Loading [MathJax]/extensions/AssistiveMML.js

SpringBoot 2整合SpringSecurity权限管理(二)配置自定义登录成功和失败处理器

技术
字数统计: 1.1k字   |   阅读时长≈ 4分钟
  1. 概述
  2. 一、创建登录成功处理器LoginSuccessHandler,并重写onAuthenticationSuccess方法
  3. 二、创建登录失败处理器,并重写onAuthenticationFailure方法
  4. 三、把自定义处理器加入security认证中
  5. 四、启动项目测试
概述

上一篇文章讲了,登陆完后会给我们返回信息,这没毛病,但是问题来了,他跳转了页面,假设我们不想跳转页面,只想返回固定格式的JSON呢?这就需要我们自定义成功处理器了。失败的情况也雷同。

一、创建登录成功处理器LoginSuccessHandler,并重写onAuthenticationSuccess方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
@Slf4j
@Component
public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
        log.info("登录成功!");
        /* 默认:会帮我们跳转到上一次请求的页面上 */
        //super.onAuthenticationSuccess(request, response, authentication);
        response.setStatus(HttpServletResponse.SC_OK);
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        PrintWriter writer = response.getWriter();
        writer.write("登录成功");
        writer.flush();
        writer.close();
    }
}

Spring Security完成用户登录后跳转回原页面的处理是在SavedRequestAwareAuthenticationSuccessHandler类里面进行的,如果想要自定义登录成功后的操作可以继承该类,重写该方法。为什么不实现AuthenticationSuccessHandler接口,而是继承SavedRequestAwareAuthenticationSuccessHandler类的方式?因为SavedRequestAwareAuthenticationSuccessHandler这个类记住了你上一次的请求路径,比如:你请求user.html。然后被拦截到了登录页,这时候你输入完用户名密码点击登录,会自动跳转到user.html,而不是主页面。

若是前后分离项目则实现接口即可,因为我弄的是通用的权限组件,所以选择了继承。

一种成功的身份验证策略,通过ExceptionTranslationFilter,默认将DefaultSavedRequest存储在session中当这样的请求被截获并需要身份验证时,在身份验证过程开始之前存储请求数据以记录原始目的地(url)并允许在重定向到相同的URL时重键请求,如果合适的话,这个类负责执行到原始URL的重定向。

在成功进行验证之后,它根据以下场景确定重定向目标:

  1. 如果alwaysUseDefaultTargetUrl属性设置为true,则defaultTargetUrl将用于目标.会话中存储的任何defaultSavedRequest将被删除。
  2. 如果在请求中设置了targetUrlParameter,则该值将用作目标。defaultTargetUrl将再次被删除
  3. 如果在RequestCache中找到SavedRequest(由ExceptionTranslationFilter所设置,在验证过程开始之前记录原始目的地),将对原始目的地的Url执行重定向。当收到重定向请求时,SavedRequest对象将保持缓存状态并被拾取(请参阅SavedRequestAwareWrapper)
  4. 如果找不到SavedRequest它将委托给基类(父类)。

二、创建登录失败处理器,并重写onAuthenticationFailure方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
@Slf4j
@Component
public class LoginFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        /* 默认:执行重定向或转发到defaultfailureurl(如果设置),Otherw返回401错误代码 */
        //super.onAuthenticationFailure(request,response,exception)
        log.error("登录错误 [{}] ",exception.getMessage());
        response.setStatus(HttpServletResponse.SC_BAD_REQUEST);
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        PrintWriter writer = response.getWriter();
        writer.write(exception.getMessage());
        writer.flush();
        writer.close();
    }
}

AuthenticationFailureHandler接口定义了Spring Security Web在遇到认证错误时所使用的处理策略。

典型做法一般是将用户重定向到认证页面(比如认证机制是用户名表单认证的情况)让用户再次认证。当然具体实现类可以根据需求实现更复杂的逻辑,比如根据异常做不同的处理等等。举个例子,如果遇到CredentialsExpiredException异常(AuthenticationException异常的一种,表示密码过期失效),可以将用户重定向到修改密码页面而不是登录认证页面。

在Spring Security Web框架内部,缺省使用的认证错误处理策略是AuthenticationFailureHandler的实现类SimpleUrlAuthenticationFailureHandler。它由配置指定一个defaultFailureUrl,表示认证失败时缺省使用的重定向地址。一旦认证失败,它的方法onAuthenticationFailure被调用时,它就会将用户重定向到该地址。如果该属性没有设置,它会向客户端返回一个401状态码。另外SimpleUrlAuthenticationFailureHandler还有一个属性useForward,如果该属性设置为true,页面跳转将不再是重定向(redirect)机制,取而代之的是转发(forward)机制。

三、把自定义处理器加入security认证中

在SecurityConfig配置类的configure(HttpSecurity http)方法中加入我们自定义的处理Handler

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests() //需要授权的请求
        .antMatchers("/login","/home").permitAll() //过滤不需要认证的路径
        .anyRequest().authenticated() //对任何一个请求,都需要认证
        .and() //完成上一个配置,进行下一步配置
        //.httpBasic();
        .formLogin() //配置表单登录
        .loginPage("/login") //设置登录页面
        .successHandler(successHandler)  /* 设置成功处理器 */
        .failureHandler(failureHandler)  /* 设置失败处理器*/
        .and()
        .logout() //登出
        .logoutSuccessUrl("/home"); //设置退出页面
}

四、启动项目测试

66666666

7777778

打赏
  • 版权声明: 本博客所有文章除特别声明外,均采用 Apache License 2.0 许可协议。转载请注明出处!
表情 | 预览
Code 504: The app is archived, please restore in console before use. [400 GET https://avoscloud.com/1.1/classes/Comment]
Powered By Valine
v1.3.10
  • © 2020 yak33
  • Powered by Hexo Theme Ayer
  • PV:9394 UV:7654

请我喝杯咖啡吧~

支付宝
微信