51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

手摸手教你定制 Spring Security 表单登录

作者:不才陈某
开发 前端
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的FormLogin模式登录认证模式。

在本专栏前篇文章中介绍了HttpBasic模式,该模式比较简单,只是进行了通过携带Http的Header进行简单的登录验证,而且没有可以定制的登录页面,所以使用场景比较窄。

对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的FormLogin模式登录认证模式。

1. 新建项目

在介绍相关内容之前,需要先搭建一个demo,新建一个项目spring-security-02,需要添加依赖如下:

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

除此之外其实还需要添加web、thymeleaf的依赖,这里就不在贴出来了。

demo结构如下:

图片

2. 新建登录页面

这里不再使用Security默认的页面,自己定制一个,代码如下:

图片

单纯的一个表单登录页面,需要注意以下几个参数:

  • action:security登录的url,可以自定义。
  • username:security登录的用户名,可以自定义。
  • password:security登录的密码,可以自定义。

以上三个参数都可以在security通过配置的方式定义。

3. 新建首页

这个是登录成功后跳转的首页,代码如下:

图片

4. 新建接口

在security中一切的接口都称之为资源,下面新建两个测试接口,代码如下:

图片

5. formLogin配置

在介绍如何配置之前,先来看下formLogin模式登录的5个要素:

  • 登录认证逻辑-登录URL:这个URL在security中默认是/login且POST请求,但是也可以通过配置自定义。
  • 如何接收登录参数:用户名、密码默认接收的字段分别是username、password,同样也是可以通过配置自定义。
  • 登陆成功后逻辑:登录成功后的处理逻辑,比如跳转到指定的页面、返回特定的JSON数据,这个也是可以定制。
  • 资源访问控制规则:这个用于控制什么用户、什么角色可以访问什么资源,可以静态指定也可以从数据库中加载。
  • 用户具有角色权限:配置某个用户拥有什么角色、拥有什么权限,可以静态指定也可以从数据库中加载。

一般来说,使用权限认证框架的的业务系统登录验证逻辑是固定的,而资源访问控制规则和用户信息是从数据库或其他存储介质灵活加载的。但本文所有的用户、资源、权限信息都是代码配置写死的,旨在为大家介绍formLogin认证模式,如何从数据库加载权限认证相关信息我还会结合RBAC权限模型再写文章的。

针对上述5个的要素,formLogin配置代码如下:

图片

首先,我们要继承WebSecurityConfigurerAdapte​r ,重写configure(HttpSecurity http) 方法,该方法用来配置登录验证逻辑。请注意看代码中的注释信息。

上述代码分为两个部分:

第一部分是formLogin配置段,用于配置登录验证逻辑相关的信息。如:登录页面、登录成功页面、登录请求处理路径等。

  • .loginPage("/login/page")​:指定的第2步定制的登录页面,需要写个mvc接口跳转到login.html,见源码。
  • .loginProcessingUrl("/login")​:指定处理登录的逻辑的url,这个接口不需要开发者定义,security中通过过滤器。UsernamePasswordAuthenticationFilter处理,后文介绍。
  • .usernameParameter("username")​:指定用户名的接收参数的字段,默认是username,具体逻辑在UsernamePasswordAuthenticationFilter。
  • .passwordParameter("password")​:指定密码的接收参数的字段,默认是username,具体逻辑在UsernamePasswordAuthenticationFilter。
  • .defaultSuccessUrl("/")​:登录认证成功后默认转跳的路径,这里/​则是跳转到/index.html,可以自定义。
  • .failureUrl("/login/page"):登陆失败的跳转的路径。

第二部分是authorizeRequests配置段,用于配置资源的访问控制规则

  • .antMatchers("/login/page","/login").permitAll():配置登录页面、登录接口直接放行,不需要拦截登录
  • .antMatchers("/","/hello1").hasAnyAuthority("ROLE_user","ROLE_admin")​:设置/hello1、/​这两个资源需要user和admin的角色才可以访问。
  • .antMatchers("/hello2").hasAnyRole("admin")​:配置/hello2​这个资源需要admin的角色才可以访问。
  • .anyRequest().authenticated():除了上面的配置的规则,访问其他的资源都需要登录认证通过才可以访问。

6. 用户、角色配置

在上述的规则中配置了一些资源需要特定的角色才可以访问,比如user、admin,那么这些角色如何去指定呢?

