前后端分离状态下,后端SpringSecurity该如何变动呢? 如何变动取决于前后端分离状态下,前后端交互的特点,纯json交互,闲言少叙,上干货

主配置类

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)// 开启基于方法级别的防护

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private Logger logger = LoggerFactory.getLogger(getClass());

    @Autowired

    SecurityService securityService;

    @Autowired

    MyAuthenticationFailHandler myAuthenticationFailHandler;

    @Autowired

    MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(securityService)

                .passwordEncoder(new BCryptPasswordEncoder());

    }

    @Bean

    public AuthenticationEntryPoint macLoginUrlAuthenticationEntryPoint() {

        return new MacLoginUrlAuthenticationEntryPoint();

    }

    // 安全配置项

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()

                .loginPage("/login123")

                .loginProcessingUrl("/user/login")// from表单中的action往这里提交

                .usernameParameter("username").passwordParameter("password").permitAll()

                .loginProcessingUrl("/login")

                .successHandler(myAuthenticationSuccessHandler).failureHandler(myAuthenticationFailHandler)

                .and()

                .exceptionHandling().authenticationEntryPoint( macLoginUrlAuthenticationEntryPoint())

                .and()

                .authorizeRequests()// 禁用了 springSecurity , 允许一切请求

                .antMatchers("/api/user/text1","/api/user/text2").hasRole("ADMIN")

                .antMatchers("/api/user/text3").hasRole("USRE")

                .anyRequest().permitAll() //

                .and().csrf().disable();// todo

    }

}

配置登录成功处理器,响应给前端json

在前后端没有分离时,用户完成了登录认证后,由后端的框架控制页面的跳转,但是前后端分离时,前后路由的跳转后端不能干涉, 只能给前端用户的信息等信息,由前端控制页面的跳转

@Component("MyAuthenticationSuccessHandler")

public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired

    ObjectMapper mapper;

    @Override

    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

        System.err.println("登录成功  --- 返回json....");

        // 允许跨域

        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");

        // 允许自定义请求头token(允许head跨域)

        httpServletResponse.setHeader("Access-Control-Allow-Headers", "token, Accept, Origin, X-Requested-With, Content-Type, Last-Modified");

        httpServletResponse.setContentType("application/json;charset=UTF-8");

        httpServletResponse.setStatus(200); // 成功返回200

        Result result = new Result(200, "登录成功", true, authentication.getPrincipal());

        // 登录成功

        httpServletResponse.getWriter().write(mapper.writeValueAsString(result));

    }

配置登录失败处理器,响应给前端json

登录失败,返回给前端失败信息,及状态码

@Component("MyAuthenticationFailHandler")

public class MyAuthenticationFailHandler implements AuthenticationFailureHandler {

    @Autowired

    ObjectMapper mapper;

    @Override

    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {

        System.err.println("登录失败   --  返回json....");

        // 允许跨域

        response.setHeader("Access-Control-Allow-Origin", "*");

        // 允许自定义请求头token(允许head跨域)

        response.setHeader("Access-Control-Allow-Headers", "token, Accept, Origin, X-Requested-With, Content-Type, Last-Modified");

        response.setStatus(201);

        response.setContentType("application/json;charset=UTF-8");

        if (e instanceof BadCredentialsException ||

                e instanceof UsernameNotFoundException) {

            response.getWriter().write(mapper.writeValueAsString("用户名或密码错误"));   // 只返回异常消息

        } else if (e instanceof LockedException) {

            response.getWriter().write(mapper.writeValueAsString("账户被锁定,请联系管理员!"));   // 只返回异常消息

        } else if (e instanceof CredentialsExpiredException) {

            response.getWriter().write(mapper.writeValueAsString("账户被锁定,请联系管理员!"));   // 只返回异常消息

        } else if (e instanceof AccountExpiredException) {

            response.getWriter().write(mapper.writeValueAsString("账户过期,请联系管理员!"));   // 只返回异常消息

        } else if (e instanceof DisabledException) {

            response.getWriter().write(mapper.writeValueAsString("账户被禁用,请联系管理员!"));   // 只返回异常消息

        } else {

            response.getWriter().write(mapper.writeValueAsString("登录失败!"));   // 只返回异常消息

        }

    }

}

当用户没有任何权限时,相应给前端json

默认情况下,当用户没有权限时,springsecurity 会将默认的无权限的页面返回给前端,这个页面巨丑,还会覆盖原来的网页,加入这个配置类实现返回由前端友情json提示

public class MacLoginUrlAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Autowired

    ObjectMapper mapper;

    @Override

    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {

        // 允许跨域

        response.setHeader("Access-Control-Allow-Origin", "*");

        // 允许自定义请求头token(允许head跨域)

        response.setHeader("Access-Control-Allow-Headers", "token, Accept, Origin, X-Requested-With, Content-Type, Last-Modified");

        response.setStatus(202);

        response.setContentType("application/json;charset=UTF-8");

        response.getWriter().write(mapper.writeValueAsString("用户相应的无权限,请联系管理员"));   // 只返回异常消息

    }

前后端分类状态下SpringSecurity的玩法的更多相关文章

  1. AngularJS中在前后端分离模式下实现权限控制 - 基于RBAC

    一:RBAC 百科解释: 基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注.在RBAC中,权限与角色相关联,用 ...

