您好,我是湘王,这是我的博客园,欢迎您来,欢迎您再来~

前面的方法中,除了login()方法能成功,另外两个都失败,并不是因为代码问题,而是Spring Security默认是通过Web页面来实现页面逻辑跳转的。但在前后端分离的开发模式中,页面跳转的逻辑后端已经无法直接控制了,而是通过返回状态码由前端来执行跳转。因此,需要对应用进行改造。

首先自定义认证成功处理器,也就是实现AuthenticationSuccessHandler接口:

/**

 * 自定义认证成功处理器

 *

 * @author 湘王

 */

@Component

public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override

    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,

                                        Authentication authentication) throws IOException, ServletException {

        System.out.println("登录成功");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("OK");

    }

}

接着来实现之前没有的认证失败处理器AuthenticationFailureHandler:

/**

 * 自定义认证失败处理器

 *

 * @author 湘王

 */

@Component

public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override

    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,

                                        AuthenticationException exception) throws IOException, ServletException {

        System.out.println("user or password error");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("user or password error");

    }

}

再实现登出处理器LogoutSuccessHandler:

/**

 * 自定义登出处理器

 *

 * @author 湘王

 */

@Component

public class CustomLogoutSuccessHandler implements LogoutSuccessHandler {

    @Override

    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,

                                Authentication authentication) throws IOException, ServletException {

        System.out.println("登出成功");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("OK");

    }

}

然后修改之前的修改WebSecurityConfiguration,让过滤器中增加对这几个处理器的支持:

// 控制逻辑

@Override

protected void configure(HttpSecurity http) throws Exception {

    // 执行UsernamePasswordAuthenticationFilter之前添加拦截过滤

    http.addFilterBefore(new CustomInterceptorFilter(), UsernamePasswordAuthenticationFilter.class);

    http.authorizeRequests()

            .anyRequest().authenticated()

            // 设置自定义认证成功、失败及登出处理器

            .and().formLogin().loginPage("/login")

            .successHandler(successHandler).failureHandler(failureHandler).permitAll()

            .and().logout().logoutUrl("/logout").deleteCookies("JSESSIONID")

            .logoutSuccessHandler(logoutSuccessHandler).permitAll()

            // 跨域访问

            .and().cors()

            .and().csrf().disable();

}

现在再次测试LoginController中的登录和登出操作,可以看到它们都能成功执行。目前权限已经做到了与Controller中的业务逻辑无关了。

但是仅仅做到登录、登出操作肯定是不行的,这连Demo都不如。所以接下里,来看看一个比较核心的问题:用户角色是否有效(不然建角色表干嘛)。

先在LoginController类中加入下面两个方法:

@GetMapping("/admin")

@PreAuthorize("hasRole('ROLE_ADMIN')")

public String admin() {

    return "admin有ROLE_ADMIN角色";

}

@GetMapping("/manager")

@PreAuthorize("hasRole('ROLE_MANAGER')")

public String manager() {

    return "manager有ROLE_MANAGER角色";

}

启动应用,运行postman时会发现:

1、用admin登录,访问localhost:8080/admin正常,但访问localhost:8080/manager就出现Forbidden错误;

2、用manager登录,访问localhost:8080/manager正常,而访问localhost:8080/admin也出现Forbidden错误。

这说明用户角色权限已经起作用了,但显示Forbidden的方式不够友好。所以再来增加一个自定义处理器,也就是实现AccessDeniedHandler接口,让访问拒绝友好一些:

/**

 * 自定义访问被拒绝

 *

 * @author 湘王

 */

@Component

public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest request, HttpServletResponse response,

                       AccessDeniedException exception) throws IOException, ServletException {

        System.out.println("permission denied");

        // 前后端分离的调用方式

        response.setStatus(HttpStatus.OK.value());

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write("permission denied");

    }

}

然后同样地,要在WebSecurityConfiguration过滤器链中增加这个新增的过滤器:

// 控制逻辑

@Override

protected void configure(HttpSecurity http) throws Exception {

    // 执行UsernamePasswordAuthenticationFilter之前添加拦截过滤

    http.addFilterBefore(new CustomInterceptorFilter(), UsernamePasswordAuthenticationFilter.class);

    http.authorizeRequests()

        .anyRequest().authenticated()

        // 设置自定义认证成功、失败及登出处理器

        .and().formLogin().loginPage("/login")

        .successHandler(successHandler).failureHandler(failureHandler).permitAll()

        .and().logout().logoutUrl("/logout").deleteCookies("JSESSIONID")

        .logoutSuccessHandler(logoutSuccessHandler).permitAll()

        // 配置无权访问的自定义处理器

        .and().exceptionHandling().accessDeniedHandler(accessDeniedHandler)

        .and().cors()

        .and().csrf().disable();

}

再用postman进行测试的时候就能看到,现在的提示现在已经比刚才要友好了。

感谢您的大驾光临!咨询技术、产品、运营和管理相关问题,请关注后留言。欢迎骚扰,不胜荣幸~

Spring Security(4)的更多相关文章

  1. Spring Security(08)——intercept-url配置

    http://elim.iteye.com/blog/2161056 Spring Security(08)--intercept-url配置 博客分类: spring Security Spring ...

