Spring Security-2-表单认证

Posted springboot葵花宝典

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security-2-表单认证相关的知识,希望对你有一定的参考价值。

Spring Security-2-表单认证

我们在地址小节介绍了Spring Security的​​HttpBasic​​​基础认证模式,这个模式方法比较简单,不需要制作登录页面,使用范围较小。如果我们在一个完整的系统里面,登录页面也许我们自己设计,并且提供多种登录方式。这就需要使用​​Spring Security​​为我们提供的​表单登录进行登录认证​。

项目代码准备

Controller层代码

@Controller
public class TestController

/**
* 登录
* @return
*/
@RequestMapping("/login/page")
public String toLogin()
return "login"; // classpath: /templates/login.html


// 首页
@RequestMapping("/index", "/", "")
public String index()
return "index";

// 日志管理
@GetMapping("/syslog")
@ResponseBody
public String showOrder()
return "springboot葵花宝典 syslog";

// 用户管理
@GetMapping("/sysuser")
@ResponseBody
public String addOrder()
return "springboot葵花宝典 sysuser";

index.html

我们设置一个简单的index.html页面,代码如下

<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8" />
<title>springboot葵花宝典管理系统</title>
</head>
<body>

<h1>springboot葵花宝典管理系统</h1>
<br>
<a href="/syslog">日志管理</a>
<br>
<a href="/sysuser">用户管理</a>

启动浏览器输入http://localhost:8888/,显示页面如下

Spring

如果我们想在页面的时候添加登录页面和权限,那么我们要实现以下步骤。

添加Spring Security启动依赖

要在我们创建项目的​​pom.xml​​​中添加​​spring-boot-starter-security​​依赖

<!--spring security-->
<!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>2.6.4</version>
</dependency>

创建LearnSrpingSecurity安全配置类

​LearnSrpingSecurity​​安全配置类作为我们的安全控制中心,具体实现步骤如下:

  • 创建​​LearnSrpingSecurity​​​类在​​config​​包下

  • 让​​LearnSrpingSecurity​​​继承​​WebSecurityConfigurerAdapter​

  • 在​​LearnSrpingSecurity​​​类上添加​​@EnableWebSecurity​​注解

  • 重写以下两个方法

  • configure(AuthenticationManagerBuilder auth) 认证管理器

  • 认证信息提供方式(用户名、密码、当前用户的资源权限)

  • 可采用内存存储方式,也可能采用数据库方式等

  • configure(HttpSecurity http) 资源权限配置(过滤器链)

  • 被拦截资源

  • 资源对应的权限

  • 认证方式:httpbasic、httpform

  • 定制登录页面、登录请求地址,以及成功和失败处理方式

  • 自定义 spring security 过滤器

Spring

/**
* 安全配置类
*/
@EnableWebSecurity
public class LearnSrpingSecurity extends WebSecurityConfigurerAdapter
/**
* 认证管理器
* 1.认证信息提供方式(用户名、密码、当前用户的资源权限)
* 2.可采用内存存储方式,也可能采用数据库方式等
* @param auth
* @throws Exception
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception
super.configure(auth);


/**
* 资源权限配置(过滤器链):
* 1、被拦截的资源
* 2、资源所对应的角色权限
* 3、定义认证方式:httpBasic 、httpForm
* 4、定制登录页面、登录请求地址、错误处理方式
* 5、自定义 spring security 过滤器
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception
http.formLogin()//表单认证
.and()
.authorizeRequests()
.anyRequest().authenticated();

现在我们启动程序并输入http://localhost:8080/我们发现页面像httpbasic一样自动跳转到了http://localhost:8080/login,用户名和密码还是像之前一样

  • 用户名默认 user
  • 密码 自动生成

Spring

输入用户和密码后就看显示原来的页面信息

Spring

@EnableSecurity注解解释

我们添加​​@EnableWebSecurity​​​注解是为了让​​LearnSrpingSecurity​​类被Spring发现并进行注册,​为什么添加上这个注解就会被Spring发现并注册呢?​,我们查看​​@EnableWebSecurity​​​源码发现,​​EnableWebSecurity​​​注解标注了​​@Configuration​​注解

@Configuration
public @interface EnableWebSecurity
boolean debug() default false;

用户角色配置

如果我们需要自定义用户和密码,可以在configure(AuthenticationManagerBuilder auth) 认证管理器中进行实现,提供了内存和数据库等存储用户信息的方式,具体代码实现如下

内存管理用户信息

@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();

