Spring Security自定义登录页面认证过程常用配置
目录
- 一、自定义登录页面
- 1.编写登录页面
- 2.修改配置类
- 3.编写控制器
- 二、 认证过程其他常用配置
- 1.失败跳转
- 1.1编写页面
- 1.2修改表单配置
- 1.3添加控制器方法
- 1.4设置fail.html不需要认证
- 2.设置请求账户和密码的参数名
- 2.1源码简介
- 2.2修改配置
- 2.3修改页面
- 3.自定义登录成功处理器
- 3.1源码分析
- 3.2代码实现
- 4.自定义登录失败处理器
- 4.1源码分析
- 4.2代码实现
一、自定义登录页面
虽然Spring Security给我们提供了登录页面,但是对于实际项目中,大多喜欢使用自己的登录页面。所以Spring Security中不仅仅提供了登录页面,还支持用户自定义登录页面。实现过程也比较简单,只需要修改配置类即可。
1.编写登录页面
别写登录页面,登录页面中
的action不编写对应控制器也可以。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>内容</title>
</head>
<body>
<form action="/login" method="post">
<input type="text" name="username"/>
<input type="password" name="password"/>
<input type="submit" value="提交"/>
</form>
</body>
</html>
2.修改配置类
修改配置类中主要是设置哪个页面是登录页面。配置类需要继承WebSecurityConfigurerAdapter,并重写configure方法。
successForwardUrl()登录成功后跳转地址
loginPage() 登录页面
loginProcessingUrl 登录页面表单提交地址,此地址可以不真实存在。
antMatchers():匹配内容
permitAll():允许
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// 表单认证
http.formLogin()
.loginProcessingUrl("/login")
//当发现/login时认为是登录,需要执行
UserDetailsServiceImpl
.successForwardUrl("/toMain") //此处是post请求
.loginPage("/login.html");
// url 拦截
http.authorizeRequests()
.antMatchers("/login.html").permitAll() //login.html不需要被认证
.anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访问。
//关闭csrf防护
http.csrf().disable();
}
@Bean
public PasswordEncoder getPe(){
return new BCryptPasswordEncoder();
}
}
3.编写控制器
编写控制器,当用户登录成功后跳转toMain控制器。编写完成控制器后编写main.html。页面中随意写上一句话表示main.html页面内容即可。而之前的/login控制器方法是不执行的,所以可以删除了。
@Controller
public class LoginController {
// 该方法不会被执行
// @RequestMapping("/login")
// public String login(){
// System.out.println("执行了login方法");
// return "redirect:main.html";
// }
@PostMapping("/toMain")
public String toMain(){
return "redirect:/main.html";
}
}
二、 认证过程其他常用配置
1.失败跳转
表单处理中成功会跳转到一个地址,失败也可以跳转到一个地址中。
1.1编写页面
在src/main/resources/static下新建fail.html并编写如下内容
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
操作失败,请重新登录. <a href="/login.html" rel="external nofollow" >跳转</a>
</body>
</html>
1.2修改表单配置
在配置方法中表单认证部分添加failureForwardUrl()方法,表示登录失败跳转的url。此处依然是POST请求,所以跳转到可以接收POST请求的控制器/fail中。
// 表单认证
http.formLogin()
.loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl
.successForwardUrl("/toMain") //此处是post请求
.failureForwardUrl("/fail") //登录失败跳转地址
.loginPage("/login.html");
1.3添加控制器方法
在控制器类中添加控制器方法,方法映射路径/fail。此处要注意:由于是POST请求访问/fail。所以如果返回值直接转发到fail.html中,及时有效果,控制台也会报警告,提示fail.html不支持POST访问方式。
@PostMapping("/fail")
public String fail(){
return "redirect:/fail.html";
}
1.4设置fail.html不需要认证
认证失败跳转到fail.html页面中,所以必须配置fail.html不需要被认证。需要修改配置类中内容
// url 拦截
http.authorizeRequests()