  2. Spring Security(三)

    Spring Security(三) 个性化用户认证流程 自定义登录页面 在配置类中指定登录页面和接收登录的 url @Configuration public class BrowserSecuri ...

  3. Spring Security(二)

    Spring Security(二) 注:凡是源码部分,我已经把英文注释去掉了,有兴趣的同学可以在自己项目里进去看看.:-) 定义用户认证逻辑 用户登录成功后,用户的信息会被 Security 封装在 ...

  4. Spring Security(一)

    Spring Security(一) 基本原理 前言 Spring Security核心功能 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) Srping Security基本原理 项目 ...

  5. 【权限管理系统】Spring security(三)---认证过程(原理解析,demo)

      在前面两节Spring security (一)架构框架-Component.Service.Filter分析和Spring Security(二)--WebSecurityConfigurer配 ...

  6. SpringBoot集成Spring Security(7)——认证流程

    文章目录 一.认证流程 二.多个请求共享认证信息 三.获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Sec ...

  7. SpringBoot集成Spring Security(6)——登录管理

    文章目录 一.自定义认证成功.失败处理 1.1 CustomAuthenticationSuccessHandler 1.2 CustomAuthenticationFailureHandler 1. ...

  8. SpringBoot集成Spring Security(5)——权限控制

    在第一篇中,我们说过,用户<–>角色<–>权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了. 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是 ...

  9. SpringBoot集成Spring Security(4)——自定义表单登录

    通过前面三篇文章,你应该大致了解了 Spring Security 的流程.你应该发现了,真正的 login 请求是由 Spring Security 帮我们处理的,那么我们如何实现自定义表单登录呢, ...

  10. SpringBoot集成Spring Security(2)——自动登录

    在上一章:SpringBoot集成Spring Security(1)——入门程序中,我们实现了入门程序,本篇为该程序加上自动登录的功能. 文章目录 一.修改login.html二.两种实现方式 2. ...

随机推荐

  1. Dapr 的 gRPC组件 (又叫可插拔组件) 的提案

    Dapr 在1.9 版本中的提案,计划在 Dapr Runtime 中组件采用 外部 gRPC 组件: https://github.com/dapr/dapr/issues/3787 ,针对这个 g ...

  2. WSUS连接错误需要重置服务器

    在WSUS完成部署后,总是遇到控制台错误,提示需要重置服务器节点.https://www.cnblogs.com/qishine/p/12727982.html错误:连接错误尝试连接WSUS服务器时出 ...

  3. Django 测试脚本

    一.测试脚本 Django 在创建项目时自动在应用下创建了tests.py,这个py文件可以作为测试文件:也可以在应用下手动创建一个py测试文件. 无论哪种方式,都需要提前书写以下代码. from d ...

  4. C语言[char**]与[malloc]的组合使用

    简介 首先!要搞懂char**是什么? 我们知道 char* 是字符指针,是一个地址,指向一个字符串. 那么 char** 就是指向 char* 的指针,也是一个地址,指向指针的指针. 使用char* ...

  5. 24 个 Docker 常见问题处理技巧

    转载自:https://mp.weixin.qq.com/s/PoyXyZUVQEiJfNac2qShkw

  6. Fielddata is disabled on text fields by default Set fielddata=true on [service.address]

    2个字段的: PUT metricbeat-7.3.0/_mapping { "properties": { "service": { "proper ...

  7. Docker 容器日志管理

    Docker 日志分为两类: Docker 引擎日志(也就是 dockerd 运行时的日志), 容器的日志,容器内的服务产生的日志. 一 .Docker 引擎日志 Docker 引擎日志一般是交给了 ...

  8. redis cluster 6.2集群

    redis最新版本:redis-6.2.1.tar.gz 安装的版本是redis-6.0.3 采用的主机: djz-server-001 192.168.2.163 7001,7002,Admin@1 ...

  9. 如何调试 Docker

    开启 Debug 模式 在 dockerd 配置文件 daemon.json(默认位于 /etc/docker/)中添加 { "debug": true } 重启守护进程. $ s ...

  10. ATT&CK系列一 知识点总结

    一.环境搭建1.环境搭建测试2.信息收集二.漏洞利用3.漏洞搜索与利用4.后台Getshell上传技巧5.系统信息收集6.主机密码收集三.内网搜集7.内网--继续信息收集8.内网攻击姿势--信息泄露9 ...