Spring Security自定义登录机制如何具体实现和解析?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1344个文字,预计阅读时间需要6分钟。
1. 引言:关于Spring Security的相关文章众多,但仅是一个预热。为更好地实战,若错过请从Spring Security实战系列开始。
安全访问的第一步是认证(Authentication)。认证的认指的是识别用户身份,而证则是指验证该身份的合法性。
1. 前言
前面的关于 Spring Security 相关的文章只是一个预热。为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始。安全访问的第一步就是认证(Authentication),认证的第一步就是登录。今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能。
2. form 登录的流程
下面是 form 登录的基本流程:
只要是 form 登录基本都能转化为上面的流程。接下来我们看看 Spring Security 是如何处理的。
3. Spring Security 中的登录
昨天 Spring Security 实战干货:自定义配置类入口WebSecurityConfigurerAdapter 中已经讲到了我们通常的自定义访问控制主要是通过 HttpSecurity 来构建的。默认它提供了三种登录方式:
- formLogin() 普通表单登录
- oauth2Login() 基于 OAuth2.0 认证/授权协议
- openidLogin() 基于 OpenID 身份认证规范
以上三种方式统统是 AbstractAuthenticationFilterConfigurer 实现的,
4. HttpSecurity 中的 form 表单登录
启用表单登录通过两种方式一种是通过 HttpSecurity 的 apply(C configurer) 方法自己构造一个 AbstractAuthenticationFilterConfigurer 的实现,这种是比较高级的玩法。 另一种是我们常见的使用 HttpSecurity 的 formLogin() 方法来自定义 FormLoginConfigurer 。我们先搞一下比较常规的第二种。
4.1 FormLoginConfigurer
该类是 form 表单登录的配置类。它提供了一些我们常用的配置方法:
- loginPage(String loginPage) : 登录 页面而并不是接口,对于前后分离模式需要我们进行改造 默认为 /login。
- loginProcessingUrl(String loginProcessingUrl) 实际表单向后台提交用户信息的 Action,再由过滤器UsernamePasswordAuthenticationFilter 拦截处理,该 Action 其实不会处理任何逻辑。
- usernameParameter(String usernameParameter) 用来自定义用户参数名,默认 username 。
- passwordParameter(String passwordParameter) 用来自定义用户密码名,默认 password
- failureUrl(String authenticationFailureUrl) 登录失败后会重定向到此路径, 一般前后分离不会使用它。
- failureForwardUrl(String forwardUrl) 登录失败会转发到此, 一般前后分离用到它。 可定义一个 Controller (控制器)来处理返回值,但是要注意 RequestMethod。
- defaultSuccessUrl(String defaultSuccessUrl, boolean alwaysUse) 默认登陆成功后跳转到此 ,如果 alwaysUse 为 true 只要进行认证流程而且成功,会一直跳转到此。一般推荐默认值 false
- successForwardUrl(String forwardUrl) 效果等同于上面 defaultSuccessUrl 的 alwaysUse 为 true 但是要注意 RequestMethod。
- successHandler(AuthenticationSuccessHandler successHandler) 自定义认证成功处理器,可替代上面所有的 success 方式
- failureHandler(AuthenticationFailureHandler authenticationFailureHandler) 自定义失败成功处理器,可替代上面所有的 success 方式
- permitAll(boolean permitAll) form 表单登录是否放开
知道了这些我们就能来搞个定制化的登录了。
5. Spring Security 聚合登录 实战
接下来是我们最激动人心的实战登录操作。 有疑问的可认真阅读 Spring 实战 的一系列预热文章。
5.1 简单需求
我们的接口访问都要通过认证,登陆错误后返回错误信息(json),成功后前台可以获取到对应数据库用户信息(json)(实战中记得脱敏)。
我们定义处理成功失败的控制器:
@RestController @RequestMapping("/login") public class LoginController { @Resource private SysUserService sysUserService; /** * 登录失败返回 401 以及提示信息. * * @return the rest */ @PostMapping("/failure") public Rest loginFailure() { return RestBody.failure(HttpStatus.UNAUTHORIZED.value(), "登录失败了,老哥"); } /** * 登录成功后拿到个人信息. * * @return the rest */ @PostMapping("/success") public Rest loginSuccess() { // 登录成功后用户的认证信息 UserDetails会存在 安全上下文寄存器 SecurityContextHolder 中 User principal = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal(); String username = principal.getUsername(); SysUser sysUser = sysUserService.queryByUsername(username); // 脱敏 sysUser.setEncodePassword("[PROTECT]"); return RestBody.okData(sysUser,"登录成功"); } }
然后 我们自定义配置覆写 void configure(HttpSecurity localhost:8080/process?username=Felordcn&password=12345 会返回用户信息:
{ "localhost:8080/process?username=Felordcn&password=12345&login_type=0 可以请求成功。或者以下列方式也可以提交成功:
更多的登录方式 只需要实现接口 LoginPostProcessor 注入 PreLoginFilter
7. 总结
今天我们通过各种技术的运用实现了从简单登录到可动态扩展的多种方式并存的实战运用。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持易盾网络。
