​ 上一节我们跟踪了security的默认登录页的源码,可以参考这里:https://www.cnblogs.com/process-h/p/15522267.html 这节我们来看看如何自定义单表认证页及源码跟踪。

​ 为了实现自定义表单及登录页,我们需要编写自己的WebSecurityConfig类,继承了WebSecurityConfigurerAdapter对象,通过重写configure方法,定义自己的登录页路径及失败跳转的路径。

@EnableWebSecurity

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

                .authorizeRequests(authorizeRequests ->

                        authorizeRequests

                                .antMatchers("/css/**", "/index").permitAll()

                                .antMatchers("/user/**").hasRole("USER")

                )

                .formLogin(formLogin ->

                        formLogin

                                .loginPage("/login")

                                .failureUrl("/login-error")

                );

    }

    // @formatter:on

    @Bean

    public UserDetailsService userDetailsService() {

        UserDetails userDetails = User.withDefaultPasswordEncoder()

                .username("user")

                .password("password")

                .roles("USER")

                .build();

        return new InMemoryUserDetailsManager(userDetails);

    }

}

我们通过引入Thymeleaf模板来实现跳转

@Controller

public class MainController {

   @RequestMapping("/")

   public String root() {

      return "redirect:/index";

   }

   @RequestMapping("/index")

   public String index() {

      return "index";

   }

   @RequestMapping("/user/index")

   public String userIndex() {

      return "user/index";

   }

   @RequestMapping("/login")

   public String login() {

      return "login";

   }

   @RequestMapping("/login-error")

   public String loginError(Model model) {

      model.addAttribute("loginError", true);

      return "login";

   }

}

上一节我们提到了WebSecurityConfig类,它会有一个init方法

@Override

public void init(WebSecurity web) throws Exception {

   HttpSecurity http = getHttp();

   web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {

      FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);

      web.securityInterceptor(securityInterceptor);

   });

}

这里提到了HttpSecurity对象,顾名思义,它的作用就是保证Http请求的安全,那么它是如何保证http请求的安全的呢?我们来看看getHttp()方法

protected final HttpSecurity getHttp() throws Exception {

   if (this.http != null) {

      return this.http;

   }

    // 初始化认证事件发布者,也就是定义了一些异常跟异常事件类之前的映射关系

   AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();

   this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

    // 初始化认证管理者

   AuthenticationManager authenticationManager = authenticationManager();

   this.authenticationBuilder.parentAuthenticationManager(authenticationManager);

   Map<Class<?>, Object> sharedObjects = createSharedObjects();

   this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);

   if (!this.disableDefaults) {

       // 默认情况下会去加载配置

      applyDefaultConfiguration(this.http);

      ClassLoader classLoader = this.context.getClassLoader();

      List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader

            .loadFactories(AbstractHttpConfigurer.class, classLoader);

      for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {

         this.http.apply(configurer);

      }

   }

   configure(this.http);

   return this.http;

}

// 默认认证事件发布者

public DefaultAuthenticationEventPublisher(ApplicationEventPublisher applicationEventPublisher) {

		this.applicationEventPublisher = applicationEventPublisher;

		addMapping(BadCredentialsException.class.getName(), AuthenticationFailureBadCredentialsEvent.class);

		addMapping(UsernameNotFoundException.class.getName(), AuthenticationFailureBadCredentialsEvent.class);

		addMapping(AccountExpiredException.class.getName(), AuthenticationFailureExpiredEvent.class);

		addMapping(ProviderNotFoundException.class.getName(), AuthenticationFailureProviderNotFoundEvent.class);

		addMapping(DisabledException.class.getName(), AuthenticationFailureDisabledEvent.class);

		addMapping(LockedException.class.getName(), AuthenticationFailureLockedEvent.class);

		addMapping(AuthenticationServiceException.class.getName(), AuthenticationFailureServiceExceptionEvent.class);

		addMapping(CredentialsExpiredException.class.getName(), AuthenticationFailureCredentialsExpiredEvent.class);

		addMapping("org.springframework.security.authentication.cas.ProxyUntrustedException",

				AuthenticationFailureProxyUntrustedEvent.class);

		addMapping("org.springframework.security.oauth2.server.resource.InvalidBearerTokenException",

				AuthenticationFailureBadCredentialsEvent.class);

	}

我们来看看applyDefaultConfiguration这个方法,在上一节有讲到,这里是给httpSecurity对象配置一些默认的配置,比如默认会开启csrf跨站请求伪造防护,添加WebAsyncManagerIntegrationFilter过滤器,添加默认的登录页配置DefaultLoginPageConfigurer等。

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {

   http.csrf();

   http.addFilter(new WebAsyncManagerIntegrationFilter());

   http.exceptionHandling();

   http.headers();

   http.sessionManagement();

   http.securityContext();

   http.requestCache();

   http.anonymous();

   http.servletApi();

   http.apply(new DefaultLoginPageConfigurer<>());

   http.logout();

}

回到调用applyDefaultConfiguration()的主方法这里,执行完if (!this.disableDefaults) {}分支之后,会调用自身的configure(this.http);方法,也就是我们自定义的WebSecurityConfig类中重写的方法,会去执行我们的表单登录配置策略。

.formLogin(formLogin ->

        formLogin

                .loginPage("/login")

                .failureUrl("/login-error")

);

@Override

public FormLoginConfigurer<H> loginPage(String loginPage) {

    return super.loginPage(loginPage);

}

protected T loginPage(String loginPage) {

    setLoginPage(loginPage);

    updateAuthenticationDefaults();

    this.customLoginPage = true;

    return getSelf();

}

点击.loginPage("/login")方法,再点击super.loginPage(loginPage); 可以看到登录页已经被重写了,自定义登录页标志也被写成了true。

​ 自定义表单登录页及源码跟踪就到这里,过程中还发现了跟security最为密切的filter顺序定义,在该FilterOrderRegistration类的构造方法中,定义了security中可能会用到的所有filter的顺序,有兴趣的读者自行阅读下。登录相关的源码跟的线条比较粗,接下来该看看认证跟授权的部分了。

spring security 之自定义表单登录源码跟踪的更多相关文章

  1. SpringBoot集成Spring Security(4)——自定义表单登录

    通过前面三篇文章,你应该大致了解了 Spring Security 的流程.你应该发现了,真正的 login 请求是由 Spring Security 帮我们处理的,那么我们如何实现自定义表单登录呢, ...

