spring security之 默认登录页源码跟踪

​ 2021年的最后2个月,立个flag,要把Spring SecuritySpring Security OAuth2的应用及主流程源码研究透彻!

​ 项目中使用过Spring Security的童鞋都知道,当我们没有单独自定义登录页时,Spring Security自己在初始化的时候会帮我们配置一个默认的登录页,之前一直疑问默认登录页是怎么配置的,今晚特地找了源码跟一下。

springboot项目依赖

<dependency>

   <groupId>org.springframework.boot</groupId>

   <artifactId>spring-boot-starter-web</artifactId>

</dependency>

<dependency>

   <groupId>org.springframework.boot</groupId>

   <artifactId>spring-boot-starter-security</artifactId>

</dependency>

在项目中随意编写一个接口,然后进行访问

@GetMapping("/")

public String hello() {

   return "hello, spring security";

}

在tomcat默认端口8080,localhost:8080 下访问该接口,spring security会帮我们将路径重定向到默认的登录页

​ 那么这个默认页是怎么来的呢?

原来Spring Security有一个默认的WebSecurityConfigurerAdapter,发现其中有一个init方法,于是在这个方法打了断点,在应用启动的时候进行跟踪。

​ 跟踪getHttp()方法,this.disableDefaults变量默认为false,意味着将会执行applyDefaultConfiguration(this.http);方法。查看applyDefaultConfiguration方法

public void init(WebSecurity web) throws Exception {

    // 首先配置security要拦截的哪些http请求

   HttpSecurity http = getHttp();

   web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {

      FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);

      web.securityInterceptor(securityInterceptor);

   });

}

protected final HttpSecurity getHttp() throws Exception {

		if (this.http != null) {

			return this.http;

		}

		AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();

		this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

		AuthenticationManager authenticationManager = authenticationManager();

		this.authenticationBuilder.parentAuthenticationManager(authenticationManager);

		Map<Class<?>, Object> sharedObjects = createSharedObjects();

		this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);

		if (!this.disableDefaults) {

            // 默认的配置将会走这个分支

			applyDefaultConfiguration(this.http);

			ClassLoader classLoader = this.context.getClassLoader();

			List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader

					.loadFactories(AbstractHttpConfigurer.class, classLoader);

			for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {

				this.http.apply(configurer);

			}

		}

		configure(this.http);

		return this.http;

	}

查看applyDefaultConfiguration(this.http)方法,发现http对象new了一个DefaultLoginPageConfigurer对象属性,

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {

   http.csrf();

   http.addFilter(new WebAsyncManagerIntegrationFilter());

   http.exceptionHandling();

   http.headers();

   http.sessionManagement();

   http.securityContext();

   http.requestCache();

   http.anonymous();

   http.servletApi();

   http.apply(new DefaultLoginPageConfigurer<>());

   http.logout();

}

​ 查看DefaultLoginPageConfigurer类定义,发现它在初始化的同时,它也初始化了自己的2个私有成员变量,分别是DefaultLoginPageGeneratingFilter默认登录页面生成Filter,DefaultLogoutPageGeneratingFilter默认登录页面Filter, 名字起得很好,见名知意,我们马山知道这2个类的含义。

​ 查看DefaultLoginPageGeneratingFilter的类成员变量,发现定义了一系列跟登录有关的成员变量,包括登录、登录等路径,默认的登录页面路径是"/login"

public class DefaultLoginPageGeneratingFilter extends GenericFilterBean {

   public static final String DEFAULT_LOGIN_PAGE_URL = "/login";

   public static final String ERROR_PARAMETER_NAME = "error";

   private String loginPageUrl;

   private String logoutSuccessUrl;

   private String failureUrl;

   private boolean formLoginEnabled;

    .....

​ 再结合类名思考,发现是个Filter类,那么它们应该都会重新Filter的doFilter(ServletRequest request, ServletResponse response, FilterChain chain)方法,我们查看一下DefaultLoginPageConfigurer类的``doFilter方法,果然,在doFilter`方法中发现了生成默认登录页面的方法。

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)

      throws IOException, ServletException {

    // 判断当前的请求是否被认证通过

   boolean loginError = isErrorPage(request);

   boolean logoutSuccess = isLogoutSuccess(request);

   if (isLoginUrlRequest(request) || loginError || logoutSuccess) {

       // 当前请求认证失败的话,将会执行这个分支

      String loginPageHtml = generateLoginPageHtml(request, loginError, logoutSuccess);

      response.setContentType("text/html;charset=UTF-8");

      response.setContentLength(loginPageHtml.getBytes(StandardCharsets.UTF_8).length);

      response.getWriter().write(loginPageHtml);

      return;

