一、权限认证模拟操作:

编写Security配置类:

package cn.zeal4j.configuration;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:55

 */

@Configuration

public class SecurityConfiguration {

    @Bean

    public PasswordEncoder getPasswordEncoder() {

        return new BCryptPasswordEncoder();

    }

}

编写认证逻辑:

package cn.zeal4j.service;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.userdetails.User;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.stereotype.Service;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:57

 */

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired

    private PasswordEncoder passwordEncoder;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 1、通过提供的用户名参数访问数据库,查询记录返回过来,如果记录不存在则抛出异常

        // username = "admin";

        if (!"admin".equals(username)) throw new UsernameNotFoundException("用户名不存在");

        // 2、查询出来的凭证是被加密了的,这里是模拟查询的密码

        String encode = passwordEncoder.encode("123456");

        // 权限不可以为空,所以需要这么一个工具方法简单实现

        return new User(username, encode, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));

    }

}

重启项目,登陆测试:

用户名称是admin,密码是123456

填写的不是admin也一样报这个错误,但是控制台并没有抛出我们设置的异常

也就是说,UserDetails对象交给其他Security的方法来判断了

二、自定义登陆页面

在static目录编写自己的登陆页面

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <style type="text/css">

        h3,p {

            text-align: center;

        }

    </style>

</head>

<body>

    <h3>custom login page</h3>

    <form method="post" action="/login.action" >

        <p>username: <input type="text" name="username"></p>

        <p>password: <input type="password" name="password"></p>

        <p><input type="submit" value="login"></p>

    </form>

</body>

</html>

在模版目录内编写main.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Main-Page</title>

</head>

<body>

    <h3>This is main page</h3>

</body>

</html>

在之前的Security配置类中增加这些配置:

package cn.zeal4j.configuration;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:55

 */

@Configuration

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean

    public PasswordEncoder getPasswordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.formLogin(). // 设置登陆行为方式为表单登陆

                loginPage("/login.html"). // 设置登陆页面URL路径

                loginProcessingUrl("/login.action"). // 设置表单提交URL路径

                successForwardUrl("/main.page"); // 设置认证成功跳转URL路径

        httpSecurity.authorizeRequests().

                antMatchers("/login.html").permitAll(). // 登陆页面允许任意访问

                anyRequest().authenticated(); // 其他请求均需要被授权访问

        // CSRF攻击拦截关闭

        httpSecurity.csrf().disable();

    }

}

因为main页面在模版目录中,所以需要一个控制器去跳转进去

package cn.zeal4j.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 22:35

 */

@Controller

public class LoginController {

    @RequestMapping("main.page")

    public String toMainPage() {

        return "main"; // 模版内的页面不允许重定向,忘了忘了

    }

}

登陆逻辑不发生变化,启动项目访问测试:

成功跳转!!!

三、自定义登陆失败页面

首先在static目录写一个登陆失败的页面

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Error-Page</title>

    <style type="text/css">

        h3,p {

            text-align: center;

        }

    </style>

</head>

<body>

    <h3>This is Error Page</h3>

    <p>Wrong Request, Please return to login page <a href="/login.html">click this link</a></p>

</body>

</html>

Security的失败页面跳转也是由配置Bean的方法决定的,请求方式是POST请求

所以这个登陆失败的页面跳转也需要一个控制器处理,因为这个页面不在模版之内,所以可以使用重定向

package cn.zeal4j.configuration;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:55

 */

@Configuration

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean

    public PasswordEncoder getPasswordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.formLogin(). // 设置登陆行为方式为表单登陆

                loginPage("/login.html"). // 设置登陆页面URL路径

                loginProcessingUrl("/login.action"). // 设置表单提交URL路径

                successForwardUrl("/main.page"). // 设置认证成功跳转URL路径 POST请求

                failureForwardUrl("/error.page");  // 设置认证失败跳转URL路径 POST请求

        httpSecurity.authorizeRequests().

                antMatchers("/login.html").permitAll(). // 登陆页面允许任意访问

                antMatchers("/error.html").permitAll(). // 失败跳转后重定向的页面也需要被允许访问

                anyRequest().authenticated(); // 其他请求均需要被授权访问

        // CSRF攻击拦截关闭

        httpSecurity.csrf().disable();

    }

}

注意授权的请求处理,匹配的URL是重定向的地址,而不是控制器的URL。

控制器方法:

package cn.zeal4j.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.PostMapping;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 22:35

 */

@Controller

public class LoginController {

    @RequestMapping("main.page")

    public String toMainPage() {

        return "main"; // 模版内的页面不允许重定向,忘了忘了

    }

    @PostMapping("error.page") // 控制器不支持POST请求跳转解析, 需要控制器跳转 Resolved [org.springframework.web.HttpRequestMethodNotSupportedException: Request method 'POST' not supported]

    public String redirectToErrorPage() {

        return "redirect:/error.html"; // 重定向要写/标识 区分模版解析

    }

}

登陆失败测试:

【Spring-Security】Re02 基础认证流程的更多相关文章

  1. Spring Security 概念基础 验证流程

    Spring Security 概念基础 验证流程 认证&授权 认证:确定是否为合法用户 授权:分配角色权限(分配角色,分配资源) 认证管理器(Authentication Manager) ...

