2. 程式人生 > >[Spring Security] Spring Security基於表單的登入認證

[Spring Security] Spring Security基於表單的登入認證

阿新 發佈:2019-02-06

1.基本原理

SpringSecurity 最核心的部分是由一系列的過濾器組成的過濾器鏈,每個過濾器都負責處理一種認證方式,請求經過任何一個過濾器過濾後,都會在請求上做一個標記,來記錄認證是否成功,最後由FilterSecurityInterceptor根據我們配置的許可權來決定是否能通過認證,從而訪問我們的服務。今天我們主要使用的是用來處理表單登入的UsernamePasswordAuthenticationFilter。

2.實現:

程式碼結構:

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.springsecurity.login</groupId>
    <artifactId>security-login</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencyManagement><!--用來管理依賴版本-->
        <dependencies>
            <dependency>
                <groupId>io.spring.platform</groupId>
                <artifactId>platform-bom</artifactId>
                <version>Brussels-SR4</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>Dalston.SR2</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
        </dependency>
    </dependencies>

</project>

loginPage.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>security login</title>
</head>
<body>
    <h3>登入</h3>
    <form action="/authentication/form" method="post">
        <table>
            <tr>
                <td>使用者名稱:</td>
                <td><input type="text" name="username"></td>
            </tr>
            <tr>
                <td>密碼:</td>
                <td><input type="password" name="password"></td>
            </tr>

            <tr>
                <td colspan="2"><button type="submit">登入</button></td>
            </tr>
        </table>
    </form>
</body>
</html>

SecurityConfig:

package com.security.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author ShotMoon
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * @description :
     * @param : [http]
     * @return : void
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()
                .loginPage("/loginPage.html")//指定自定義登入頁面,不指定則使用預設配置的
                .loginProcessingUrl("/authentication/form")//登入請求url-form表單的action
                .and()
                .authorizeRequests()/配置請求需要認證
                .antMatchers(
                        "/loginPage.html"
                ).permitAll()//指定不需認證的路徑,防止出現登入頁需要認證而發生死迴圈的狀況
                .anyRequest()//所有請求都需認證
                .authenticated()
                .and()
                .csrf().disable();
    }
}

UserController:

package com.security.controller;

import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.GetMapping;

/**
 * @author ShotMoon
 */
@RestController
public class UserController {

    /**
     * @description : 
     * @param : []
     * @return : java.util.List<com.shotmoon.dto.User>
     * @date : 2018/5/10 18:28
     */
    @GetMapping("/user")
    public String enter(){

        String success = "登入成功";

        return success;
    }
}

MyUserDetailService:

package com.security;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;


/**
 * @author ShotMoon
 */
@Component
public class MyUserDetailService implements UserDetailsService{

    private Logger logger = LoggerFactory.getLogger(getClass());

    @Autowired
    private PasswordEncoder passwordEncoder;
    /**
     * @description :
     * @param : [username]
     * @return : org.springframework.security.core.userdetails.UserDetails
     * @date : 2018/5/12 23:11
     */
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        logger.info("使用者名稱:" + username);

        //根據使用者名稱到資料庫查詢使用者的資訊,這裡我使用mock資料,大家可以根據自己的資料庫來
        String password = passwordEncoder.encode("123");
        logger.info("資料庫加密密碼:" + password);

        return new User(username, password,
                true,true,true,true,  //boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked可根據業務進行配置
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

其中PassWordEncoder用來處理使用者的加密及匹配,看一下原始碼:

package org.springframework.security.crypto.password;

public interface PasswordEncoder {
    String encode(CharSequence var1);//加密輸入的密碼

    boolean matches(CharSequence var1, String var2);//驗證加密的密碼與資料庫資料是否匹配
}
這樣,基於SpringSecurity實現加密的表單登入就完成了。

相關推薦

Spring Security登入認證

Spring Security是一個強有力並且高度定製化的認證和訪問控制框架,致力於為Java應用程式提供認證和授權。 特性: 1、為認證和授權提供綜合性和擴充套件性支援。 2、免受session定位、點選劫持、跨站點請求偽裝等攻擊。 3、Servelt API整合。 4、與Spring MV

SpringSecurity開發基於認證

核心功能 認證(你是誰) 授權(你能幹什麼) 攻擊防護(防止偽造身份) 一組過濾器鏈 //所有請求都需要認證 幾乎是預設的 @Configuration public class BrowserSecurityConfig extends WebSecu

[Spring Security] Spring Security基於登入認證

1.基本原理SpringSecurity 最核心的部分是由一系列的過濾器組成的過濾器鏈,每個過濾器都負責處理一種認證方式,請求經過任何一個過濾器過濾後,都會在請求上做一個標記,來記錄認證是否成功,最後由FilterSecurityInterceptor根據我們配置的許可權來決

[Spring Security] 登入通過配置自定義登入頁面,以及自定義認證成功/失敗處理機制

1.目錄結構2.配置自定義登入頁通過配置SecurityProperties,MyProperties,SecurityCoreConfig來讀取resources資料夾下application.properties中相關配置項。SecurityProperties:pack

