当前位置: 开发笔记 > 前端 > 正文

Springsecurity自定义用户认证流程详解

作者：Tony_Friday | 来源：互联网 | 2022-04-24 16:16

这篇文章主要介绍了Springsecurity自定义用户认证流程详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

1.自定义登录页面

（1）首先在static目录下面创建login.html

　注意：springboot项目默认可以访问resources/resources,resources/staic,resources/public目录下面的静态文件




  
  



  用户名:
  

  密 码:

(2)在spring securiy配置类中做如下配置

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
        // 指定自定义登录页面
        .loginPage("/login.html")
        // 登录url
        .loginProcessingUrl("/auth/login")
        .and()
        .authorizeRequests()
        // 添加一个url匹配器，如果匹配到login.html，就授权
        .antMatchers("/login.html").permitAll()
        .anyRequest()
        .authenticated()
        .and()
        // 关闭spring security默认的防csrf攻击
        .csrf().disable();
  }

(3)测试

略

(4)存在的问题

<1>作为可以复用的登录模块，我们应该提供个性化的登录页面，也就是说不能写死只跳转到login.html。

　　　　此问题比较好解决，使用可配置的登录页面，默认使用login.html即可。

<2> 请求跳转到login.html登录页面，貌似没有什么问题，但作为restful风格的接口，一般响应的都是json数据格式，尤其是app请求。

　　　　解决思想：用户发起数据请求 --> security判断是否需要身份认证 ----->跳转到一个自定义的controller方法 ------>在该方法内判断是否是html发起的请求，如果是，就跳转到login.html，如果不是，响应一个json格式的数据，说明错误信息。

自定义Controller

@Slf4j
@RestController
public class LoginController {

  /**
   * 请求缓存
   */
  private RequestCache requestCache = new HttpSessionRequestCache();

  /**
   * 重定向工具类
   */
  private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

  /**
   * 如果配置的登录页就使用配置的登录面，否则使用默认的登录页面
   */
//  @Value("${xxxx:defaultLoginPage}")
//  private String standardLoginPage;
  private String standardLoginPage = "/login.html"; // 登录页

  /**
   * 用户身份认证方法
   */
  @GetMapping("/user/auth")
  @ResponseStatus(code = HttpStatus.UNAUTHORIZED) // 返回状态
  public ResponseData login(HttpServletRequest request, HttpServletResponse response) throws IOException {
    SavedRequest savedRequest = requestCache.getRequest(request, response);
    if (savedRequest != null) {
      String targetUrl = savedRequest.getRedirectUrl();
      log.info("请求是：" + targetUrl);
      // 如果请求是以html结尾
      if (StringUtils.endsWithIgnoreCase(targetUrl, ".html")) {
        redirectStrategy.sendRedirect(request, response, standardLoginPage);
      }
    }
    return new ResponseData("该请求需要登录,js拿到我的响应数据后，是否需要跳转到登录页面你自己看着办吧？");
  }
}

spring security给该controller的login方法授权

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
        // 先进controller中去
        .loginPage("/user/auth")
        // 指定自定义登录页面
        .loginPage("/login.html")
        // 登录url
        .loginProcessingUrl("/auth/login")
        .and()
        .authorizeRequests()
        // 该controller需要授权
        .antMatchers("/user/auth").permitAll()
        // 添加一个url匹配器，如果匹配到login.html，就授权
        .antMatchers("/login.html").permitAll()
        .anyRequest()
        .authenticated()
        .and()
        // 关闭spring security默认的防csrf攻击
        .csrf().disable();
  }

这样子就行了！！！　

2. 自定义登录成功处理（返回json）

（1）实现AuthenticationSuccessHandler.java

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.MediaType;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Slf4j
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
  @Autowired
  private ObjectMapper objectMapper;
  /**
   * Called when a user has been successfully authenticated.
   * @param request
   * @param response
   * @param authentication
   * @throws IOException
   * @throws ServletException
   */
  @Override
  public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    log.info("登录成功！！！");
    // 将登录成功的信息写到前端
    response.setContentType(MediaType.APPLICATION_JSON_VALUE);
    response.getWriter().write(objectMapper.writeValueAsString(authentication));

  }
}

（2）修改security配置类

@Autowired
  private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
        // 先进controller中去
        .loginPage("/user/auth")
        // 指定自定义登录页面
        .loginPage("/login.html")
        // 登录url
        .loginProcessingUrl("/auth/login")
        .successHandler(myAuthenticationSuccessHandler)
        .and()
        .authorizeRequests()
        // 该controller需要授权
        .antMatchers("/user/auth").permitAll()
        // 添加一个url匹配器，如果匹配到login.html，就授权
        .antMatchers("/login.html").permitAll()
        .anyRequest()
        .authenticated()
        .and()
        // 关闭spring security默认的防csrf攻击
        .csrf().disable();
  }