  2. SpringSecurity 自定义表单登录

    SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的 ...

  3. SpringBoot2.0整合SpringSecurity实现自定义表单登录

    我们知道企业级权限框架一般有Shiro,Shiro虽然强大,但是却不属于Spring成员之一,接下来我们说说SpringSecurity这款强大的安全框架.费话不多说,直接上干货. pom文件引入以下 ...

  4. SpringBoot 整合 spring security oauth2 jwt完整示例 附源码

    废话不说直接进入主题(假设您已对spring security.oauth2.jwt技术的了解,不懂的自行搜索了解) 依赖版本 springboot 2.1.5.RELEASE spring-secu ...

  5. ddms(基于 Express 的表单管理系统)源码学习

    ddms是基于express的一个表单管理系统,今天抽时间看了下它的代码,其实算不上源码学习,只是对它其中一些小的开发技巧做一些记录,希望以后在项目开发中能够实践下. 数据层封装 模块只对外暴露mod ...

  6. JS表单验证源码(带错误提示及密码等级)

    先晒图 index.html <!DOCTYPE html> <html lang="en"> <head> <meta charset= ...

  7. jquery表单验证源码

    /**数据验证完整性**/$.fn.Validform = function () {    var Validatemsg = "";    var Validateflag = ...

  8. Spring Security 表单登录

    1. 简介 本文将重点介绍使用Spring Security登录. 本文将构建在之前简单的Spring MVC示例之上,因为这是设置Web应用程序和登录机制的必不可少的. 2. Maven 依赖 要将 ...

  9. spring security之 默认登录页源码跟踪

    spring security之 默认登录页源码跟踪 ​ 2021年的最后2个月,立个flag,要把Spring Security和Spring Security OAuth2的应用及主流程源码研究透 ...

随机推荐

  1. 鸿蒙内核源码分析(编译脚本篇) | 如何防编译环境中的牛皮癣 | 百篇博客分析OpenHarmony源码 | v58.01

    百篇博客系列篇.本篇为: v58.xx 鸿蒙内核源码分析(环境脚本篇) | 编译鸿蒙原来如此简单 | 51.c.h.o 本篇用两个脚本完成鸿蒙(L1)的编译环境安装/源码下载/编译过程,让编译,调试鸿 ...

  2. centos 关于yum无法使用

    一.网络问题 1.1 ping # 确认网络是否可以ping通, 通则不是网络问题(跳过), 不通则是网络问题(往下操作) ping www.baidu.com 1.2 检查网络模式 1.关闭虚拟机 ...

  3. P5110-块速递推【特征方程,分块】

    正题 题目链接:https://www.luogu.com.cn/problem/P5110 题目大意 数列\(a\)满足 \[a_n=233a_{n-1}+666a_{n-2},a_0=0,a_1= ...

  4. IDEA远程部署调试Java应用程序

    IDEA远程部署调试Java应用程序 目录 IDEA远程部署调试Java应用程序 基本概述 准备工作 远程服务器准备 安装JDK 配置JAVA_HOME 项目准备 创建一个SpringBoot项目 创 ...

  5. Go语言之数组与切片基础

    一.数组 数组是同一类型元素的集合,可以放多个值,但是类型一致,内存中连续存储 Go 语言中不允许混合不同类型的元素,而且数组的大小,在定义阶段就确定了,不能更改 1.数组的定义 // 定义一个大小为 ...

  6. mapboxgl 纠偏百度地图

    缘起 之前分享了mapboxgl 互联网地图纠偏插件,插件当时只集成了高德地图. 文章发布后,有小伙伴在后台留言,希望插件也能支持百度地图. 刚好国庆假期有时间就研究了一下. 插件加载瓦片原理 首先, ...

  7. 无法解析的外部符号"void_cdecl caffe::caffe_gpu_dot<double>(int,double........)"

    将源码中的.cu文件添加到项目中即可,即使创建的就是NVIDIA的项目,也需要把这些个.cu文件添加进来

  8. 题解 UVA1500 Alice and Bob

    题目传送门 题目大意 给出 \(n\) 堆石子,每次可以做以下两种操作之一: 将某两堆石子进行合并 将某一堆石子抽走一个石子 问谁必胜. 思路 就nm很妙好么? 首先,我们需要考虑每堆石子大小都 \( ...

  9. Java(10)认识类和对象

    作者:季沐测试笔记 原文地址:https://www.cnblogs.com/testero/p/15201574.html 博客主页:https://www.cnblogs.com/testero ...

  10. 脚本注入1(boolean&&get)

    现在,我们回到之前,练习脚本支持的布尔盲注(get型). 布尔盲注的应用场景是查询成功和失败时回显不同,且存在注入点的地方. 这里以Less-8为例: 发现查询成功时,会显示:失败则无回显. 同时发现 ...