Spring Security自定義登錄頁面認證過程常用配置
一、自定義登錄頁面
雖然Spring Security給我們提供瞭登錄頁面,但是對於實際項目中,大多喜歡使用自己的登錄頁面。所以Spring Security中不僅僅提供瞭登錄頁面,還支持用戶自定義登錄頁面。實現過程也比較簡單,隻需要修改配置類即可。
1.編寫登錄頁面
別寫登錄頁面,登錄頁面中
的action不編寫對應控制器也可以。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>內容</title>
</head>
<body>
<form action="/login" method="post">
<input type="text" name="username"/>
<input type="password" name="password"/>
<input type="submit" value="提交"/>
</form>
</body>
</html>
2.修改配置類
修改配置類中主要是設置哪個頁面是登錄頁面。配置類需要繼承WebSecurityConfigurerAdapter,並重寫configure方法。
successForwardUrl()登錄成功後跳轉地址
loginPage() 登錄頁面
loginProcessingUrl 登錄頁面表單提交地址,此地址可以不真實存在。
antMatchers():匹配內容
permitAll():允許
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// 表單認證
http.formLogin()
.loginProcessingUrl("/login")
//當發現/login時認為是登錄,需要執行
UserDetailsServiceImpl
.successForwardUrl("/toMain") //此處是post請求
.loginPage("/login.html");
// url 攔截
http.authorizeRequests()
.antMatchers("/login.html").permitAll() //login.html不需要被認證
.anyRequest().authenticated();//所有的請求都必須被認證。必須登錄後才能訪問。
//關閉csrf防護
http.csrf().disable();
}
@Bean
public PasswordEncoder getPe(){
return new BCryptPasswordEncoder();
}
}
3.編寫控制器
編寫控制器,當用戶登錄成功後跳轉toMain控制器。編寫完成控制器後編寫main.html。頁面中隨意寫上一句話表示main.html頁面內容即可。而之前的/login控制器方法是不執行的,所以可以刪除瞭。
@Controller
public class LoginController {
// 該方法不會被執行
// @RequestMapping("/login")
// public String login(){
// System.out.println("執行瞭login方法");
// return "redirect:main.html";
// }
@PostMapping("/toMain")
public String toMain(){
return "redirect:/main.html";
}
}
二、 認證過程其他常用配置
1.失敗跳轉
表單處理中成功會跳轉到一個地址,失敗也可以跳轉到一個地址中。
1.1編寫頁面
在src/main/resources/static下新建fail.html並編寫如下內容
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
操作失敗,請重新登錄. <a href="/login.html" rel="external nofollow" >跳轉</a>
</body>
</html>
1.2修改表單配置
在配置方法中表單認證部分添加failureForwardUrl()方法,表示登錄失敗跳轉的url。此處依然是POST請求,所以跳轉到可以接收POST請求的控制器/fail中。
// 表單認證
http.formLogin()
.loginProcessingUrl("/login") //當發現/login時認為是登錄,需要執行UserDetailsServiceImpl
.successForwardUrl("/toMain") //此處是post請求
.failureForwardUrl("/fail") //登錄失敗跳轉地址
.loginPage("/login.html");
1.3添加控制器方法
在控制器類中添加控制器方法,方法映射路徑/fail。此處要註意:由於是POST請求訪問/fail。所以如果返回值直接轉發到fail.html中,及時有效果,控制臺也會報警告,提示fail.html不支持POST訪問方式。
@PostMapping("/fail")
public String fail(){
return "redirect:/fail.html";
}
1.4設置fail.html不需要認證
認證失敗跳轉到fail.html頁面中,所以必須配置fail.html不需要被認證。需要修改配置類中內容
// url 攔截
http.authorizeRequests()
.antMatchers("/login.html").permitAll() //login.html不需要被認證
.antMatchers("/fail.html").permitAll() //fail.html不需要被認證
.anyRequest().authenticated();//所有的請求都必須被認證。必須登錄後才能訪問。
2.設置請求賬戶和密碼的參數名
2.1源碼簡介
當進行登錄時會執行UsernamePasswordAuthenticationFilter過濾器。
