您好,我是湘王,这是我的博客园,欢迎您来,欢迎您再来~

前面的方法中,除了login()方法能成功,另外两个都失败,并不是因为代码问题,而是Spring Security默认是通过Web页面来实现页面逻辑跳转的。但在前后端分离的开发模式中,页面跳转的逻辑后端已经无法直接控制了,而是通过返回状态码由前端来执行跳转。因此,需要对应用进行改造。

首先自定义认证成功处理器,也就是实现AuthenticationSuccessHandler接口:

/**

 * 自定义认证成功处理器

 *

 * @author 湘王

 */

@Component

public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override

    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,

                                        Authentication authentication) throws IOException, ServletException {

        System.out.println("登录成功");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("OK");

    }

}

接着来实现之前没有的认证失败处理器AuthenticationFailureHandler:

/**

 * 自定义认证失败处理器

 *

 * @author 湘王

 */

@Component

public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override

    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,

                                        AuthenticationException exception) throws IOException, ServletException {

        System.out.println("user or password error");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("user or password error");

    }

}

再实现登出处理器LogoutSuccessHandler:

/**

 * 自定义登出处理器

 *

 * @author 湘王

 */

@Component

public class CustomLogoutSuccessHandler implements LogoutSuccessHandler {

    @Override

    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,

                                Authentication authentication) throws IOException, ServletException {

        System.out.println("登出成功");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("OK");

    }

}

然后修改之前的修改WebSecurityConfiguration,让过滤器中增加对这几个处理器的支持:

// 控制逻辑

@Override

protected void configure(HttpSecurity http) throws Exception {

    // 执行UsernamePasswordAuthenticationFilter之前添加拦截过滤

    http.addFilterBefore(new CustomInterceptorFilter(), UsernamePasswordAuthenticationFilter.class);

    http.authorizeRequests()

            .anyRequest().authenticated()

            // 设置自定义认证成功、失败及登出处理器

            .and().formLogin().loginPage("/login")

            .successHandler(successHandler).failureHandler(failureHandler).permitAll()

            .and().logout().logoutUrl("/logout").deleteCookies("JSESSIONID")

            .logoutSuccessHandler(logoutSuccessHandler).permitAll()

            // 跨域访问

            .and().cors()

            .and().csrf().disable();

}

现在再次测试LoginController中的登录和登出操作,可以看到它们都能成功执行。目前权限已经做到了与Controller中的业务逻辑无关了。

但是仅仅做到登录、登出操作肯定是不行的,这连Demo都不如。所以接下里,来看看一个比较核心的问题:用户角色是否有效(不然建角色表干嘛)。

先在LoginController类中加入下面两个方法:

@GetMapping("/admin")

@PreAuthorize("hasRole('ROLE_ADMIN')")

public String admin() {

    return "admin有ROLE_ADMIN角色";

}

@GetMapping("/manager")

@PreAuthorize("hasRole('ROLE_MANAGER')")

public String manager() {

    return "manager有ROLE_MANAGER角色";

}

启动应用,运行postman时会发现:

1、用admin登录,访问localhost:8080/admin正常,但访问localhost:8080/manager就出现Forbidden错误;

2、用manager登录,访问localhost:8080/manager正常,而访问localhost:8080/admin也出现Forbidden错误。

这说明用户角色权限已经起作用了,但显示Forbidden的方式不够友好。所以再来增加一个自定义处理器,也就是实现AccessDeniedHandler接口,让访问拒绝友好一些:

/**

 * 自定义访问被拒绝

 *

 * @author 湘王

 */

@Component

public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest request, HttpServletResponse response,

                       AccessDeniedException exception) throws IOException, ServletException {

        System.out.println("permission denied");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("permission denied");

    }

}

然后同样地,要在WebSecurityConfiguration过滤器链中增加这个新增的过滤器:

// 控制逻辑

@Override

protected void configure(HttpSecurity http) throws Exception {

    // 执行UsernamePasswordAuthenticationFilter之前添加拦截过滤

    http.addFilterBefore(new CustomInterceptorFilter(), UsernamePasswordAuthenticationFilter.class);

    http.authorizeRequests()

        .anyRequest().authenticated()

        // 设置自定义认证成功、失败及登出处理器

        .and().formLogin().loginPage("/login")

        .successHandler(successHandler).failureHandler(failureHandler).permitAll()

        .and().logout().logoutUrl("/logout").deleteCookies("JSESSIONID")

        .logoutSuccessHandler(logoutSuccessHandler).permitAll()

        // 配置无权访问的自定义处理器

        .and().exceptionHandling().accessDeniedHandler(accessDeniedHandler)

        .and().cors()

        .and().csrf().disable();

}

再用postman进行测试的时候就能看到,现在的提示现在已经比刚才要友好了。

感谢您的大驾光临!咨询技术、产品、运营和管理相关问题,请关注后留言。欢迎骚扰,不胜荣幸~

Spring Security(4)的更多相关文章

  1. Spring Security(08)——intercept-url配置

    http://elim.iteye.com/blog/2161056 Spring Security(08)--intercept-url配置 博客分类: spring Security Spring ...