  2. SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题

    原文链接:https://segmentfault.com/a/1190000012879279 当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异.笔者前几天刚好在负责一个项目的权限管理 ...

  3. Spring Cloud实战 | 最八篇:Spring Cloud +Spring Security OAuth2+ Axios前后端分离模式下无感刷新实现JWT续期

    一. 前言 记得上一篇Spring Cloud的文章关于如何使JWT失效进行了理论结合代码实践的说明,想当然的以为那篇会是基于Spring Cloud统一认证架构系列的最终篇.但关于JWT另外还有一个 ...

  4. windows下mongodb基础玩法系列一介绍与安装

    windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) windows下 ...

  5. windows下mongodb基础玩法系列二CURD附加一

    windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) windows下 ...

  6. windows下mongodb基础玩法系列二CURD操作(创建、更新、读取和删除)

    windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) windows下 ...

  7. [Abp vNext微服务实践] - 前后端分类

    一.前景 abp vNext是ABP 开源 Web应用程序框架,是abp的新一代开源web框架.框架完美的集成.net core.identity server4等开源框架,适用于构建web应用程序和 ...

  8. SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(一)

    当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异. 笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方 ...

  9. 用node研究axios前后端交互状态码规则

    研究状态码规则围绕我的脑袋有些时间了. 加上最近比较不忙,开始了这方面的研究. 后端用的是直接跑过的node框架,express.可以直接参考express官方网站:http://www.expres ...

随机推荐

  1. 【Kubernetes 系列四】Kubernetes 实战:管理 Hello World 集群

    目录 1. 创建集群 1.1. 安装 kubectl 1.1.1. 安装 kubectl 到 Linux 1.1.2. 安装 kubectl 到 macOS 1.1.3. 安装 kubectl 到 W ...

  2. PHP版本的区别与用法详解

    在我们安装PHP模块时,有时需要注意PHP编译的版本,下面讲解下PHP中VC6.VC9.TS.NTS版本的区别与用法详解,介绍php的两种执行方式. 1. VC6与VC9的区别:VC6版本是使用Vis ...

  3. Day 01--选题与设计(一)

    1.第一天我们主要确定了软件课设的项目,做一个学校内食堂订送餐的微信小程序.我们大体的设计思路是:可以实现学生身份的认证,幷使学生们能自行选择校园内的食堂,挑选各个食堂各个窗口菜谱上可以选择的菜,选择 ...

  4. Appium+Python+Genymotion ------环境配置

    前言 之前总是在找方向,也研究了很多的工具,终于找到了适合自己的一套,打算把学习的过程做一个记录,给自己加深印象,也希望能给其他人一些帮助. 一.工具准备 1.Appium  //  http://a ...

  5. VScode 插件推荐与C/C++配置

    以下是我经常用到的VScode插件.由于插件本身具有详细的配置和介绍,不对插件本身的安装配置进行说明,仅仅支出这些插件的主要功能.具体使用强烈推荐看一下安装插件后的说明,大多数的问题和设置都可以找到, ...

  6. Java集合框架之List接口浅析

    Java集合框架之List接口浅析 一.List综述: 毫无疑问List接口位于java.util包下,继承自 Collection接口 存储元素的特点: 有序可重复(有序:即存进去是什么顺序,取出来 ...

  7. spring boot application 配置详情

    # =================================================================== # COMMON SPRING BOOT PROPERTIE ...

  8. Delphi - 互斥对象下实现系统的单例模式

    使用CreateMutex函数创建互斥对象 利用Windows系统函数CreateMutex(),找出当前系统是否已经存在指定进程的实例,如果没有则创建一个互斥体. CreateMutex函数原型如下 ...

  9. [python]标准比较运算符

    1. python的标准比较运算符,根据表达式的值的真假返回布尔值. 比较运算符: <   <=   >   >=   ==   !=   <> >>& ...

  10. 2019dx#4

    Solved Pro.ID Title Ratio(Accepted / Submitted)   1001 AND Minimum Spanning Tree 31.75%(1018/3206)   ...