   }

   chain.doFilter(request, response);

}

private String generateLoginPageHtml(HttpServletRequest request, boolean loginError, boolean logoutSuccess) {

   String errorMsg = "Invalid credentials";

   if (loginError) {

      HttpSession session = request.getSession(false);

      if (session != null) {

         AuthenticationException ex = (AuthenticationException) session

               .getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);

         errorMsg = (ex != null) ? ex.getMessage() : "Invalid credentials";

      }

   }

   String contextPath = request.getContextPath();

   StringBuilder sb = new StringBuilder();

   sb.append("<!DOCTYPE html>\n");

   sb.append("<html lang=\"en\">\n");

   sb.append("  <head>\n");

   sb.append("    <meta charset=\"utf-8\">\n");

   sb.append("    <meta name=\"viewport\" content=\"width=device-width, initial-scale=1, shrink-to-fit=no\">\n");

   sb.append("    <meta name=\"description\" content=\"\">\n");

   sb.append("    <meta name=\"author\" content=\"\">\n");

   sb.append("    <title>Please sign in</title>\n");

   sb.append("    <link href=\"https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-beta/css/bootstrap.min.css\" "

         + "rel=\"stylesheet\" integrity=\"sha384-/Y6pD6FV/Vv2HJnA6t+vslU6fwYXjCFtcEpHbNJ0lyAFsXTsjBbfaDjzALeQsN6M\" crossorigin=\"anonymous\">\n");

   sb.append("    <link href=\"https://getbootstrap.com/docs/4.0/examples/signin/signin.css\" "

         + "rel=\"stylesheet\" crossorigin=\"anonymous\"/>\n");

   sb.append("  </head>\n");

   sb.append("  <body>\n");

   sb.append("     <div class=\"container\">\n");

   if (this.formLoginEnabled) {

      sb.append("      <form class=\"form-signin\" method=\"post\" action=\"" + contextPath

            + this.authenticationUrl + "\">\n");

      sb.append("        <h2 class=\"form-signin-heading\">Please sign in</h2>\n");

      sb.append(createError(loginError, errorMsg) + createLogoutSuccess(logoutSuccess) + "        <p>\n");

      sb.append("          <label for=\"username\" class=\"sr-only\">Username</label>\n");

      sb.append("          <input type=\"text\" id=\"username\" name=\"" + this.usernameParameter

            + "\" class=\"form-control\" placeholder=\"Username\" required autofocus>\n");

      sb.append("        </p>\n");

      sb.append("        <p>\n");

      sb.append("          <label for=\"password\" class=\"sr-only\">Password</label>\n");

      sb.append("          <input type=\"password\" id=\"password\" name=\"" + this.passwordParameter

            + "\" class=\"form-control\" placeholder=\"Password\" required>\n");

      sb.append("        </p>\n");

      sb.append(createRememberMe(this.rememberMeParameter) + renderHiddenInputs(request));

      sb.append("        <button class=\"btn btn-lg btn-primary btn-block\" type=\"submit\">Sign in</button>\n");

      sb.append("      </form>\n");

   }

   if (this.openIdEnabled) {

      sb.append("      <form name=\"oidf\" class=\"form-signin\" method=\"post\" action=\"" + contextPath

            + this.openIDauthenticationUrl + "\">\n");

      sb.append("        <h2 class=\"form-signin-heading\">Login with OpenID Identity</h2>\n");

  ......

   return sb.toString();

}

​ 我们发现generateLoginPageHtml(HttpServletRequest request, boolean loginError, boolean logoutSuccess)这个方法中使用了最原始的Servlet写html页面的方法,将登录页的html代码写到字符串中写出到前端展示。到这里,我们就大体知道默认登录页面及登出页面是怎么生成的了。

​ 默认登录页到这里就结束了,有兴趣的可以关注下,接下来会继续写springsecurity的自定义表单认证、授权、会话等内容剖析。距离2022年只剩54天!

spring security之 默认登录页源码跟踪的更多相关文章

  1. spring security 授权方式(自定义)及源码跟踪

    spring security 授权方式(自定义)及源码跟踪 ​ 这节我们来看看spring security的几种授权方式,及简要的源码跟踪.在初步接触spring security时,为了实现它的 ...

  2. spring security采用自定义登录页和退出功能

    更新... 首先采用的是XML配置方式,请先查看  初识Spring security-添加security 在之前的示例中进行代码修改 项目结构如下: 一.修改spring-security.xml ...