（3）测试

说明：authentication对象中包含的信息，会因为登录方式的不同而发生改变

3.自定义登录失败处理(返回json)

　　实现AuthenticationFailureHandler.java接口即可，跟登录成败处理配置一样。

4.自定义登录成功处理逻辑

　以上的登录成功或失败的返回的都是json，但是在某些情况下，就是存在着登录成功或者失败进行页面跳转（spring security默认的处理方式），那么这种返回json的方式就不合适了。所以，我们应该做得更灵活，做成可配置的。

　对于登录成功逻辑而言只需要对MyAuthenticationSuccessHandler.java稍做修改就行，代码如下所示：

/**
 * SavedRequestAwareAuthenticationSuccessHandler spring security 默认的成功处理器
 */
@Slf4j
@Component
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
  @Autowired
  private ObjectMapper objectMapper;

  /**
   * 配置的登录方式
   */
//  @Value("${xxx:默认方式}")
  private String loginType = "JSON";
  /**
   * Called when a user has been successfully authenticated.
   */
  @Override
  public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    log.info("登录成功！！！");

    // 如果配置的登录方式是JSON，就返回json数据
    if ("JSON".equals(loginType)) {
      // 将登录成功的信息写到前端
      response.setContentType(MediaType.APPLICATION_JSON_VALUE);
      response.getWriter().write(objectMapper.writeValueAsString(authentication));
    } else { // 否则就使用默认的跳转方式
      super.onAuthenticationSuccess(request,response,authentication);
    }
  }
}

5.自定义登录失败处理逻辑

同登录成功类似，具体代码如下：

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Slf4j
@Component
public class MySimpleUrlAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
  @Autowired
  private ObjectMapper objectMapper;

  /**
   * 配置的登录方式
   */
//  @Value("${xxx:默认方式}")
  private String loginType = "JSON";
  @Override
  public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
    log.info("登录失败！！！");

    // 如果配置的登录方式是JSON，就返回json数据
    if ("JSON".equals(loginType)) {
      // 将登录成功的信息写到前端
      response.setStatus(HttpStatus.UNAUTHORIZED.value());
      response.setContentType(MediaType.APPLICATION_JSON_VALUE);
      response.getWriter().write(objectMapper.writeValueAsString(exception));
    } else { // 否则就使用默认的跳转方式，跳转到一个错误页面
      super.onAuthenticationFailure(request,response,exception);
    }
  }
}

@Autowired
  private MySimpleUrlAuthenticationFailureHandler mySimpleUrlAuthenticationFailureHandler;
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
        // 先进controller中去
        .loginPage("/user/auth")
        // 指定自定义登录页面
        .loginPage("/login.html")
        // 登录url
        .loginProcessingUrl("/auth/login")
        .successHandler(myAuthenticationSuccessHandler)
        .failureHandler(mySimpleUrlAuthenticationFailureHandler)
        .and()
        .authorizeRequests()
        // 该controller需要授权
        .antMatchers("/user/auth").permitAll()
        // 添加一个url匹配器，如果匹配到login.html，就授权
        .antMatchers("/login.html").permitAll()
        .anyRequest()
        .authenticated()
        .and()
        // 关闭spring security默认的防csrf攻击
        .csrf().disable();
  }

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

推荐阅读

json
Django框架进阶教程：掌握Ajax请求的基础知识与应用技巧

本教程深入探讨了Django框架中Ajax请求的核心概念与实用技巧，帮助开发者掌握异步数据交互的方法，提升Web应用的响应速度和用户体验。通过实例解析，详细介绍了如何在Django项目中高效实现Ajax请求，涵盖从基础配置到复杂场景的应用。 ... [详细]

蜡笔小新 2024-10-28 17:50:02
json
REST与RPC：选择哪种API架构风格？

在探讨REST与RPC这两种API架构风格的选择时，本文首先介绍了RPC（远程过程调用）的概念。RPC允许客户端通过网络调用远程服务器上的函数或方法，从而实现分布式系统的功能调用。相比之下，REST（Representational State Transfer）则基于资源的交互模型，通过HTTP协议进行数据传输和操作。本文将详细分析两种架构风格的特点、适用场景及其优缺点，帮助开发者根据具体需求做出合适的选择。 ... [详细]

蜡笔小新 2024-11-07 12:00:58
json
Flask RESTful API 设计指南

本文探讨了为何采用RESTful架构及其优势，特别是在现代Web应用开发中的重要性。通过前后端分离和统一接口设计，RESTful API能够提高开发效率，支持多种客户端，并简化维护。 ... [详细]