在security中提供了配置的方式,代码如下:

图片

上述的代码配置很简单,创建了两个用户且指定了角色,分别如下:

  • user:密码123456,赋予的角色为user。
  • admin:密码123456,赋予的角色为user、admin。

配置解释如下:

  • .inMemoryAuthentication():指的是在内存里面存储用户的身份认证和授权信息;这里还可以配置从数据库中动态加载,后文介绍。
  • withUser("user"):用户名是user。
  • password(passwordEncoder().encode("123456")):密码是加密之后的123456。
  • roles():方法用于指定用户的角色,一个用户可以有多个角色。
  • passwordEncoder(passwordEncoder())​:指定密码的加密方式,使用的是BCryptPasswordEncoder,后文介绍。

7. 简单测试

按照上述6个步骤基本实现了一个表单登录,下面测试一下。

浏览器访问http://localhost:8081/hello2,第一次访问由于未登录会自动跳转到登录页面,如下图:

图片

输入用户名和密码,由于/hello2​这个资源需要admin​的角色才能访问,因此必须用admin这个用户登录,否则将会报403的错误,登录成功后将能够正常访问。

图片

如果用户名或者密码错误将会触发.failureUrl("/login/page")这个配置,自动跳转到登录页面

8. 自定义登录结果

在第5步的配置中,和登录结果相关的配置有如下两个:

  • .defaultSuccessUrl("/")​:登录认证成功后默认转跳的路径,这里/​则是跳转到/index.html,可以自定义。
  • .failureUrl("/login/page"):登陆失败的跳转的路径。

这两个配置都是指定URL的方式:

  • 当我们登录成功的时候,是由AuthenticationSuccessHandler​进行登录结果处理,默认跳转到defaultSuccessUrl配置的路径对应的资源页面(一般是首页index.html)。
  • 当我们登录失败的时候,是由AuthenticationfailureHandler​进行登录结果处理,默认跳转到failureUrl配置的路径对应的资源页面(一般也是跳转登录页login.html,重新登录)。

但是在web应用开发过程中需求是千变万化的,有时需要我们针对登录结果做个性化处理,比如:

  • 我们希望不同的人登陆之后,看到不同的首页(及向不同的路径跳转)。
  • 我们应用是前后端分离的,验证响应结果是JSON格式数据,而不是页面跳转。
  • …… 其他未尽的例子。

因此需要自定义的登录结果,这篇文章先介绍如何定制跳转页面,关于JSON格式数据就是前后端分离架构下需要用到。

8.1 自定义登录成功结果

AuthenticationSuccessHandler​接口是Security提供的认证成功处理器接口,我们只需要去实现它即可。但是通常来说,我们不会直接去实现AuthenticationSuccessHandler​接口,而是继承SavedRequestAwareAuthenticationSuccessHandler​ 类,这个类会记住用户上一次请求的资源路径,比如/hello2​这个路径,登录成功后将会自动跳转到/hello2这个页面而不是首页。

代码如下:

图片

8.2 自定义登录失败结果

这里我们同样没有直接实现AuthenticationFailureHandler​接口,而是继承SimpleUrlAuthenticationFailureHandler 类。该类中默认实现了登录验证失败的跳转逻辑,即登陆失败之后回到登录页面。我们可以利用这一点简化我们的代码。

代码如下:

图片

8.3 SecurityConfig中配置

配置如下:

图片

将自定义的AuthenticationSuccessHandler和AuthenticationFailureHandler注入到Spring Security配置类中

使用formlogin模式,配置successHandler和failureHandler。

不要配置defaultSuccessUrl和failureUrl,否则自定义handler将失效。handler配置与URL配置只能二选一

总结

本篇文章介绍了Spring Security 的 formLogin的配置方式,需要注意的是这里不支持前后端分离架构,

责任编辑:武晓燕 来源: 码猿技术专栏
应用系统登录方式Spring
相关推荐
32 图 | 手摸手 Spring Cloud Gateway + JWT 实现登录认证
虽然本篇是讲实战内容的,但是里面又涉及了很多原理性内容,比如网关、JWT的原理。结合实战讲解,相信大家对如何使用SpringCloudGateway+JWT实现登录认证有了充分的理解。

2022-08-15 09:22:12

JWT认证系统
15分钟手摸手教你写个可以操控 Chrome 的插件
今天教你写个可以操控Chrome的插件,也许这个插件有许多不完善的地方,主要还是给大家分享个想法和思路,让没接触过chrome插件的朋友们也可以尝试下

2021-07-19 07:01:20

Chrome 插件浏览器
6000 字|20 图|Nacos 手摸手教程
Nacos是阿里巴巴开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

2022-01-26 00:02:00

Nacos服务注册中心
面试被问到Redis实现发布与订阅,手摸手
Redis发布与发布功能(PubSub)是基于事件座位基本的通信机制,是目前应用比较普遍的通信模型,它的目的主要是解除消息的发布者与订阅者之间的耦合关系。

2020-09-15 10:25:13

Redis命令Java
谁说前端不用懂,手摸手 Docker 从入门到实践
在下最近遇到要在服务器上安装Mysql、Nginx、EasyMock等工具的场景,这里记录一下我使用Docker安装的过程,希望也能在类似的场景中帮助到大家~

