2. 程式人生 > >spring-security 個性化用戶認證流程——自定義登錄頁面(可配置)

spring-security 個性化用戶認證流程——自定義登錄頁面(可配置)

阿新 發佈:2018-12-24
ron 進行 狀態 row 錯誤 this 力度 override all

1.定義自己的登錄頁面
我們需要根據自己的業務系統構建自己的登錄頁面以及登錄成功、失敗處理
在spring security提供給我的登錄頁面中,只有用戶名、密碼框,而自帶的登錄成功頁面是空白頁面(可以重定向之前請求的路徑中),而登錄失敗時也只是提示用戶被鎖定、過期等信息。

在實際的開發中,則需要更精細力度的登錄控制,記錄錯誤的日誌(錯誤的次數等)

2.自定義登錄頁面

  • 配置登錄頁面的路徑
    BrowserSecurityConfig類中配置登錄頁面的路徑 
        http.formLogin()  
    .loginPage("/sign.html")   //位於resources/resources/sign.html
    .and()
    .authorizeRequests()
    .anyRequest().authenticated();

    頁面內容如下:

    <!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>sign.html</title>
</head>
<body>
<h2>標準登錄頁面</h2>
<h3>表單登錄</h3>
<form action="/authentication/form" method="post">
    <table>
        <tr>
            <td>用戶名:</td> 
            <td><input type="text" name="username"></td>
        </tr>
        <tr>
            <td>密碼:</td>
            <td><input type="password" name="password"></td>
        </tr>
        <tr>
            <td colspan="2"><button type="submit">登錄</button></td>
        </tr>
    </table>
</form>
</body>
</html>

啟動之後,訪問我們的路徑:http://localhost:8080/sign.html
技術分享圖片
這個時候瀏覽器會報錯:重定向的次數過多,這是為什麽呢?
因為在配置中,我們只是配置了loginPage("/sign.html"),但是又沒有給該請求做授權,又因為沒有做授權,又被跳轉給sign.html頁面,所以會是:重定向的次數過多。
此時:需要再配置授權路徑,改造之後

        http.formLogin()  
        .loginPage("/sign.html")  
        .and()
        .authorizeRequests()
        .antMatchers("/sign.html").permitAll()  //當訪問sign.html這個頁面的時候不需要進行身份認證
        .anyRequest().authenticated();

在sign.html中,自己配置了一個post路徑,在spring security原理中,表單登錄實際上是由UsernamePasswordAuthenticationFilter這個過濾器來處理的,在這個過濾器中技術分享圖片
處理的是/login 請求,為了讓UsernamePasswordAuthenticationFilter這個過濾器知道處理我們自定義的登錄路徑/authentication/form,還需要再配置登錄的處理請求

        http.formLogin()  
        .loginPage("/sign.html")  
        .loginProcessingUrl("/authentication/form") //登錄請求
        .and()
        .authorizeRequests()
        .antMatchers("/sign.html").permitAll() 
        .anyRequest().authenticated();

啟動之後,繼續訪問我們的路徑:http://localhost:8080/sign.html
技術分享圖片
輸入賬戶名和密碼,登錄之後會報錯,403

技術分享圖片

在默認情況下,spring security提供了跨站請求偽造的防護,用CSRF Token來完成的,在***和防護的時候再細講,目前先把跨站請求偽造的功能先disable掉。

        http.formLogin()  
        .loginPage("/sign.html")  
        .loginProcessingUrl("/authentication/form") //登錄請求
        .and()
        .authorizeRequests()
        .antMatchers("/sign.html").permitAll() 
        .anyRequest().authenticated()
        .and()
        .csrf().disable();

啟動之後,繼續訪問我們的路徑:http://localhost:8080/user/1 ,系統會幫我們重定向到sign.html頁面
此時我們輸入正確的用戶名和密碼就可以訪問我們的請求了
技術分享圖片

3.優化rest請求和html請求
完成了基本功能之後還需要繼續優化我們的代碼結構,是要面向可重用的一種。
目前有2個問題:

  • 發送的請求,例如:localhost:8080/user/1 需要身份認證的話返回HTML是不合理的,rest服務應該返回json
    想要做到的效果,如果是html請求則返回登錄頁上,如果不是則返回json數據 帶未授權(401狀態碼)
  • 我們寫了一個標準的登錄頁面,但是我們的目標是提供可重用的安全模塊,這個時候就需要提供可配置項
    (因為會有多個項目使用該模塊,但是多個項目它有不同的登錄模塊)
    流程如下:

技術分享圖片

當我們接收到html請求或者數據請求的時候,先判斷是否需要身份認證(spring security來做的)如果是否的話就直接返回了,如果是的話則需要跳轉到我們自定義的Controller上面去(目前我們的做法是跳轉到了sign.html頁面上)在該方法內判斷是html請求還是數據請求。

Controller

@RestController
public class BrowserSecurityController {
    private Logger logger = LoggerFactory.getLogger(BrowserSecurityConfig.class);

