2. 程式人生 > >spring-security 個性化用戶認證流程——自定義登錄成功/失敗的處理

spring-security 個性化用戶認證流程——自定義登錄成功/失敗的處理

阿新 發佈:2018-12-24
http servle utf author ddr als ble 沒有 ont

1.自定義登錄成功處理
什麽需要自定義登錄成功處理,因為登錄行為不止只有一種,有可能是ajax請求,而默認的則是form提交跳轉的行為,這個時候就不是我們想要的一種結果。

如果自定義登錄成功之後的行為?只需要實現AuthenticationSuccessHandler接口

@Component("myAuthenticationSuccessHandler")
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler{
    private static final Logger logger = LoggerFactory.getLogger(MyAuthenticationSuccessHandler.class);
    @Autowired
    private ObjectMapper objectMapper;

    //登錄成功之後會被調用
    //Authentication用來封裝我們的認證信息,包括發起認證請求裏的認證信息(IP,Session,以及認證通過之後UserDetails的實現類的信息),
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException {
        logger.info("登錄成功");
        //把authentication返回給前臺
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString(authentication));
    }

}

再修改BrowserSecurityConfig類的配置信息
技術分享圖片
訪問請求:http://localhost:8080/sign.html ,登錄成功之後,會把用戶的信息全部返回

{
authorities: [
{
authority: "admin"  //該用戶的角色信息
}
],
details: {
remoteAddress: "0:0:0:0:0:0:0:1",  //發起請求的IP
sessionId: null
},
authenticated: true,
principal: {   //principal就是UserDetails的實現類裏面的信息
username: "admin",
password: "$2a$10$WPv2.mXiAPEaOXjAHP9jYuLNfbGT1Nk99Ix2fn351gZGKeEPiOTQW",
accountNonExpired: true,
accountNonLocked: true,
credentialsNonExpired: true,
enabled: true,
authorities: [
{
authority: "admin"
}
]
},
credentials: null,
name: "admin"
}

1.自定義登錄錯誤處理
實現AuthenticationFailureHandler接口

@Component("myAuthenticationFailHandler")
public class MyAuthenticationFailHandler implements AuthenticationFailureHandler {

    private static final Logger logger = LoggerFactory.getLogger(MyAuthenticationFailHandler.class);

    @Autowired
    private ObjectMapper objectMapper;

    //AuthenticationException記錄,用戶名沒找到,密碼沒匹配上等信息  認證過程中所有發生的錯誤
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
        logger.info("登錄失敗");
        //把exception返回給前臺
        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString(exception));
    }

}

AuthenticationException下的異常子類
技術分享圖片

同樣也需要配置BrowserSecurityConfig配置類

技術分享圖片

訪問請求:http://localhost:8080/sign.html ,登錄失敗之後,會把異常信息返回

技術分享圖片

2.可配置化
需要把它做成可配置化的,有些應用卻是是form提交方式,應該需要更靈活一些
BrowserProperties中定義一下跳轉方式

public enum LoginType {
    REDIRECT, //跳轉
    JSON;     //JSON
}

public class BrowserProperties {
    //標準的登錄頁面,如果其他項目沒有配置則使用默認的登錄配置
    private String loginPage = "/sign.html";
    private LoginType loginType = LoginType.JSON;//默認返回json
    //get/set
}

既然需要跳轉頁面的這種方式,這個時候就不能僅僅實現Success/FailHandler接口這樣了。

@Component("myAuthenticationSuccessHandler")
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler{

    private static final Logger logger = LoggerFactory.getLogger(MyAuthenticationSuccessHandler.class);

    @Autowired
    private ObjectMapper objectMapper;

    @Autowired
    private SecurityProperties securityProperties;//判斷我們的請求數據的返回方式json/redirect

    //登錄成功之後會被調用
    //Authentication用來封裝我們的認證信息,包括發起認證請求裏的認證信息(IP,Session,以及認證通過之後UserDetails的實現類的信息),
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException {
        logger.info("登錄成功");
        if (LoginType.JSON.equals(securityProperties.getBrowser().getLoginType())) {
            //把authentication返回給前臺
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write(objectMapper.writeValueAsString(authentication));
        }else {
            //跳轉
            super.onAuthenticationSuccess(request, response, authentication);
        }
    }

}

@Component("myAuthenticationFailHandler")
public class MyAuthenticationFailHandler extends SimpleUrlAuthenticationFailureHandler {

    private static final Logger logger = LoggerFactory.getLogger(MyAuthenticationFailHandler.class);

    @Autowired
    private ObjectMapper objectMapper;

    @Autowired
    private SecurityProperties securityProperties;

    //AuthenticationException記錄,用戶名沒找到,密碼沒匹配上等信息  認證過程中所有發生的錯誤
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
        logger.info("登錄失敗");
        if (LoginType.JSON.equals(securityProperties.getBrowser().getLoginType())) {            
            //把exception返回給前臺
            response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write(objectMapper.writeValueAsString(exception));
        }else {
            //跳轉,即返回頁面
            super.onAuthenticationFailure(request, response, exception);
        }
    }

}

訪問請求:http://localhost:8080/sign.html ,登錄成功和失敗都會返回json的方式

當更改完配置:

LoginType.REDIRECT;

