUrl = determineTargetUrl(authentication);

    if (response.isCommitted()) {
        logger.debug(
                "Response has already been committed. Unable to redirect to "
                        + targetUrl);
        return;
    }

    redirectStrategy.sendRedirect(request, response, targetUrl);
}

以下方法执行实际工作并将用户映射到目标 URL：

protected String determineTargetUrl(final Authentication authentication) {

    Map<String, String> roleTargetUrlMap = new HashMap<>();
    roleTargetUrlMap.put("ROLE_USER", "/homepage.html");
    roleTargetUrlMap.put("ROLE_ADMIN", "/console.html");

    final Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
    for (final GrantedAuthority grantedAuthority : authorities) {
        String authorityName = grantedAuthority.getAuthority();
        if(roleTargetUrlMap.containsKey(authorityName)) {
            return roleTargetUrlMap.get(authorityName);
        }
    }

    throw new IllegalStateException();
}

请注意，此方法将返回用户拥有的第一个角色的映射 URL。因此，如果用户具有多个角色，则映射的 URL 将与authorities集合中给出的第一个角色相匹配。

protected void clearAuthenticationAttributes(HttpServletRequest request) {
    HttpSession session = request.getSession(false);
    if (session == null) {
        return;
    }
    session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
}

determineTargetUrl是策略的核心，它只查看用户类型(由授权机构确定)，并基于此角色选择目标URL。

因此，管理员用户（由ROLE_ADMIN权限确定）在登录后将被重定向到控制台页面，而标准用户（由ROLE_USER确定）将被重定向到主页。

4. 结论

与往常一样，本文中提供的代码可在 GitHub 上获得。这是一个基于 Maven 的项目，因此它应该很容易导入并按原样运行。