  3. spring security 之自定义表单登录源码跟踪

    ​ 上一节我们跟踪了security的默认登录页的源码,可以参考这里:https://www.cnblogs.com/process-h/p/15522267.html 这节我们来看看如何自定义单表认 ...

  4. spring security 认证源码跟踪

    spring security 认证源码跟踪 ​ 在跟踪认证源码之前,我们先根据官网说明一下security的内部原理,主要是依据一系列的filter来实现,大家可以根据https://docs.sp ...

  5. Shiro 登录认证源码详解

    Shiro 登录认证源码详解 Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证.授权管理.企业级会话管理和加密等功能,相比 Spring Security 来说要更加 ...

  6. Spring Boot Dubbo 应用启停源码分析

    作者:张乎兴 来源:Dubbo官方博客 背景介绍 Dubbo Spring Boot 工程致力于简化 Dubbo | grep tid | grep -v "daemon" tid ...

  7. Spring Security 的注册登录流程

    Spring Security 的注册登录流程 数据库字段设计 主要数据库字段要有: 用户的 ID 用户名称 联系电话 登录密码(非明文) UserDTO对象 需要一个数据传输对象来将所有注册信息发送 ...

  8. spring MVC cors跨域实现源码解析

    # spring MVC cors跨域实现源码解析 > 名词解释:跨域资源共享(Cross-Origin Resource Sharing) 简单说就是只要协议.IP.http方法任意一个不同就 ...

  9. spring security使用自定义登录界面后,不能返回到之前的请求界面的问题

    昨天因为集成spring security oauth2,所以对之前spring security的配置进行了一些修改,然后就导致登录后不能正确跳转回被拦截的页面,而是返回到localhost根目录. ...

随机推荐

  1. lightweight openpose 入门实操笔记(pytorch环境)

    最近有个小项目要搞姿态识别,简单调研了一下2D的识别: 基本上是下面几种 (单人)single person 直接关键点回归 heatmap,感觉其实就是把一个点的标签弄成一个高斯分布 (多人)mul ...

  2. jmeter之图形结果

    jmeter监听器中的图形报表如何分析,反正第一次看到图时,不觉明厉害. 样本数目:是总共发送到服务器的请求数. 最新样本:是代表时间的数字,是服务器响应最后一个请求的时间. 吞吐量:是服务器每分钟处 ...

  3. Ubuntu18.04 安装Tomcat 8.5

    下载tomcat,登陆官网:https://tomcat.apache.org/ 点击tar.gz后,弹出这个不大懂这是什么? tomcat要求的jdk版本 解压tar包 sudo tar zxvf ...

  4. Loj#3026-「ROIR 2018 Day1」管道监控【Trie,费用流】

    正题 题目链接:https://loj.ac/p/3026 题目大意 给出\(n\)个点的一棵外向树,然后\(m\)个字符串和费用表示你每次可以花费这个费用覆盖路径字符串和给出字符串相等的路径,求覆盖 ...

  5. P6624-[省选联考2020A卷]作业题【矩阵树定理,欧拉反演】

    正题 题目链接:https://www.luogu.com.cn/problem/P6624 题目大意 \(n\)个点的一张图,每条边有权值,一棵生成树的权值是所有边权和乘上边权的\(gcd\),即 ...

  6. CF453C-Little Pony and Summer Sun Celebration【构造】

    正题 题目链接:https://www.luogu.com.cn/problem/CF453C 题目大意 \(n\)个点\(m\)条边的一张无向图,每个节点有一个\(w_i\)表示该点需要经过奇数/偶 ...

  7. HCNP Routing&Switching之路由引入导致的问题及解决方案

    前文我们了解了路由引入相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15359902.html:今天我们来讨论下由于路由引入所导致的问题以及怎么避免此 ...

  8. Azure Devops实践(5)- 构建springboot项目打包docker镜像及容器化部署

    使用Azure Devops构建java springboot项目,创建镜像并容器化部署 1.创建一个springboot项目,我用现有的项目 目录结构如下,使用provider项目 在根目录下添加D ...

  9. Dapr 虚拟机集群部署 (非K8S)

    从2021-10-08号发布4小时Dapr + .NET 5 + K8S实战到今天刚刚一周时间,报名人数到了230人,QQ群人数从80人增加到了260人左右,大家对Dapr的关注度再一次得到了验证,并 ...

  10. Matlab/Modelsim图像联合仿真平台

    FPGA图像仿真平台 1 引言 在使用modelsim进行图像算法的功能仿真时,无法得到图像的实时预览,因此直观性有所欠缺.因此可配合matlab使用,通过modelsim读出txt格式的图像,利用m ...