再次訪問請求:http://localhost:8080/sign.html ,登錄成功和失敗都會返回跳轉的方式

spring-security 個性化用戶認證流程——自定義登錄成功/失敗的處理

相關推薦

spring-security 個性化用認證流程——定義成功/失敗處理

http servle utf author ddr als ble 沒有 ont 1.自定義登錄成功處理什麽需要自定義登錄成功處理,因為登錄行為不止只有一種,有可能是ajax請求,而默認的則是form提交跳轉的行為,這個時候就不是我們想要的一種結果。 如果自定義登錄成功之

spring-security 個性化用認證流程——定義頁面(可配置)

ron 進行 狀態 row 錯誤 this 力度 override all 1.定義自己的登錄頁面我們需要根據自己的業務系統構建自己的登錄頁面以及登錄成功、失敗處理在spring security提供給我的登錄頁面中,只有用戶名、密碼框,而自帶的登錄成功頁面是空白頁面(可以

spring-security 個性化使用者認證流程——定義登入頁面(可配置)

1.定義自己的登入頁面我們需要根據自己的業務系統構建自己的登入頁面以及登入成功、失敗處理在spring security提供給我的登入頁面中,只有使用者名稱、密碼框,而自帶的登入成功頁面是空白頁面(可以重定向之前請求的路徑中),而登入失敗時也只是提示使用者被鎖定、過期等資訊。 在實際的開發中,則需要更

spring security過濾器鏈及認證流程

一、過濾器鏈spring Security功能的實現主要是由一系列過濾器鏈相互配合完成。下面介紹過濾器鏈中主要的幾個過濾器及其作用:1.SecurityContextPersistenceFilter 會在請求開始時從配置好的 SecurityContextRepositor

[Spring Security] 表單登入通過配置定義登入頁面,以及定義認證成功/失敗處理機制

1.目錄結構2.配置自定義登入頁通過配置SecurityProperties,MyProperties,SecurityCoreConfig來讀取resources資料夾下application.properties中相關配置項。SecurityProperties:pack

Spring Security定義頁面

Spring Security自定義登錄自定義登錄頁面,中心思想是配置form-login標簽的屬性,並且配置過濾條件,可以直接配置頁面,也可以配置Action <http pattern="/css/**" security="none"/> <h

spring security使用定義界面後,不能返回到之前的請求界面的問題

auth authent pri 源碼 ring 是把 根據 可能 oca 昨天因為集成spring security oauth2,所以對之前spring security的配置進行了一些修改,然後就導致登錄後不能正確跳轉回被攔截的頁面,而是返回到localhost根目錄

spring security 資源判斷時不執行定義AccessDecisionManager

        弄這個框架的時候,因為這個問題困擾了很久,一直顯示無法進入AccessDecisionManager內,導致資源請求無法進行有效攔截,資料找了很久也並未找到合理解決方案,表示當時就腦子不夠用,及看不懂原始碼,又不懂原理,搭建都是靠人家的教程,一開始也看到了一

Spring Security 入門(四):定義-Filter

前文導讀本文解決問題將自定義的 Filter 加入到 Spring Security 中的 Fi

SpringBoot + Spring Security 學習筆記實現短信驗證碼+功能

pass lsa nproc 驗證 過期 ant chan oci 功能 在 Spring Security 中基於表單的認證模式,默認就是密碼帳號登錄認證,那麽對於短信驗證碼+登錄的方式,Spring Security 沒有現成的接口可以使用,所以需要自己的封裝一個類似的

drupal 定義&找回密碼頁面,註意事項

自定義 自定義登錄 刷新 log 頁面 form 發現 uil 沒有 1.登錄頁面的 $form[‘form_id‘] 和 $form[‘form_build_id‘],是這樣輸出的: <?php print drupal_render($form[‘for

精通Spring Boot——第十八篇:定義認證流程

前兩篇簡單介紹了一下使用Spring Security 使用Http Basic登入,以及Spring Security如何自定義登入邏輯。這篇文章主要介紹如何使用handler來定義認證相關的流程。 先做一些自定義的操作,如配置自定義登入頁,配置登入請求URL等。 當我們使用Spring Security時

spring實戰-Spring-security實現使用者許可權認證登入

第八篇:Spring-security實現使用者許可權認證登入 spring-security原本是Acegi Security元件,該元件是一個強大的安全框架,但是使用方式很繁瑣,要配置幾百行XML。整合進Spring後,就可以通過xml或者JavaConfig的方式,很容易的就實現了系統

spring-security專案使用ldap認證方式

package com.case.config; import java.util.Arrays; import java.util.Collection; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.s

Spring Security表單登入認證

Spring Security是一個強有力並且高度定製化的認證和訪問控制框架,致力於為Java應用程式提供認證和授權。 特性: 1、為認證和授權提供綜合性和擴充套件性支援。 2、免受session定位、點選劫持、跨站點請求偽裝等攻擊。 3、Servelt API整合。 4、與Spring MV

Spring Security 案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Spring Security 是 Spring 社群的一個頂級專案,也是 Spring Boot 官方推薦使用的安全框架。除了常規的認證(Au

spring-security 定義入校驗

1.為何要做自定義登入頁面以及校驗在專案中配置了spring-security的模組的專案中,spring boot會預設幫我們生成的一個簡潔的登入頁面,它會在我們訪問任何請求的時候彈出來 使用者名稱是預設的:user,密碼是需要我們找到我們啟動專案時的日誌,裡面會隨機生成一個預設的密碼輸入之後就可以訪

Spring Boot整合JWT&Spring Security進行介面安全認證

一,協議 token驗證未通過 返回: { "header": { "errorinfo": "無效的token", "errorcode": "8001" } } 頁面上對這種情況的處理,都跳轉到

spring security基於資料庫表認證的原始碼分析

我們從研究org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl.class的原始碼開始public class JdbcDaoImpl extends JdbcDaoSupport imp

Spring Boot後臺腳手架搭建 [五] Spring Security登入實現以及認證過程

Spring Security實現登入spring security的配置    SecurityConfig@Override protected void configure(HttpSecurity http) throws Exception { //跨站請求偽造禁用