  2. Spring Security(三)

    Spring Security(三) 个性化用户认证流程 自定义登录页面 在配置类中指定登录页面和接收登录的 url @Configuration public class BrowserSecuri ...

  3. Spring Security(二)

    Spring Security(二) 注:凡是源码部分,我已经把英文注释去掉了,有兴趣的同学可以在自己项目里进去看看.:-) 定义用户认证逻辑 用户登录成功后,用户的信息会被 Security 封装在 ...

  4. Spring Security(一)

    Spring Security(一) 基本原理 前言 Spring Security核心功能 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) Srping Security基本原理 项目 ...

  5. 【权限管理系统】Spring security(三)---认证过程(原理解析,demo)

      在前面两节Spring security (一)架构框架-Component.Service.Filter分析和Spring Security(二)--WebSecurityConfigurer配 ...

  6. SpringBoot集成Spring Security(7)——认证流程

    文章目录 一.认证流程 二.多个请求共享认证信息 三.获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Sec ...

  7. SpringBoot集成Spring Security(6)——登录管理

    文章目录 一.自定义认证成功.失败处理 1.1 CustomAuthenticationSuccessHandler 1.2 CustomAuthenticationFailureHandler 1. ...

  8. SpringBoot集成Spring Security(5)——权限控制

    在第一篇中,我们说过,用户<–>角色<–>权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了. 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是 ...

  9. SpringBoot集成Spring Security(4)——自定义表单登录

    通过前面三篇文章,你应该大致了解了 Spring Security 的流程.你应该发现了,真正的 login 请求是由 Spring Security 帮我们处理的,那么我们如何实现自定义表单登录呢, ...

  10. SpringBoot集成Spring Security(2)——自动登录

    在上一章:SpringBoot集成Spring Security(1)——入门程序中,我们实现了入门程序,本篇为该程序加上自动登录的功能. 文章目录 一.修改login.html二.两种实现方式 2. ...

随机推荐

  1. Unity-编辑器拓展之GUILayout,EditorGUILayout布局 { }

    Unity 脚本 API 中文版 链接: https://docs.unity3d.com/cn/2019.4/ScriptReference/ 创建自定义窗口 public class MyWind ...

  2. 使用 Loki 收集 nginx 日志

    转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247492075&idx=1&sn=ba63984111 ...

  3. 查询参数和字符串校验:Query_Parameters_and_String_Validations

    官方文档地址:https://fastapi.tiangolo.com/zh/tutorial/query-params-str-validations/ # -*- coding: UTF-8 -* ...

  4. Solutions:Elastic workplace 搜索:随时随地搜索所有内容 (一)

  5. kubernetes1.20 部署 traefik2.3

    一.概述 Traefik 是一个开源的可以使服务发布变得轻松有趣的边缘路由器.它负责接收你系统的请求,然后使用合适的组件来对这些请求进行处理. 除了众多的功能之外,Traefik 的与众不同之处还在于 ...

  6. How to Create DLL(Dynamic link library)

    该文章属于在YouTube视频上看到的,链接如下: https://www.youtube.com/watch?v=EmDJsl7C9-k&t=3s 1.创建一个工程并建立一个控制台程序 2. ...

  7. struts项目向前台返回图片。

    读取项目路径WebRoot下的图片 编写action package com.sadj.market.action; import java.io.BufferedInputStream; impor ...

  8. Docker | 使用dockerfile生成镜像,清理docker空间

    用dockerfile生成镜像并挂载数据卷 编写dockerfile文件 创建dockerfile01 文件 # 基础镜像 FROM centos VOLUME ["volume01&quo ...

  9. 萌新也能看懂的KMP算法

    前言 算法是什么?算法就是数学规律.怎么去总结和发现这个规律,就是理解算法的过程. KMP算法的本质是穷举法,而并不是去创造新的匹配逻辑. 以下将搜寻的字符串称为子串(part),以P表示.被搜寻的字 ...

  10. __g is not defined

    新手小白学习小程序开发遇到的问题以及解决方法 文章目录 1.出现的问题 2.解决的方法 1.出现的问题 2.解决的方法 删除app.json中的 "lazyCodeLoading" ...