本文共计1344个文字,预计阅读时间需要6分钟。
1. 引言:关于Spring Security的相关文章众多,但仅是一个预热。为更好地实战,若错过请从Spring Security实战系列开始。
安全访问的第一步是认证(Authentication)。认证的认指的是识别用户身份,而证则是指验证该身份的合法性。
1. 前言
前面的关于 Spring Security 相关的文章只是一个预热。为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始。安全访问的第一步就是认证(Authentication),认证的第一步就是登录。今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能。
2. form 登录的流程
下面是 form 登录的基本流程:
只要是 form 登录基本都能转化为上面的流程。接下来我们看看 Spring Security 是如何处理的。
3. Spring Security 中的登录
昨天 Spring Security 实战干货:自定义配置类入口WebSecurityConfigurerAdapter 中已经讲到了我们通常的自定义访问控制主要是通过 HttpSecurity 来构建的。默认它提供了三种登录方式:
- formLogin() 普通表单登录
- oauth2Login() 基于 OAuth2.0 认证/授权协议
- openidLogin() 基于 OpenID 身份认证规范
以上三种方式统统是 AbstractAuthenticationFilterConfigurer 实现的,
4. HttpSecurity 中的 form 表单登录
启用表单登录通过两种方式一种是通过 HttpSecurity 的 apply(C configurer) 方法自己构造一个 AbstractAuthenticationFilterConfigurer 的实现,这种是比较高级的玩法。 另一种是我们常见的使用 HttpSecurity 的 formLogin() 方法来自定义 FormLoginConfigurer 。我们先搞一下比较常规的第二种。
4.1 FormLoginConfigurer
该类是 form 表单登录的配置类。它提供了一些我们常用的配置方法:
- loginPage(String loginPage) : 登录 页面而并不是接口,对于前后分离模式需要我们进行改造 默认为 /login。
- loginProcessingUrl(String loginProcessingUrl) 实际表单向后台提交用户信息的 Action,再由过滤器UsernamePasswordAuthenticationFilter 拦截处理,该 Action 其实不会处理任何逻辑。
- usernameParameter(String usernameParameter) 用来自定义用户参数名,默认 username 。
- passwordParameter(String passwordParameter) 用来自定义用户密码名,默认 password
- failureUrl(String authenticationFailureUrl) 登录失败后会重定向到此路径, 一般前后分离不会使用它。
- failureForwardUrl(String forwardUrl) 登录失败会转发到此, 一般前后分离用到它。 可定义一个 Controller (控制器)来处理返回值,但是要注意 RequestMethod。
- defaultSuccessUrl(String defaultSuccessUrl, boolean alwaysUse) 默认登陆成功后跳转到此 ,如果 alwaysUse 为 true 只要进行认证流程而且成功,会一直跳转到此。一般推荐默认值 false
- successForwardUrl(String forwardUrl) 效果等同于上面 defaultSuccessUrl 的 alwaysUse 为 true 但是要注意 RequestMethod。
- successHandler(AuthenticationSuccessHandler successHandler) 自定义认证成功处理器,可替代上面所有的 success 方式
- failureHandler(AuthenticationFailureHandler authenticationFailureHandler) 自定义失败成功处理器,可替代上面所有的 success 方式
- permitAll(boolean permitAll) form 表单登录是否放开
知道了这些我们就能来搞个定制化的登录了。
5. Spring Security 聚合登录 实战
接下来是我们最激动人心的实战登录操作。 有疑问的可认真阅读 Spring 实战 的一系列预热文章。
5.1 简单需求
我们的接口访问都要通过认证,登陆错误后返回错误信息(json),成功后前台可以获取到对应数据库用户信息(json)(实战中记得脱敏)。
我们定义处理成功失败的控制器:
@RestController @RequestMapping("/login") public class LoginController { @Resource private SysUserService sysUserService; /** * 登录失败返回 401 以及提示信息. * * @return the rest */ @PostMapping("/failure") public Rest loginFailure() { return RestBody.failure(HttpStatus.UNAUTHORIZED.value(), "登录失败了,老哥"); } /** * 登录成功后拿到个人信息. * * @return the rest */ @PostMapping("/success") public Rest loginSuccess() { // 登录成功后用户的认证信息 UserDetails会存在 安全上下文寄存器 SecurityContextHolder 中 User principal = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal(); String username = principal.getUsername(); SysUser sysUser = sysUserService.queryByUsername(username); // 脱敏 sysUser.setEncodePassword("[PROTECT]"); return RestBody.okData(sysUser,"登录成功"); } }
然后 我们自定义配置覆写 void configure(HttpSecurity localhost:8080/process?username=Felordcn&password=12345 会返回用户信息:
{ "localhost:8080/process?username=Felordcn&password=12345&login_type=0 可以请求成功。或者以下列方式也可以提交成功:
更多的登录方式 只需要实现接口 LoginPostProcessor 注入 PreLoginFilter
7. 总结
今天我们通过各种技术的运用实现了从简单登录到可动态扩展的多种方式并存的实战运用。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持易盾网络。