2020-09-23 07:45:32

Docker前端
Spring Security 中的 RememberMe 登录,so easy!
持久化令牌比前面的普通令牌安全系数提高了不少,但是依然存在风险。安全问题和用户的使用便捷性就像一个悖论,想要用户使用方便,不可避免地要牺牲一点安全性。对于开发者而言,要做的就是如何将系统存在的安全风险降到最低。

2022-11-26 00:00:02

手摸手学会搭建一个 TS+Rollup 的初始开发环境
目前市面上有许多CLI工具用于快速初始化构建一个项目。例如:tsdx、createreactapp,对于一些个人小项目来说实在是显得又有些臃肿,如果抛开这些CLI工具,自己手动从0到1手动搭建一个小而美的NPM包开发环境需要做哪些工作不妨一起动手试一下!

2021-11-12 07:00:46

tsdx开发环境
Spring Boot Security防重登录及在线总数
本篇给大家介绍SpringBootSecurity防重登录及在线总数的相关知识,希望对你有所帮助!

2021-04-26 08:54:17

Spring BootSecurity防重登录
Spring Security 自定义登录成功后的逻辑
我们有个项目是基于NW.js,用户登录是通过SpringSecurity来实现的。我们在nw.js环境下做了一个校验,如果用户2小时内没有任何的操作那么系统将自动调整到登录页面;这样就出现了问题,我们有很多的用户是724小时不关电脑的。

2021-05-12 08:32:53

Spring Secu 自定义session
微信小程序登录Spring Security结合的思路
本来不需要长篇大论OAuth2.0,之所以写出来是让你明白开发中要善于发现一些相似的东西,通过差异对比来探讨他们结合的可能性,这也是一种自我提升的方法。方法远比结果重要,形成自己的方法论就能富有创造力。

2021-03-04 11:50:48

微信Spring Secu登录
手把手教你入门 Spring Boot + CAS 单点登录
CAS全称叫做中央认证服务,英文是CentralAuthenticationService。这是由耶鲁大学发起的一个开源项目,目的是帮助Web应用系统构建一种可靠的单点登录解决方案,从目前企业实际项目来看,CAS还是非常受欢迎的一种单点登录解决方案。

2021-06-29 12:27:19

Spring BootCAS 登录
可视化定制IT运维表单
摩卡软件就是一个产品化程度很高的软件,它提供了表单设计工具(MochaFormDesigner),简称:MFD,帮助非技术人员以简单的图形化的方式,将企业中的各种复杂纸制表单电子化,实现表单的设计、部署、运行、管理和分析的全生命周期管理。

2009-08-24 14:12:46

IT运维管理表单设计工具摩卡软件
Spring Security 实战干货:Spring Security中的单元测试
今天组里的新人迷茫的问我:哥,SpringSecurity弄的我单元测试跑不起来,总是401,你看看咋解决。没问题,有写单元测试的觉悟,写的代码质量肯定有保证,对代码质量重视的态度,这种忙一定要帮!

2021-04-23 07:33:10

SpringSecurity单元
手把手教你定制标准Spring Boot starter,真的很清晰
无论你的工作中是否会构建自己的starter,你都要具有构建「starter」的思想,本文将结合SpringBoot官方标准构建一个简单的starter。

2019-11-12 10:50:13

Spring BootstarterJava
再见,Spring Security OAuth!!
本次将《SpringAuthorizationServer》项目正式上线,去掉了之前的体验状态,此举恰逢0.2.0版本发布,这也是第一个正式支持的生产就绪版本。

2021-08-29 18:36:57

项目
Spring Security中利用JWT退出登录大部分人都写错了配置
使用了JWT后,每次请求都要携带BearerToken并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。

2021-10-14 06:51:54

SpringSecurityJWT
Spring Security权限控制系列(五)
本篇内容将会带详细了解如何基于数据库中的用户进行登录授权。

2022-08-30 08:50:07

Spring权限控制
Spring Security权限控制系列(六)
SpringSecurity还提供了基于访问注解的方式细化接口权限的控制定义,接下来使用基于注解的方式控制Controller接口权限。

2022-08-30 08:55:49

Spring权限控制
Spring Security权限控制系列(二)
默认项目中引入SpringSecurity后会拦截所有的请求,这其中包括了静态资源,这肯定不是我们希望的,接下来我们看如何进行资源自定义的拦截。

2022-08-15 08:45:21

Spring权限控制
Spring Security权限控制系列(三)
当登录时填写的错误用户名或密码时,再次返回了登录页面,并且携带了错误信息。接下来通过源码查看这部分路径。

2022-08-30 08:36:13

Spring权限控制
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服