Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息

Posted 沧海一滴

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息相关的知识,希望对你有一定的参考价值。

spring boot以其众多友谊的特性,如零配置、微服务等,吸引了很多的粉丝。而其与Spring Security安全框架的无缝结合,使其具备的安全的特性。在此基础上使用Thymeleaf模板引擎进行渲染,静动态结合,让页面开发更加简单、直观。

通过表单提交登录的用户名和密码是登录接口比较常见的一种设计。在初学的过程中,我也不例外的采用个这种方式。表单设计见下图。

技术分享

 

登录成功,完成正常的主页面跳转,这个不存在问题。存在问题的是,登录失败了该咋办呢?我就在考虑,由于thymeleaf的局部刷新操作,登录失败了将登录失败的异常信息显示在登录页面,也就是表单上。于是,我的登录设计又变成了如下图所示的表单。

技术分享

        

         通过这种方法,当登录表单验证失败时,会该用户显示”用户名或密码错误,请重试”,这当然是比较好的,但是验证失败的情况不仅仅是用户名或密码错误吧,应该还有其它的情形,比较常见的就有,该用户已被锁定,该用户不存在,请先注册等。

那么该如何区分这么情形呢,怎么把登录表单验证失败的比较详细的状况显示给用户呢。经过一段时间的调研,发现Spring boot提供了比较完美的解决方案,而其秘密就在Spring Security的配置中。我项目中的Spring Security配置如下图所示。

技术分享

 

而我在阅读Spring Security源码时,当认证失败时,找寻到以下处理的代码

技术分享

 

而重点就在saveException函数,而此函数的具体代码如下:

技术分享

 

从这段代码中,我们可以清晰的看到,认证失败的异常信息被保存在Session中,如果我们可以读取Session中的信息那么,之前所遇到的问题就迎刃而解了吧。

事实上,事物的发展从来不是一帆风顺的,解决问题也是类似。我了解到Thymeleaf提供了读取缓存Session的方案,就迫不及待的进行尝试,于是乎,我的登录表单又变成了如下模样,红线指出的是Thymleaf缓存的读取方式。

技术分享

 

这样就可以显示验证失败的具体信息了吗?经过我的测试,我发现,此信息是未定义。也就是说,模样读取到缓存中的信息。

通过在网上查找资料,我在浩瀚的百度的犄角旮旯里,查找到以下的代码片段。

技术分享

 

         我如获至宝,仿佛见到了光明。在配置文件配置的时代,可以设置登录失败的跳转页面为”/login.html?error=true”,而我设置的是“/login?error”,那么是否可以设置为类似的true呢?我迫不及待的进行尝试。于是乎,我Spring Security的Java Config又变成了如下的样子。

技术分享

 

经过验证,通过这样设置,完美的解决了我遇到的问题,到现在,我仍没有明白设置true的含义,望知道的读者可以告诉小编。

小编来总结哈,在Spring boot +Spring Security + Thymeleaf框架下,通过用户名/密码表单提交,在登录界面获取异常信息的步骤,主要有以下两点:

其一:将登录失败的url设置为”/login?error=true”(即后缀带?error=true),使前端的thymleaf可以读取Session;

其二:Thymeleaf提供的读取缓存中信息的方法${session.SPRING_SECURITY_LAST_EXCEPTION.message},两者缺一不可。

 

http://blog.csdn.net/sun1021873926/article/details/60332059

 

以上是关于Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息的主要内容,如果未能解决你的问题,请参考以下文章

Spring Boot 桌面独立应用程序中的 Apache Shiro

Spring Boot 安全性 - 两个不同的过滤器

无法正确实现 pom.xml 的 spring 安全性

尽管有 SecurityConfig,但 Spring Security 会阻止 POST 请求

Spring Boot 学习例子

Spring Boot 2Spring Boot CLI