蜡笔小新 2024-12-03 19:41:21
json
django项目中使用手机号登录

本文使用聚合数据的短信接口，需要先获取到申请接口的appkey和模板id项目目录下创建ubtils文件夹，定义返回随机验证码和调取短信接口的函数function.py文件se ... [详细]

蜡笔小新 2024-11-29 05:44:12
console
技术分享：使用 Flask、AngularJS 和 Jinja2 构建高效前后端交互系统

技术分享：使用 Flask、AngularJS 和 Jinja2 构建高效前后端交互系统 ... [详细]

蜡笔小新 2024-11-11 15:24:24
json
Web开发框架概览：Java与JavaScript技术及框架综述

Web开发涉及服务器端和客户端的协同工作。在服务器端，Java是一种优秀的编程语言，适用于构建各种功能模块，如通过Servlet实现特定服务。客户端则主要依赖HTML进行内容展示，同时借助JavaScript增强交互性和动态效果。此外，现代Web开发还广泛使用各种框架和库，如Spring Boot、React和Vue.js，以提高开发效率和应用性能。 ... [详细]

蜡笔小新 2024-11-09 11:59:38
json
Ceph API微服务实现RBD块设备的高效创建与安全删除

本文旨在实现Ceph块存储中RBD块设备的高效创建与安全删除功能。开发环境为CentOS 7，使用 IntelliJ IDEA 进行开发。首先介绍了 librbd 的基本概念及其在 Ceph 中的作用，随后详细描述了项目 Gradle 配置的优化过程，确保了开发环境的稳定性和兼容性。通过这一系列步骤，我们成功实现了 RBD 块设备的快速创建与安全删除，提升了系统的整体性能和可靠性。 ... [详细]

蜡笔小新 2024-10-31 15:11:07
json
REST API 时代落幕，GraphQL 持续引领未来

尽管REST API已广泛使用多年，但在深入了解GraphQL及其解决的核心问题后，我深感其将引领未来的API设计趋势。GraphQL不仅提高了数据查询的效率，还增强了灵活性和性能，有望成为API开发的新标准。 ... [详细]

蜡笔小新 2024-10-27 09:13:29
json
深入探讨ASP.NET Web API与RESTful架构的设计与实现

本文深入探讨了ASP.NET Web API与RESTful架构的设计与实现。ASP.NET Web API 是一个强大的框架，能够简化HTTP服务的开发，使其能够广泛支持各种客户端设备。通过详细分析其核心原理和最佳实践，本文为开发者提供了构建高效、可扩展且易于维护的Web服务的指导。此外，还讨论了如何利用RESTful原则优化API设计，确保系统的灵活性和互操作性。 ... [详细]

蜡笔小新 2024-10-24 10:12:47
v8
FastJSON解析与数据提取技巧

探讨如何高效使用FastJSON进行JSON数据解析，特别是从复杂嵌套结构中提取特定字段值的方法。 ... [详细]

蜡笔小新 2024-12-27 19:49:07
json
mysql数据库json类型数据,sql server json数据类型

mysql数据库json类型数据,sql server json数据类型 ... [详细]

蜡笔小新 2024-11-19 11:05:28
json
DVWA学习笔记系列：深入理解CSRF攻击机制

DVWA学习笔记系列：深入理解CSRF攻击机制 ... [详细]

蜡笔小新 2024-11-11 13:19:51
postman
Spring Boot 参数处理与请求转发：深入探讨RESTful风格下的表单请求解决方案（学习笔记）

本文深入探讨了在Spring Boot中处理RESTful风格的表单请求的方法，包括请求参数处理、请求映射以及RESTful设计原则的应用。文章详细介绍了如何利用HTTP动词（如GET、POST、PUT、DELETE）来操作资源，并结合Spring Boot的注解（如@GetMapping、@PostMapping等）实现高效、清晰的请求处理逻辑。通过实例分析，展示了如何在实际项目中应用这些技术，提高开发效率和代码可维护性。 ... [详细]

蜡笔小新 2024-11-04 16:05:50
json
golangrestful框架之goswagger

restful是这些年的高频词汇了，各大互联网公司也都纷纷推出了自己的restfulapi，其实restful和thrift，grpc类似，就是一种协议，但是这种协议有点特殊的就是 ... [详细]

蜡笔小新 2024-10-15 19:37:48
json
洞见RSAC｜点击获取企业安全策略“工具包”

为用户提供安全智 ... [详细]

蜡笔小新 2024-10-19 15:49:55

Tony_Friday

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章