​ 上一节我们跟踪了security的默认登录页的源码,可以参考这里:https://www.cnblogs.com/process-h/p/15522267.html 这节我们来看看如何自定义单表认证页及源码跟踪。

​ 为了实现自定义表单及登录页,我们需要编写自己的WebSecurityConfig类,继承了WebSecurityConfigurerAdapter对象,通过重写configure方法,定义自己的登录页路径及失败跳转的路径。

@EnableWebSecurity

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

                .authorizeRequests(authorizeRequests ->

                        authorizeRequests

                                .antMatchers("/css/**", "/index").permitAll()

                                .antMatchers("/user/**").hasRole("USER")

                )

                .formLogin(formLogin ->

                        formLogin

                                .loginPage("/login")

                                .failureUrl("/login-error")

                );

    }

    // @formatter:on

    @Bean

    public UserDetailsService userDetailsService() {

        UserDetails userDetails = User.withDefaultPasswordEncoder()

                .username("user")

                .password("password")

                .roles("USER")

                .build();

        return new InMemoryUserDetailsManager(userDetails);

    }

}

我们通过引入Thymeleaf模板来实现跳转

@Controller

public class MainController {

   @RequestMapping("/")

   public String root() {

      return "redirect:/index";

   }

   @RequestMapping("/index")

   public String index() {

      return "index";

   }

   @RequestMapping("/user/index")

   public String userIndex() {

      return "user/index";

   }

   @RequestMapping("/login")

   public String login() {

      return "login";

   }

   @RequestMapping("/login-error")

   public String loginError(Model model) {

      model.addAttribute("loginError", true);

      return "login";

   }

}

上一节我们提到了WebSecurityConfig类,它会有一个init方法

@Override

public void init(WebSecurity web) throws Exception {

   HttpSecurity http = getHttp();

   web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {

      FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);

      web.securityInterceptor(securityInterceptor);

   });

}

这里提到了HttpSecurity对象,顾名思义,它的作用就是保证Http请求的安全,那么它是如何保证http请求的安全的呢?我们来看看getHttp()方法

protected final HttpSecurity getHttp() throws Exception {

   if (this.http != null) {

      return this.http;

   }

    // 初始化认证事件发布者,也就是定义了一些异常跟异常事件类之前的映射关系

   AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();

   this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

    // 初始化认证管理者

   AuthenticationManager authenticationManager = authenticationManager();

   this.authenticationBuilder.parentAuthenticationManager(authenticationManager);

   Map<Class<?>, Object> sharedObjects = createSharedObjects();

   this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);

   if (!this.disableDefaults) {

       // 默认情况下会去加载配置

      applyDefaultConfiguration(this.http);

      ClassLoader classLoader = this.context.getClassLoader();

      List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader

            .loadFactories(AbstractHttpConfigurer.class, classLoader);

      for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {

         this.http.apply(configurer);

      }

   }

   configure(this.http);

   return this.http;

}

// 默认认证事件发布者

public DefaultAuthenticationEventPublisher(ApplicationEventPublisher applicationEventPublisher) {

		this.applicationEventPublisher = applicationEventPublisher;

		addMapping(BadCredentialsException.class.getName(), AuthenticationFailureBadCredentialsEvent.class);

		addMapping(UsernameNotFoundException.class.getName(), AuthenticationFailureBadCredentialsEvent.class);

		addMapping(AccountExpiredException.class.getName(), AuthenticationFailureExpiredEvent.class);

		addMapping(ProviderNotFoundException.class.getName(), AuthenticationFailureProviderNotFoundEvent.class);

		addMapping(DisabledException.class.getName(), AuthenticationFailureDisabledEvent.class);

		addMapping(LockedException.class.getName(), AuthenticationFailureLockedEvent.class);

		addMapping(AuthenticationServiceException.class.getName(), AuthenticationFailureServiceExceptionEvent.class);

		addMapping(CredentialsExpiredException.class.getName(), AuthenticationFailureCredentialsExpiredEvent.class);

		addMapping("org.springframework.security.authentication.cas.ProxyUntrustedException",

				AuthenticationFailureProxyUntrustedEvent.class);

		addMapping("org.springframework.security.oauth2.server.resource.InvalidBearerTokenException",

				AuthenticationFailureBadCredentialsEvent.class);

	}

我们来看看applyDefaultConfiguration这个方法,在上一节有讲到,这里是给httpSecurity对象配置一些默认的配置,比如默认会开启csrf跨站请求伪造防护,添加WebAsyncManagerIntegrationFilter过滤器,添加默认的登录页配置DefaultLoginPageConfigurer等。

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {

   http.csrf();

   http.addFilter(new WebAsyncManagerIntegrationFilter());

   http.exceptionHandling();

   http.headers();

   http.sessionManagement();

   http.securityContext();

   http.requestCache();

   http.anonymous();

   http.servletApi();

   http.apply(new DefaultLoginPageConfigurer<>());

   http.logout();

}

回到调用applyDefaultConfiguration()的主方法这里,执行完if (!this.disableDefaults) {}分支之后,会调用自身的configure(this.http);方法,也就是我们自定义的WebSecurityConfig类中重写的方法,会去执行我们的表单登录配置策略。

.formLogin(formLogin ->

        formLogin

                .loginPage("/login")

                .failureUrl("/login-error")

);

@Override

public FormLoginConfigurer<H> loginPage(String loginPage) {

    return super.loginPage(loginPage);