  2. 认证与授权】Spring Security系列之认证流程解析

    上面我们一起开始了Spring Security的初体验,并通过简单的配置甚至零配置就可以完成一个简单的认证流程.可能我们都有很大的疑惑,这中间到底发生了什么,为什么简单的配置就可以完成一个认证流程啊 ...

  3. 02 spring security 自定义用户认证流程

    1. 自定义登录页面 (1)首先在static目录下面创建login.html       注意: springboot项目默认可以访问resources/resources, resources/s ...

  4. spring security 表单认证的流程

    spring security表单认证过程 表单认证过程 Spring security的表单认证过程是由org.springframework.security.web.authentication ...

  5. [权限管理系统(四)]-spring boot +spring security短信认证+redis整合

    [权限管理系统]spring boot +spring security短信认证+redis整合   现在主流的登录方式主要有 3 种:账号密码登录.短信验证码登录和第三方授权登录,前面一节Sprin ...

  6. Spring Security 的注册登录流程

    Spring Security 的注册登录流程 数据库字段设计 主要数据库字段要有: 用户的 ID 用户名称 联系电话 登录密码(非明文) UserDTO对象 需要一个数据传输对象来将所有注册信息发送 ...

  7. Spring Security 自定义登录认证(二)

    一.前言 本篇文章将讲述Spring Security自定义登录认证校验用户名.密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据 温馨小提示:Spring Se ...

  8. Spring Security 解析(二) —— 认证过程

    Spring Security 解析(二) -- 认证过程   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security .S ...

  9. Spring Security OAuth2.0认证授权二:搭建资源服务

    在上一篇文章[Spring Security OAuth2.0认证授权一:框架搭建和认证测试](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374. ...

  10. Spring Security OAuth2.0认证授权三:使用JWT令牌

    Spring Security OAuth2.0系列文章: Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二: ...

随机推荐

  1. 时间格式化转换及时间比较compareTo,Controller层接收参数格式化,从数据源头解决时间格式错误数据对接口的影响

    时间格式化转换及时间比较compareTo,Controller层接收参数格式化,从数据源头解决时间格式错误数据对接口的影响 /** * 时间格式的转换:在具体报错的地方做转换,可能不能从根本上面解决 ...

  2. 微信小程序自动化_从环境搭建到自动化代码实现过程

    前期准备 微信小程序作为现在流行的一种应用载体,很多小伙伴都有对其做自动化测试的需求,由于腾讯系 QQ.微信等是基于腾讯自研 X5 内核,不是谷歌原生 webview,所以调试会有些许差异(现在很多 ...

  3. Java面试知识点(一)多态

    多态概述 1. 定义 多态就是指程序中定义的引用变量所指向的具体类型和通过该引用变量发出的方法调用在编程时并不确定,而是在程序运行期间才确定,即一个引用变量倒底会指向哪个类的实例对象,该引用变量发出的 ...

  4. WPF/C#:BusinessLayerValidation

    BusinessLayerValidation介绍 BusinessLayerValidation,即业务层验证,是指在软件应用程序的业务逻辑层(Business Layer)中执行的验证过程.业务逻 ...

  5. 高通参考设计中MTP与QRD

    高通参考设计中MTP与QRD 背景 之前在调试设备树的时候,看到设备树带了一个qrd的后缀,一直没搞清楚.上网找资料也好像不是我想要的. 今天查阅lk侧的代码,发现了HW_PLATFORM_HRD这个 ...

  6. 详解Web应用安全系列(6)安全配置错误

    Web攻击中的安全配置错误漏洞是一个重要的安全问题,它涉及到对应用程序.框架.应用程序服务器.Web服务器.数据库服务器等组件的安全配置不当.这类漏洞往往由于配置过程中的疏忽或错误,使得攻击者能够未经 ...

  7. bing生成的汉服美女。。

  8. Apifox 6月更新|定时任务、内网自部署服务器运行接口定时导入、数据库 SSH 隧道连接

    Apifox 新版本上线啦!!! 看看本次版本更新主要涵盖的重点内容,有没有你所关注的功能特性: 自动化测试支持设置「定时任务」  支持内网自部署服务器运行「定时导入」 数据库均支持通过 SSH 隧道 ...

  9. Mysql 分表分库的策略

    为什么要分表? 当一张的数据达到几百万时,你查询一次所花的时间会变多,如果有联合查询的话,有可能会死在那儿了. 分表的目的就在于此,减小数据库的负担,缩短查询时间. 日常开发中我们经常会遇到大表的情况 ...

  10. Java常见问题-基础

    JDK版本新特性: JDK1.4 正则表达式,异常链,NIO,日志类,XML解析器,XLST转换器 JDK1.5 自动装箱.泛型.动态注解.枚举.可变长参数.遍历循环 JDK1.6 提供动态语言支持. ...