您好,登錄后才能下訂單哦!
一、formLogin的應用場景
在本專欄之前的文章中,已經(jīng)給大家介紹過Spring Security的HttpBasic模式,該模式比較簡單,只是進行了通過攜帶Http的Header進行簡單的登錄驗證,而且沒有定制的登錄頁面,所以使用場景比較窄。
對于一個完整的應用系統(tǒng),與登錄驗證相關的頁面都是高度定制化的,非常美觀而且提供多種登錄方式。這就需要Spring Security支持我們自己定制登錄頁面,也就是本文給大家介紹的formLogin模式登錄認證模式。
準備工作
需求
以上就是本文介紹formLogin模式需要進行的準備工作及需求,下面我們就來實現(xiàn)其中的核心的登錄驗證邏輯,準備工作非常簡單請自行實現(xiàn)。(新建spring boot應用,登錄頁面、首頁、四個業(yè)務頁面都寫成非常簡單的html即可,不用寫實際業(yè)務和樣式。)
二、說明
formLogin模式的三要素:
一般來說,使用權限認證框架的的業(yè)務系統(tǒng)登錄驗證邏輯是固定的,而資源訪問控制規(guī)則和用戶信息是從數(shù)據(jù)庫或其他存儲介質(zhì)靈活加載的。但本文所有的用戶、資源、權限信息都是代碼配置寫死的,旨在為大家介紹formLogin認證模式,如何從數(shù)據(jù)庫加載權限認證相關信息我還會結合RBAC權限模型再寫文章的。
三、實現(xiàn)formLogin模式基礎配置
首先,我們要繼承WebSecurityConfigurerAdapter ,重寫configure(HttpSecurity http) 方法,該方法用來配置登錄驗證邏輯。請注意看下文代碼中的注釋信息。
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() //禁用跨站csrf攻擊防御,后面的章節(jié)會專門講解 .formLogin() .loginPage("/login.html")//用戶未登錄時,訪問任何資源都轉(zhuǎn)跳到該路徑,即登錄頁面 .loginProcessingUrl("/login")//登錄表單form中action的地址,也就是處理認證請求的路徑 .usernameParameter("uname")///登錄表單form中用戶名輸入框input的name名,不修改的話默認是username .passwordParameter("pword")//form中密碼輸入框input的name名,不修改的話默認是password .defaultSuccessUrl("/index")//登錄認證成功后默認轉(zhuǎn)跳的路徑 .and() .authorizeRequests() .antMatchers("/login.html","/login").permitAll()//不需要通過登錄驗證就可以被訪問的資源路徑 .antMatchers("/biz1").hasAnyAuthority("biz1") //前面是資源的訪問路徑、后面是資源的名稱或者叫資源ID .antMatchers("/biz2").hasAnyAuthority("biz2") .antMatchers("/syslog").hasAnyAuthority("syslog") .antMatchers("/sysuser").hasAnyAuthority("sysuser") .anyRequest().authenticated(); } }
上面的代碼分為兩部分:
第一部分是formLogin配置段,用于配置登錄驗證邏輯相關的信息。如:登錄頁面、登錄成功頁面、登錄請求處理路徑等。
第二部分是authorizeRequests配置端,用于配置資源的訪問權限。如:開發(fā)登錄頁面的permitAll開放訪問,“/biz1”(業(yè)務一頁面資源)需要有資源ID為"biz1"的用戶才可以訪問。
這時候,我們通過瀏覽器訪問,隨便測試一個沒有訪問權限的資源,都會跳轉(zhuǎn)到login.html頁面。
四、實現(xiàn)資源訪問限制的需求
在上文中,我們配置了登錄驗證及資源訪問的權限規(guī)則,我們還沒有具體的用戶,下面我們就來配置具體的用戶。重寫WebSecurityConfigurerAdapter的 configure(AuthenticationManagerBuilder auth)方法
public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password(passwordEncoder().encode("123456")).authorities("biz1","biz2") .and() .passwordEncoder(passwordEncoder());//配置BCrypt加密 } @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } inMemoryAuthentication指的是在內(nèi)存里面存儲用戶的身份認證和授權信息。 withUser("user")用戶名是user password(passwordEncoder().encode("123456"))密碼是加密之后的123456 authorities("biz1","biz2")指的是user用戶擁有資源ID為biz1(業(yè)務一)和biz2(業(yè)務二)資源的權限
這樣,我們就實現(xiàn)了文首提出的普通用戶只能訪問biz1(業(yè)務一)和biz2(業(yè)務二)資源的需求。那么管理員用戶可以訪問所有的資源的配置方式,你會不會呢?同樣的配方、同樣的方式、自己可以嘗試一下哦!
五、靜態(tài)資源訪問
在我們的實際開發(fā)中,登錄頁面login.html和控制層Controller登錄驗證'/login'都必須無條件的開放。除此之外,一些靜態(tài)資源如css、js文件通常也都不需要驗證權限,我們需要將它們的訪問權限也開放出來。下面就是實現(xiàn)的方法:重寫WebSecurityConfigurerAdapter類的configure(WebSecurity web) 方法
@Override public void configure(WebSecurity web) { //將項目中靜態(tài)資源路徑開放出來 web.ignoring().antMatchers("/config/**", "/css/**", "/fonts/**", "/img/**", "/js/**"); }
總結
以上所述是小編給大家介紹的Spring Security的formLogin登錄認證模式,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對億速云網(wǎng)站的支持!
如果你覺得本文對你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內(nèi)容。