usernamePasrameter:賬戶參數名
passwordParameter:密碼參數名
postOnly=true:默認情況下隻允許POST請求。
2.2修改配置
// 表單認證
http.formLogin()
.loginProcessingUrl("/login") //當發現/login時認為是登錄,需要執行UserDetailsServiceImpl
.successForwardUrl("/toMain") //此處是post請求
.failureForwardUrl("/fail") //登錄失敗跳轉地址
.loginPage("/login.html")
.usernameParameter("myusername")
.passwordParameter("mypassword");
2.3修改頁面
修改login.html
<form action = "/login" method="post">
用戶名:<input type="text" name="myusername"/><br/>
密碼:<input type="password" name="mypassword"/><br/>
<input type="submit" value="登錄"/>
</form>
3.自定義登錄成功處理器
3.1源碼分析
使用successForwardUrl()時表示成功後轉發請求到地址。內部是通過successHandler()方法進行控制成功後交給哪個類進行處理
ForwardAuthenticationSuccessHandler內部就是最簡單的請求轉發。由於是請求轉發,當遇到需要跳轉到站外或在前後端分離的項目中就無法使用瞭。
當需要控制登錄成功後去做一些事情時,可以進行自定義認證成功控制器。
3.2代碼實現
3.2.1自定義類
新建類com.msb.handler.MyAuthenticationSuccessHandler編寫如下:
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
//Principal 主體,存放瞭登錄用戶的信息
User user = (User)authentication.getPrincipal();
System.out.println(user.getUsername());
System.out.println(user.getPassword());//密碼輸出為null
System.out.println(user.getAuthorities());
//重定向到百度。這隻是一個示例,具體需要看項目業務需求
httpServletResponse.sendRedirect("http://www.baidu.com");
}
}
3.2.2修改配置項
使用successHandler()方法設置成功後交給哪個對象進行處理
// 表單認證
http.formLogin()
.loginProcessingUrl("/login") //當發現/login時認為是登錄,需要執行UserDetailsServiceImpl
.successHandler(new MyAuthenticationSuccessHandler())
//.successForwardUrl("/toMain") //此處是post請求
.failureForwardUrl("/fail") //登錄失敗跳轉地址
.loginPage("/login.html");
4.自定義登錄失敗處理器
4.1源碼分析
ForwardAuthenticationFailureHandler中也是一個請求轉發,並在request作用域中設置 SPRING_SECURITY_LAST_EXCEPTION的key,內容為異常對象。
4.2代碼實現
4.2.1新建控制器
新建com.msb.handler.MyForwardAuthenticationFailureHandler實現AuthenticationFailureHandler。
在方法中添加重定向語句
public class MyForwardAuthenticationFailureHandler implements AuthenticationFailureHandler {
@Override
public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
httpServletResponse.sendRedirect("/fail.html");
}
}
4.2.2修改配置類
修改配置類中表單登錄部分。設置失敗時交給失敗處理器進行操作。failureForwardUrl和failureHandler不可共存。
// 表單認證
http.formLogin()
.loginProcessingUrl("/login") //當發現/login時認為是登錄,需要執行UserDetailsServiceImpl
.successHandler(new MyAuthenticationSuccessHandler())
//.successForwardUrl("/toMain") //此處是post請求
.failureHandler(new MyForwardAuthenticationFailureHandler())
// .failureForwardUrl("/fail") //登錄失敗跳轉地址
.loginPage("/login.html");
以上就是Spring Security自定義登錄頁面認證過程常用配置的詳細內容,更多關於Spring Security登錄認證配置的資料請關註WalkonNet其它相關文章!
推薦閱讀:
- SpringSecurity註銷設置的方法
- springboot整合security和vue的實踐
- 解決使用security和靜態資源被攔截的問題
- 一文詳解Spring Security的基本用法
- Spring Security安全框架之記住我功能