Spring Security 登入

1. 簡介 本文將重點介紹使用Spring Security登入。 本文將構建在之前簡單的Spring MVC示例之上,因為這是設定Web應用程式和登入機制的必不可少的。 2. Maven 依賴 要將Maven依賴項新增到專案中,請參閱Spring Security with Maven一文。 標準

基於servlet的web登入註冊頁面

這篇部落格存放很久了,才看到一直在草稿箱裡,再整理一下發出來。 結合嗶哩嗶哩教學視訊,實際寫了一遍web的簡單專案。 一、專案結構圖 二、程式碼片段 1.建立實體類 程式碼如下: package com.liumce.bean; import

Spring MVC框架在進行提交,自動封裝成物件提交,在以物件的形式入參

最近做了一個超市訂單管理系統的專案,使用的是Spring MVC 和Spring 框架。 如上圖:進行新使用者新增。此處jsp頁面程式碼如下: <div class="right"> <div class="location"

使用Spring AOP註解方式實現重複提交驗證功能

防重複提交常見解決方案:http://patrick002.iteye.com/blog/2197521 定義註解 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interf

spring mvc 防止重複提交的兩種方法,推薦第二種

第一種方法:判斷session中儲存的token 比較麻煩,每次在提交表單時都必須傳入上次的token。而且當一個頁面使用ajax時,多個表單提交就會有問題。 註解Token程式碼: package com.thinkgem.jeesite.common.re

spring mvc 配合ajax進行提交(有檔案上傳)並且提醒使用者提交成功

1. 首先匯入jquery-form.js 外掛   ---->   用來提交表單 匯入layer.css 以及 layer.js ----->   用來提醒使用者(這是一個比較成熟的彈出層框架) 2.原始碼 html部分: <form enctyp

spring-mvc @ModelAttribute 繫結資料到VO

場景:任何提交表單的時候 目的:不去手工獲取值,藉助spring-mvc 的內建機制,把表單轉換為VO 代價:在方法引數中使用@ModelAttribute註解 注意:表單中的name值要與VO物件中的屬性值對應,而且表單中不需要攜帶VO物件名 栗子: @RequestMa

spring token 令牌 防止重複提交

最近專案中需要對錶單重複提交作處理 這裡整理記錄下。 spring  攔截器配置程式碼: <mvc:interceptor><!-- 防止表單重複提交 token令牌 攔截器 --><mvc:mapping path="/**" />

Spring MVC 測試 | 模擬提交

在 Spring 4 MVC 單元測試例子 一文中利用Spring test 框架進行了簡單的測試,程式碼mockMvc.perform(get("/SayHello/getAnswer"))使用get()方法傳送了一個GET請求。 現在需求變了,需要提交一個

Spring Boot筆記八:驗證

ast override con body def 返回 table 正則 system 所謂的表單驗證,就是為了防止用戶亂輸入的,這個問題前端的HTML5就可以判斷了,其實不需要後端來驗證,這裏還是講一下後端驗證 首先,我們的Person類,我們加上一些表單驗證的註釋,如

spring mvc ajax請求form轉換成json

在使用jquery傳送ajax請求的時候,通過jquery的serialize()方法對錶單進行處理髮送到服務端是比較方便的。有一種場景是,欄位大部分在form表單下,個別欄位需要組裝,如果需要組裝的欄位比較簡單,可以使用serializeArray()將form序列化成ar

Spring MVC 回退重新整理重複提交

    基於Spring MVC進行Java Web開發時,如果使用表單進行提交資料,然後跳轉到某個URL由Controller進行處理,最後返回邏輯檢視,框架會通過viewResolver來解析具體的View,然後向返回給瀏覽器顯示【參考】。 <bean

Spring Boot (一) 校驗重複提交

一、前言 在某些情況下,由於網速慢,使用者操作有誤(連續點選兩下提交按鈕),頁面卡頓等原因,可能會出現表單資料重複提交造成資料庫儲存多條重複資料。 存在如上問題可以交給前端解決,判斷多長時間內不能再次點選儲存按鈕,當然,如果存在聰明的使用者能夠繞過前端驗證,後端更應該去進行攔截處理,下面小編將基於 Sprin

SharePoint 2013 配置基於的身份認證

framework 中心 fig token borde 和數 說明 ember 選擇 前 言  這裏簡介一下為SharePoint 2013 配置基於表單的身份認證。簡單的說,就是用Net提供的工具創建數據庫。然後配置SharePoint 管理中心、STS服務、Web應

form登入非同步ajax校驗

第一步:準備使用者登入的html頁面 <!DOCTYPE html> <html> <head> <meta content="application/xhtml+xml;charset=UTF-8" http-equiv="Content

一個簡單的form登入介面

1.表單展示 2.HTML程式碼 <body> <div class="main"> <div class="title"> <span>密碼登入</span> </di