2. 程式人生 > >SpringSecurity系列之自定義登入驗證成功與失敗的結果處理

SpringSecurity系列之自定義登入驗證成功與失敗的結果處理

阿新 發佈:2019-11-20

一、需要自定義登入結果的場景

在我之前的文章中,做過登入驗證流程的原始碼解析。其中比較重要的就是

  • 當我們登入成功的時候,是由AuthenticationSuccessHandler進行登入結果處理,預設跳轉到defaultSuccessUrl配置的路徑對應的資源頁面(一般是首頁index.html)。
  • 當我們登入失敗的時候,是由AuthenticationfailureHandler進行登入結果處理,預設跳轉到failureUrl配置的路徑對應的資源頁面(一般是登入頁login.html)。

但是在web應用開發過程中需求是千變萬化的,有時需要我們針對登入結果做個性化處理,比如:

  • 我們希望不同的人登陸之後,看到不同的首頁
  • 我們應用是前後端分離的,驗證響應結果是JSON格式資料,而不是頁面跳轉

以上的這些情況,使用Spring Security作為安全框架的時候,都需要我們使用本節學到的知識進行自定義的登入驗證結果處理。

二、自定義登陸成功的結果處理

為了滿足上面的需求,我們該如何去做呢?下面一小節我們來說明一下。AuthenticationSuccessHandler介面是Security提供的認證成功處理器介面,我們只需要去實現它即可。但是通常來說,我們不會直接去實現AuthenticationSuccessHandler介面,而是繼承SavedRequestAwareAuthenticationSuccessHandler 類,這個類會記住使用者上一次請求的資源路徑,比如:使用者請求books.html,沒有登陸所以被攔截到了登入頁,當你萬成登陸之後會自動跳轉到books.html,而不是主頁面。

@Component
public class MyAuthenticationSuccessHandler 
                        extends SavedRequestAwareAuthenticationSuccessHandler {

    //在application配置檔案中配置登陸的型別是JSON資料響應還是做頁面響應
    @Value("${spring.security.logintype}")
    private String loginType;

    private  static ObjectMapper objectMapper = new ObjectMapper();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, 
                                        HttpServletResponse response, 
                                        Authentication authentication) 
                                        throws ServletException, IOException {

        if (loginType.equalsIgnoreCase("JSON")) {
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write(objectMapper.writeValueAsString(AjaxResponse.success()));
        } else {
            // 會幫我們跳轉到上一次請求的頁面上
            super.onAuthenticationSuccess(request, response, authentication);
        }
    }
}
  • 在上面的自定義登陸成功處理中,既適應JSON前後端分離的應用登入結果處理,也適用於模板頁面跳轉應用的登入結果處理
  • ObjectMapper 是Spring Boot預設整合的JSON資料處理類庫Jackson中的類。
  • AjaxResponse是一個自定義的通用的JSON資料介面響應類。

三、自定義登入失敗的結果處理

這裡我們同樣沒有直接實現AuthenticationFailureHandler介面,而是繼承SimpleUrlAuthenticationFailureHandler 類。該類中預設實現了登入驗證失敗的跳轉邏輯,即登陸失敗之後回到登入頁面。我們可以利用這一點簡化我們的程式碼。

@Component
public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    //在application配置檔案中配置登陸的型別是JSON資料響應還是做頁面響應
    @Value("${spring.security.logintype}")
    private String loginType;

    private  static ObjectMapper objectMapper = new ObjectMapper();

    @Override
    public void onAuthenticationFailure(HttpServletRequest request,
                                        HttpServletResponse response, 
                                        AuthenticationException exception) 
                                        throws IOException, ServletException {

        if (loginType.equalsIgnoreCase("JSON")) {
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write(
                    objectMapper.writeValueAsString(
                            AjaxResponse.error(
                                    new CustomException(
                                        CustomExceptionType.USER_INPUT_ERROR,
                                        "使用者名稱或密碼存在錯誤,請檢查後再次登入"))));
        } else {
            response.setContentType("text/html;charset=UTF-8");
            super.onAuthenticationFailure(request, response, exception);
        }

    }
}
  • 在上面的自定義登陸失敗處理中,既適應JSON前後端分離的應用登入失敗結果處理,也適用於模板頁面跳轉應用的登入失敗結果處理
  • 登陸失敗之後,將預設跳轉到預設的failureUrl,即登入介面。

四、配置SecurityConfig

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Resource
    private MyAuthenticationFailureHandler myAuthenticationFailureHandler;

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.csrf().disable() //禁用跨站csrf攻擊防禦,後面的章節會專門講解
           .formLogin()
           .successHandler(myAuthenticationSuccessHandler)
           .failureHandler(myAuthenticationFailureHandler)
           .defaultSuccessUrl("/index")//登入認證成功後預設轉跳的路徑
           .failureUrl("/login.html") //登入認證是被跳轉頁面
}
  • 將自定義的AuthenticationSuccessHandler和AuthenticationFailureHandler注入到Spring Security配置類中
  • 使用fromlogin模式,配置successHandler和failureHandler。