/**
* 认证管理器
* 1.认证信息提供方式(用户名、密码、当前用户的资源权限)
* 2.可采用内存存储方式,也可能采用数据库方式等
* @param auth
* @throws Exception
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception
//super.configure(auth);
auth.inMemoryAuthentication()
.withUser("admin")
.password(passwordEncoder().encode("123456"))
.roles("admin")
.authorities("Role_admin")
.and()
.passwordEncoder(passwordEncoder());//配置BCrypt加密
  • inMemoryAuthentication​:使用内存存储用户信息
  • withUser​:设置用户名
  • password​:设置用户密码,在设置密码的时候必须注入​​PasswordEncoder​
  • authorities​: 是对应用户拥有资源ID对应的资源访问的的权限
  • roles​:方法用于指定用户的角色,一个用户可以有多个角色

现在我们启动程序并输入http://localhost:8080/,页面还是会自动跳转到http://localhost:8888/login,输入我们自定的用户名和密码

Spring

自定义登录页面

当我们设置了用户名和密码以后,我们肯定还想设置一个自己的登录页面,我们需要将自定义登录页面需要放置在​src\\main\\resources\\static​文件夹下,我们将登录页面命名为​myLogin.html​代码如下

<!--suppress ALL-->
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<title>springboot葵花宝典登录页面</title>
<!-- Tell the browser to be responsive to screen width -->
<meta name="viewport" content="width=device-width, initial-scale=1">
</head>
<body>
<h1>springboot葵花宝典登录页面</h1>
<form th:action="@/login/form" action="index.html" method="post">
<span>用户名称</span><input type="text" name="username" /> <br>
<span>用户密码</span><input type="password" name="password" /> <br>

<div th:if="$param.error">
<span th:text="$session.SPRING_SECURITY_LAST_EXCEPTION.message" style="color:#ff0000">用户名或 密码错误</span>
</div>
<input type="submit" value="登陆">

</form>

</body>
</html>

在configure(HttpSecurity http)自定义表单的配置

设置自定义登录页面以后,我们需要在configure(HttpSecurity http)设置相对应的配置

/**
* 资源权限配置(过滤器链):
* 1、被拦截的资源
* 2、资源所对应的角色权限
* 3、定义认证方式:httpBasic 、httpForm
* 4、定制登录页面、登录请求地址、错误处理方式
* 5、自定义 spring security 过滤器
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception
http.csrf().disable() //禁用跨站csrf攻击防御,后面的章节会专门讲解
.formLogin()
.loginPage("/login/page")//用户的请求没有权限就跳转到登录页面
.loginProcessingUrl("/login/form")//登录表单form中action的地址,也就是处理认证请求的路径
.usernameParameter("username")///登录表单form中用户名输入框input的name名,不修改的话默认是username
.passwordParameter("password")//form中密码输入框input的name名,不修改的话默认是password
.and()
.authorizeRequests()
.antMatchers("/login/page").permitAll()//不需要通过登录验证就可以被访问的资源路径
.anyRequest().authenticated();

重启程序,再次访问localhost:8080,页面还是会自动跳转到http://localhost:8888/login,如图所示

Spring

mylogin.html页面中form表单中字段和configure(HttpSecurity http)配置的对应关系

Spring

登录页面显示提示信息

当提交登录form认证失败的时候,通过http://localhost:8888/login/page?error进行重新定向登录页面,此时地址带有​​error​​参数,表示认证失败,​默认情况下,提示信息为英文,但是也可以配置成中文

Spring

实现中文提示信息

  • 在spring-security-core-x.x.x.jar下有国际化配置文件​​messages_xx.properties​
  • 默认​ReloadableResourceBundleMessageSource​加载了​message.properties​英文配置文件
  • 手动实现加载指定​​messages_zh_CN.properties​​中文配置文件
  • 在config包下创建​​SecurityMessageConfig​

​SecurityMessageConfig​​类代码如下

@Configuration
public class SecurityMessageConfig
@Bean // 加载中文的认证提示信息
public ReloadableResourceBundleMessageSource messageSource()
ReloadableResourceBundleMessageSource messageSource = new ReloadableResourceBundleMessageSource();
//.properties 不要加到后面
messageSource.setBasename("classpath:org/springframework/security/messages_zh_CN");
return messageSource;

测试

重新启动项目,输入错误的用户信息,显示错误为​用户或密码错误

Spring

如果您觉得本文不错,​欢迎关注,点赞,收藏支持​,您的关注是我坚持的动力!

原创不易,转载请注明出处,感谢支持!如果本文对您有用,欢迎转发分享!

以上是关于Spring Security-2-表单认证的主要内容,如果未能解决你的问题,请参考以下文章

Spring-Security-Oauth2 基于JDBC存储令牌和RBAC权限认证

Spring security oauth2 client_credentials认证

Spring Security 2.0,获取用户的认证状态

spring boot spring-security-oauth2 默认的authorize和token接口的区别

如何在 grails 和现有 oauth2 提供程序中使用 Spring Security 实现基于表单的登录

spring-security-oauth2注解详解