.antMatchers("/login.html").permitAll() //login.html不需要被认证
.antMatchers("/fail.html").permitAll() //fail.html不需要被认证
.anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访问。
2.设置请求账户和密码的参数名
2.1源码简介
当进行登录时会执行UsernamePasswordAuthenticationFilter过滤器。
usernamePasrameter:账户参数名
passwordParameter:密码参数名
postOnly=true:默认情况下只允许POST请求。
2.2修改配置
// 表单认证
http.formLogin()
.loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl
.successForwardUrl("/toMain") //此处是post请求
.failureForwardUrl("/fail") //登录失败跳转地址
.loginPage("/login.html")
.usernameParameter("myusername")
.passwordParameter("mypassword");
2.3修改页面
修改login.html
<form action = "/login" method="post">
用户名:<input type="text" name="myusername"/><br/>
密码:<input type="password" name="mypassword"/><br/>
<input type="submit" value="登录"/>
</form>
3.自定义登录成功处理器
3.1源码分析
使用successForwardUrl()时表示成功后转发请求到地址。内部是通过successHandler()方法进行控制成功后交给哪个类进行处理
ForwardAuthenticationSuccessHandler内部就是最简单的请求转发。由于是请求转发,当遇到需要跳转到站外或在前后端分离的项目中就无法使用了。
当需要控制登录成功后去做一些事情时,可以进行自定义认证成功控制器。
3.2代码实现
3.2.1自定义类
新建类com.msb.handler.MyAuthenticationSuccessHandler编写如下:
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
//Principal 主体,存放了登录用户的信息
User user = (User)authentication.getPrincipal();
System.out.println(user.getUsername());
System.out.println(user.getPassword());//密码输出为null
System.out.println(user.getAuthorities());
//重定向到百度。这只是一个示例,具体需要看项目业务需求
httpServletResponse.sendRedirect("http://www.baidu.com");
}
}
3.2.2修改配置项
使用successHandler()方法设置成功后交给哪个对象进行处理
// 表单认证
http.formLogin()
.loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl
.successHandler(new MyAuthenticationSuccessHandler())
//.successForwardUrl("/toMain") //此处是post请求
.failureForwardUrl("/fail") //登录失败跳转地址
.loginPage("/login.html");
4.自定义登录失败处理器
4.1源码分析
ForwardAuthenticationFailureHandler中也是一个请求转发,并在request作用域中设置 SPRING_SECURITY_LAST_EXCEPTION的key,内容为异常对象。
4.2代码实现
4.2.1新建控制器
新建com.msb.handler.MyForwardAuthenticationFailureHandler实现AuthenticationFailureHandler。
在方法中添加重定向语句
public class MyForwardAuthenticationFailureHandler implements AuthenticationFailureHandler {
@Override
public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
httpServletResponse.sendRedirect("/fail.html");
}
}
4.2.2修改配置类
修改配置类中表单登录部分。设置失败时交给失败处理器进行操作。failureForwardUrl和failureHandler不可共存。
// 表单认证
http.formLogin()
.loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl
.successHandler(new MyAuthenticationSuccessHandler())
//.successForwardUrl("/toMain") //此处是post请求
.failureHandler(new MyForwardAuthenticationFailureHandler())
// .failureForwardUrl("/fail") //登录失败跳转地址
.loginPage("/login.html");
以上就是Spring Security自定义登录页面认证过程常用配置的详细内容,更多关于Spring Security登录认证配置的资料请关注我们其它相关文章!