}

protected T loginPage(String loginPage) {

    setLoginPage(loginPage);

    updateAuthenticationDefaults();

    this.customLoginPage = true;

    return getSelf();

}

点击.loginPage("/login")方法,再点击super.loginPage(loginPage); 可以看到登录页已经被重写了,自定义登录页标志也被写成了true。

​ 自定义表单登录页及源码跟踪就到这里,过程中还发现了跟security最为密切的filter顺序定义,在该FilterOrderRegistration类的构造方法中,定义了security中可能会用到的所有filter的顺序,有兴趣的读者自行阅读下。登录相关的源码跟的线条比较粗,接下来该看看认证跟授权的部分了。

spring security 之自定义表单登录源码跟踪的更多相关文章

  1. SpringBoot集成Spring Security(4)——自定义表单登录

    通过前面三篇文章,你应该大致了解了 Spring Security 的流程.你应该发现了,真正的 login 请求是由 Spring Security 帮我们处理的,那么我们如何实现自定义表单登录呢, ...

  2. SpringSecurity 自定义表单登录

    SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的 ...

  3. SpringBoot2.0整合SpringSecurity实现自定义表单登录

    我们知道企业级权限框架一般有Shiro,Shiro虽然强大,但是却不属于Spring成员之一,接下来我们说说SpringSecurity这款强大的安全框架.费话不多说,直接上干货. pom文件引入以下 ...

  4. SpringBoot 整合 spring security oauth2 jwt完整示例 附源码

    废话不说直接进入主题(假设您已对spring security.oauth2.jwt技术的了解,不懂的自行搜索了解) 依赖版本 springboot 2.1.5.RELEASE spring-secu ...

  5. ddms(基于 Express 的表单管理系统)源码学习

    ddms是基于express的一个表单管理系统,今天抽时间看了下它的代码,其实算不上源码学习,只是对它其中一些小的开发技巧做一些记录,希望以后在项目开发中能够实践下. 数据层封装 模块只对外暴露mod ...

  6. JS表单验证源码(带错误提示及密码等级)

    先晒图 index.html <!DOCTYPE html> <html lang="en"> <head> <meta charset= ...

  7. jquery表单验证源码

    /**数据验证完整性**/$.fn.Validform = function () {    var Validatemsg = "";    var Validateflag = ...

  8. Spring Security 表单登录

    1. 简介 本文将重点介绍使用Spring Security登录. 本文将构建在之前简单的Spring MVC示例之上,因为这是设置Web应用程序和登录机制的必不可少的. 2. Maven 依赖 要将 ...

  9. spring security之 默认登录页源码跟踪

    spring security之 默认登录页源码跟踪 ​ 2021年的最后2个月,立个flag,要把Spring Security和Spring Security OAuth2的应用及主流程源码研究透 ...

随机推荐

  1. java 工具类 验证码

    第一步: 引入工具类 工具类一: import java.awt.Color; import java.awt.Font; import java.awt.Graphics2D; import jav ...

  2. P6091-[模板]原根

    正题 题目链接:https://www.luogu.com.cn/problem/P6091 题目大意 给出一个数\(p\),求出它的所有在\([0,p]\)的原根. 解题思路 原根的定义,\(\de ...

  3. Hibernate 的 <= 出现问题

    问题模拟 select new map( e.name as name , e.salary as salary) from Emplpyee e where e.salary <= :sala ...

  4. 数据库InnoDB和MyISAMYSQL的区别

    1.nnoDB支持事务,MyISAM不支持,这一点是非常之重要.事务是一种高级的处理方式,如在一些列增删改中只要哪个出错还可以回滚还原,而MyISAM就不可以了. 2.MyISAM适合查询以及插入为主 ...

  5. docker-compose 搭建mongo集群

    创建目录 在每台机器上操作此步骤 一.在编写容器文件之前的注意事项: 1.yaml文件的指令前端不能使用tab键只能使用空格 2.storage: 指令的对接只能使用 : 不能使用 = 冒号的后面要跟 ...

  6. Serverless 如何在阿里巴巴实现规模化落地?

    作者 | 赵庆杰(卢令) 来源 | Serverless 公众号 一.Serverless 规模化落地集团的成果 2020 年,我们在 Serverless 底层基建上做了非常大的升级,比如计算升级到 ...

  7. 学习笔记-React的简单介绍&工作原理

    一.React简单介绍 1.React起源于Facebook内部项目,与2013年5月 2.是一个用于构建用户界面的JavaScript库 二.React特点 1.声明式设计-React采用声明范式, ...

  8. [no_code][Alpha]事后分析

    $( "#cnblogs_post_body" ).catalog() 设想和目标 我们的软件要解决什么问题?是否定义得很清楚?是否对典型用户和典型场景有清晰的描述? 我们要解决的 ...

  9. [CSP-S 2021] 回文

    题目描述: 给定正整数 n 和整数序列 a1, a2,-,a2n,在这 2n 个数中,1, 2,-,n 分别各出现恰好 2 次.现在进行 2n 次操作,目标是创建一个长度同样为 2n 的序列 b 1, ...

  10. 21.6.4 test

    \(NOI\) 模拟赛 太离谱了,碳基生物心态极限 \(T1\),字符串滚出OI,最后想了个区间dp,期望得分32pts,实际得分0pts,不知为啥挂了.正解是没学过的SAM. \(T2\),正解博弈 ...