  • 並且配置defaultSuccessUrl和failureUrl

    期待您的關注

  • 博主最近新寫了一本書:《手摸手教您學習SpringBoot系列-16章97節》

  • 本文轉載註明出處(必須帶連線,不能只轉文字):字母哥部落格。

    • 相關推薦

    SpringSecurity系列定義登入驗證成功失敗結果處理

    一、需要自定義登入結果的場景 在我之前的文章中,做過登入驗證流程的原始碼解析。其中比較重要的就是 當我們登入成功的時候,是由AuthenticationSuccessHandler進行登入結果處理,預設跳轉到defaultSuccessUrl配置的路徑對應的資源頁面(一般是首頁index.html)。 當我

    python全棧系列---定義分頁類

    rip 當前 取數據 cep exce submit method next AI # coding:utf8 # __author: Administrator # date: 2018/3/7 0007 # /usr/bin/env python impo

    MapReduce系列定義Partitioner

    partitioner定義:分割槽器 partitioner的作用是將mapper(如果使用了combiner的話就是combiner)輸出的key/value拆分為分片(shard),每個reducer對應一個分片。預設情況下,partitioner先計算key的雜湊值(通常為md5值)。然後

    簡單的Spring Security例項(定義登入驗證)

    Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

    Spring Security 定義登入驗證定義回撥地址

    1 配置檔案 security-ns.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/b

    Django定義登入驗證

    1.首先在views檢視函式內引入from django.contrib.auth import authenticate from django.contrib.auth.backends impor

    C# WinForm開發系列定義無邊框窗體(最大化,最小化,關閉,拉伸和移動的相關知識)

            ////重寫系統WndProc函式,使無邊框窗體可移動         protected override void WndProc(ref Message m)         {             switch (m.Msg)             {              

    CAS定義加密方式和定義登入驗證

    先搭建一個CAS服務:搭建教程 本專案中的自定義加和登入驗證中的加密方法使用了shiro,記得加shiro-all-XXX.jar。 原始碼下載 一、自定義加密 實現PasswordEncoder介面,public String encode(String password)返回

    SpringSecurity學習定義過濾器

      我們系統中的認證場景通常比較複雜,比如說使用者被鎖定無法登入,限制登入IP等。而SpringSecuriy最基本的是基於使用者與密碼的形式進行認證,由此可知它的一套驗證規範根本無法滿足業務需要,因此擴充套件勢在必行。那麼我們可以考慮自己定義filter新增至SpringSecurity的過濾器棧當中,來實

    django 定義登入驗證邏輯

    本文的django view採用的是基於cbv的模式 django中的登入功能主要涉及到django.contrib.auth這個包,它提供了2個重要的函式:authenticate和login。 django.contrib.auth.authenti

    Kafka系列-定義Producer

      前面已經講到了,在Kafka中,Message是由Producer產生的,Producer產生的Message會發送到Topic的指定Partition中。Producer可以有多種形式,也可以由使用者通過Java,C以及Python語言來自定義。   K

    SpringBoot系列定義starter實踐教程

    SpringBoot系列之自定義starter實踐教程 Springboot是有提供了很多starter的,starter翻譯過來可以理解為場景啟動器,所謂場景啟動器配置了自動配置等等對應業務模組的一個工程,有需要時候直接引入專案就可以,比如需要使用rabbitMQ,直接引入spring-boot-start

    微信定義分享-配置成功分享失敗

    最近花了一天時間踩了個自定義分享的坑,按官方文件來說第一步需要繫結域名,第二步需要引入jssdk接下來就是前端所需要的值如何獲取到的問題,前端config所需的值(appid,timestamp,nonceStr,signature)如下圖所示:第一個坑nonceStr一定要

    Spring Security教程(10)---- 定義登入成功後的處理程式及修改預設驗證地址

    分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

    【轉】Spring MVC系列(五)定義數據綁定---HandlerMethodArgumentResolver

    開閉 src pat 獲取參數 mvc .net 定義 開閉原則 淺析 介紹 前面幾節我們介紹了Spring MVC的幾種常見的數據綁定的方法,可以靈活地獲取用戶請求中的參數,例如@PathVariable,@ModelAttribute,@RequestPar

    ASP.NET WebApi總結定義權限驗證

    use bar cor 介紹 string roles 獲得 ext status 在.NET中有兩個AuthorizeAttribute類, 一個定義在System.Web.Http命名空間下 #region 程序集 System.Web.Http, Version=5.

    Spring Boot系列-使用定義註解校驗使用者是否登入

    摘要: 記得今年年初剛開始面試的時候,被問的最多的就是你知道Spring的兩大核心嘛?那你說說什麼是AOP,什麼是IOC?我相信你可能也被問了很多次了。 1、到底是什麼是AOP? 所謂AOP也就是面向切面程式設計,能夠讓我們在不影響原有業務功能的前提下,橫切擴充套件新的功能。 記得今年

    SpringSecurity(一)定義登入介面

    1. 新建一個SpringBoot工程 新增如下依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifact

    SSOCAS整合定義登入頁面

    前言: 一:替換頁面 找到CAS服務端中WEB-INF/view/jsp/default/ui/下的casLoginView.jsp頁面,此頁面為CAS預設的登入頁面,將自定義的頁面取名也叫casLoginView.jsp進行頁面替換,替換前先把預設的備份一份。 替

    微信小程式定義toast例項 —— 微信小程式實戰系列(6)

    微信提供了一個toast的api  wx.showToast() 本來是比較好的,方便使用,但是這個toast會顯示出圖示,而且不能去除。 假設:我們執行完業務的時候,toast一下,當執行成功的