    //拿到引發跳轉的請求(HttpSessionRequestCache把當前的請求緩存到Session中)
    private RequestCache requestCache = new HttpSessionRequestCache();

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Autowired
    private SecurityProperties securityProperties;

    //當需要身份認證時,跳轉到這裏
    @RequestMapping("/authentication/require")
    @ResponseStatus(code=HttpStatus.UNAUTHORIZED) //不是html請求時,返回401狀態碼
    public SimpleResponse requireAuthentication(HttpServletRequest request,HttpServletResponse response) throws IOException {
        //之前緩存的請求(可以拿到引發跳轉的請求)
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        if (savedRequest != null) {
            String targetUrl = savedRequest.getRedirectUrl();
            logger.info("引發跳轉的請求是:"+targetUrl);
            //是否以.html結尾,如果是則跳轉到登錄頁面
            if (StringUtils.endsWithIgnoreCase(targetUrl, ".html")) {
                //這個url,我們需要做成可配置的url(因為我們不可能每次都跳轉到我們自己的寫的固定登錄頁面,需要根據每個項目的不同)
                //這個時候就需要用到**Properties 配置文件類來做靈活性配置
                redirectStrategy.sendRedirect(request, response, securityProperties.getBrowser().getLoginPage());
            }
            //如果不是html請求,則返回401狀態碼以及錯誤信息
        }
        return new SimpleResponse("訪問的服務需要身份認證,請引導用戶到登錄頁");
    }
}

SecurityProperties自定義的登錄頁配置屬性類,為了可配置化

#另外的項目的登錄請求的頁面
core.security.browser.loginPage = /demo-sign.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>demo-sign</title>
</head>
<body>
    <h2>demo-sign自定義登錄頁</h2>
</body>
</html>

而我們不想單純的要一個簡單的配置是,而是可管理的配置類,因為後面會有其他的配置,例如驗證碼的配置,OAuth的配置,等 這個時候需要同一個的配置類入口(SecurityProperties

技術分享圖片

//讀取配置文件內的信息
@ConfigurationProperties(prefix="core.security")
public class SecurityProperties {
    private BrowserProperties browser = new BrowserProperties();

    public BrowserProperties getBrowser() {
        return browser;
    }
    public void setBrowser(BrowserProperties browser) {
        this.browser = browser;
    }
}

public class BrowserProperties {
    //標準的登錄頁面,如果其他項目沒有配置則使用默認的登錄配置
    private String loginPage = "/sign.html";

    public String getLoginPage() {
        return loginPage;
    }
    public void setLoginPage(String loginPage) {
        this.loginPage = loginPage;
    }
}

//為了使core.security生效則需要一個@Configuration類
@Configuration
@EnableConfigurationProperties(SecurityProperties.class)
public class SecurityCoreConfig {
}

//最後要在權限配置類**BrowserSecurityConfig**中 配置放行的url
  private final static String loginPage = "/authentication/require";
    @Autowired
    private SecurityProperties securityProperties;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()  
        .loginPage(loginPage)
        .loginProcessingUrl("/authentication/form")
        .and()
        .authorizeRequests()
        .antMatchers(loginPage).permitAll()
        //自定義的登錄頁面權限放開
        .antMatchers(securityProperties.getBrowser().getLoginPage()).permitAll()
        .anyRequest().authenticated()
        .and()
        .csrf().disable();
    }

第一種情況:訪問請求:http://localhost:8080/user/1
技術分享圖片

第二種情況:訪問請求:http://localhost:8080/index.html
技術分享圖片

第三種情況:關閉配置,繼續訪問請求:http://localhost:8080/index.html

#core.security.browser.loginPage = /demo-sign.html

技術分享圖片

這個功能就是我們目前想要的,可以針對不同的請求對於沒有權限時的攔截以及調整判斷。

spring-security 個性化用戶認證流程——自定義登錄頁面(可配置)

相關推薦

spring-security 個性化用認證流程——定義頁面配置

ron 進行 狀態 row 錯誤 this 力度 override all 1.定義自己的登錄頁面我們需要根據自己的業務系統構建自己的登錄頁面以及登錄成功、失敗處理在spring security提供給我的登錄頁面中,只有用戶名、密碼框,而自帶的登錄成功頁面是空白頁面(可以

spring-security 個性化用認證流程——定義成功/失敗的處理

http servle utf author ddr als ble 沒有 ont 1.自定義登錄成功處理什麽需要自定義登錄成功處理,因為登錄行為不止只有一種,有可能是ajax請求,而默認的則是form提交跳轉的行為,這個時候就不是我們想要的一種結果。 如果自定義登錄成功之

spring-security 個性化使用者認證流程——定義登入頁面配置

1.定義自己的登入頁面我們需要根據自己的業務系統構建自己的登入頁面以及登入成功、失敗處理在spring security提供給我的登入頁面中,只有使用者名稱、密碼框,而自帶的登入成功頁面是空白頁面(可以重定向之前請求的路徑中),而登入失敗時也只是提示使用者被鎖定、過期等資訊。 在實際的開發中,則需要更