相关推荐
-
SpringSecurity构建基于JWT的登录认证实现
最近项目的登录验证部分,采用了 JWT 验证的方式.并且既然采用了 Spring Boot 框架,验证和权限管理这部分,就自然用了 Spring Security.这里记录一下具体实现. 在项目采用 JWT 方案前,有必要先了解它的特性和适用场景,毕竟软件工程里,没有银弹.只有合适的场景,没有万精油的方案. 一言以蔽之,JWT 可以携带非敏感信息,并具有不可篡改性.可以通过验证是否被篡改,以及读取信息内容,完成网络认证的三个问题:"你是谁"."你有哪些权限".&qu
-
Spring Security使用数据库登录认证授权
目录 一.搭建项目环境 1.创建 RBAC五张表 2.创建项目 二.整合 Spring Security实现用户认证 1.后端整合 2.前端整合 三.整合 Spring Security实现用户授权 1.后端 2.前端 一.搭建项目环境 1.创建 RBAC五张表 RBAC,即基于角色的权限访问控制(Role-Based Access Control),就是用户通过角色与权限进行关联.在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系. 在 MySQL数据库中,创建如下几个表: D
-
Spring Security 自定义短信登录认证的实现
自定义登录filter 上篇文章我们说到,对于用户的登录,security通过定义一个filter拦截login路径来实现的,所以我们要实现自定义登录,需要自己定义一个filter,继承AbstractAuthenticationProcessingFilter,从request中提取到手机号和验证码,然后提交给AuthenticationManager: public class SmsAuthenticationFilter extends AbstractAuthenticationPro
-
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进行了很好的无缝连接,在移动互联网的授权认证方面有很强的优势,具体的使用大家可以结合自己的业务场景进行选
-
Springboot+Spring Security实现前后端分离登录认证及权限控制的示例代码
目录 前言 本文主要的功能 一.准备工作 1.统一错误码枚举 2.统一json返回体 3.返回体构造工具 4.pom 5.配置文件 二.数据库表设计 初始化表数据语句 三.Spring Security核心配置:WebSecurityConfig 四.用户登录认证逻辑:UserDetailsService 1.创建自定义UserDetailsService 2.准备service和dao层方法 五.用户密码加密 六.屏蔽Spring Security默认重定向登录页面以实现前后端分离功能 1.实
-
Spring Security自定义登录页面认证过程常用配置
目录 一.自定义登录页面 1.编写登录页面 2.修改配置类 3.编写控制器 二. 认证过程其他常用配置 1.失败跳转 1.1编写页面 1.2修改表单配置 1.3添加控制器方法 1.4设置fail.html不需要认证 2.设置请求账户和密码的参数名 2.1源码简介 2.2修改配置 2.3修改页面 3.自定义登录成功处理器 3.1源码分析 3.2代码实现 4.自定义登录失败处理器 4.1源码分析 4.2代码实现 一.自定义登录页面 虽然Spring Security给我们提供了登录页面,但是对于实际
-
spring security自定义登录页面
在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面讲一下如何自定义登录页面,先看下配置 <sec:http auto-config="true"> <sec:intercept-url pattern="/app.jsp" access="ROLE_SERVICE"/> <sec:intercept-url pattern="/**" access="
-
基于spring security实现登录注销功能过程解析
这篇文章主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 1.引入maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependenc
-
Spring Security 自定义资源服务器实践过程
目录 前言 最小化配置 安装资源服务器 配置资源服务器 配置客户端 整流程体验 总结 前言 在前面我们使用最小化配置的方式搭建了自己的授权服务器,现在我们依旧用最小化的方式配置自己的资源服务器.资源服务器负责scope的鉴权.authorities的鉴权.基于用户角色的鉴权等. 最小化配置 安装资源服务器 1. 新建一个Spring Boot项目,命名为spring-security-resource-server2.引入pom.xml依赖 <dependency> <groupId&g
-
Spring Security自定义登录原理及实现详解
1. 前言 前面的关于 Spring Security 相关的文章只是一个预热.为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始.安全访问的第一步就是认证(Authentication),认证的第一步就是登录.今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能. 2. form 登录的流程 下面是 form 登录的基本流程: 只要是 form 登录基本都能转化为上面的流程.接下来我们看看 Spring
-
Spring Security基于数据库实现认证过程解析
创建数据库 SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for role -- ---------------------------- DROP TABLE IF EXISTS `role`; CREATE TABLE `role` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(32) DEFAULT NULL, `nam
-
spring security自定义认证登录的全过程记录
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为: 1.不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo: 2.使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差: 3.spring security和Acegi不同,它不能修改默认filter了,但支持插入filter,所以根据这个,我们可以插入自己的f
-
Spring security自定义用户认证流程详解
1.自定义登录页面 (1)首先在static目录下面创建login.html 注意:springboot项目默认可以访问resources/resources,resources/staic,resources/public目录下面的静态文件 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>登录页面</titl
-
Spring Security自定义认证器的实现代码
目录 Authentication AuthenticationProvider SecurityConfigurerAdapter UserDetailsService TokenFilter 登录过程 在了解过Security的认证器后,如果想自定义登陆,只要实现AuthenticationProvider还有对应的Authentication就可以了 Authentication 首先要创建一个自定义的Authentication,Security提供了一个Authentication的子