Spring Security定義頁面

Spring Security自定義登錄自定義登錄頁面,中心思想是配置form-login標簽的屬性,並且配置過濾條件,可以直接配置頁面,也可以配置Action <http pattern="/css/**" security="none"/> <h

spring security過濾器鏈及認證流程

一、過濾器鏈spring Security功能的實現主要是由一系列過濾器鏈相互配合完成。下面介紹過濾器鏈中主要的幾個過濾器及其作用:1.SecurityContextPersistenceFilter 會在請求開始時從配置好的 SecurityContextRepositor

spring security使用定義界面後,不能返回到之前的請求界面的問題

auth authent pri 源碼 ring 是把 根據 可能 oca 昨天因為集成spring security oauth2,所以對之前spring security的配置進行了一些修改,然後就導致登錄後不能正確跳轉回被攔截的頁面,而是返回到localhost根目錄

spring security 資源判斷時不執行定義AccessDecisionManager

        弄這個框架的時候,因為這個問題困擾了很久,一直顯示無法進入AccessDecisionManager內,導致資源請求無法進行有效攔截,資料找了很久也並未找到合理解決方案,表示當時就腦子不夠用,及看不懂原始碼,又不懂原理,搭建都是靠人家的教程,一開始也看到了一

SpringBoot + Spring Security 學習筆記實現短信驗證碼+功能

pass lsa nproc 驗證 過期 ant chan oci 功能 在 Spring Security 中基於表單的認證模式,默認就是密碼帳號登錄認證,那麽對於短信驗證碼+登錄的方式,Spring Security 沒有現成的接口可以使用,所以需要自己的封裝一個類似的

drupal 定義&找回密碼頁面,註意事項

自定義 自定義登錄 刷新 log 頁面 form 發現 uil 沒有 1.登錄頁面的 $form[‘form_id‘] 和 $form[‘form_build_id‘],是這樣輸出的: <?php print drupal_render($form[‘for

SpringMVC十二定義異常處理器 HandlerExceptionResolver接口

pin org ota admin pack property framework ase exception 自定義異常處理器和系統異常處理器的提升版可以實現相同的功能,但是使用的方法不同,自定義異常處理器可以不用在配置文件中配置name多東西,只需要一個異常處理器就可以

Qt定義無邊框介面放大、縮小及拖動

Qt自定義無邊框介面 使用者介面(User Interface)是指對軟體的人機互動、操作邏輯、介面美觀的整體設計。好的UI設計不僅是讓軟體變得有個性有品味,還要讓軟體的操作變得舒適、簡單、自由、充分體現軟體的定位和特點。很多時候,Qt本地樣式可能無法實現讓我們的介面更簡化、美觀,那麼這

Odoo 定義Widgets 基礎教程章節1

大家好, 此次,我們主要講解 Odoo 中的Widgets。 網上、論壇裡很多提及Widget的文章,但很少說Odoo自定義Widget 是如何實現的,這一直是大家所苦惱的地方。本章,將對Odoo中的Widget 進行基礎講解。 首先, Widget【掛件】產生的目的,是為了方便後端開發人員在不熟悉Ja

PHP Yii2 定義業務異常類支援返回任意自己想要的型別資料

public function beforeAction($action) { return parent::beforeAction($action); } public function runAction($id, $params = []) {

定義輪播圖banner圖

public class MyBannerActivity extends AppCompatActivity { private String[] picUrl = { "https://img.huxiucdn.com/article/c

Android 定義橫向進度條動態設定最大值

自定義橫向進度條       主佈局檔案中包 含          <LinearLayout android:id="@+id/linearlayout" android:layout_width="match_parent" androi

隨筆 定義redis快取註解基於springboot

前言:            最近專案開發中需要使用redis快取為資料庫降壓。由於在構建系統時沒有使用快取,後期加入快取的時候不想對業務程式碼上新增,造成程式碼入侵,所有封裝了一套自定義快取類,處理快取。 開發環境:          win10+Intelli

【Android】_定義Adapter_學生註冊無資料庫

本文是完善前一篇學生註冊文章(https://blog.csdn.net/cungudafa/article/details/84780652)中:對`自定義ListView`增加`介面卡Adapter`實現對每個學生個體進行再編輯和刪除操作。

Android 定義view --圓形百分比進度條

注:本文由於是在學習過程中寫的,存在大量問題(overdraw onDraw new物件),請讀者們不要被誤導!!解決辦法見後面的部落格。 起因 最近公司專案有需求需要用到輕量級圖表如下

一步一步帶你實現定義圓形進度條詳解

        每次看到別人做出炫酷的都會想,這個應該很難吧?這是心理上先入為主的就這麼認為了,其實實現很簡單,下面一步一步的詳細剖析自定義圓形進度條的步驟。 首先看效果圖: 篇幅有點長,耐心看完肯定get新技能。 看每一個檢視都包含了些什麼。 最

定義物件去重Set篇

當需要給集合去重時,實現的方式有很多。這裡介紹使用Set去重(兩種方式) 需求:給多個Student物件去重 public class Student { private int id; private String name; public Student() {