认证
认证页面
-
SpringSecurity默认提供认证页面,不需要额外开发。
image
完全配置
- spring security提供了用户名密码登录,退出,会话管理等认证功能,只需要配置即可使用。
- 1)在config包下定义WebSecurityConfig,安全配置的内容包括:用户信息,密码编码器,安全拦截机制。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
//定义用户信息服务(查询用户信息)
@Bean
public UserDetailsService userDetailsService(){
InMemoryUserDetailsManager manager=new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("zs").password("123").authorities("p1").build());
manager.createUser(User.withUsername("ls").password("123").authorities("p2").build());
return manager;
}
//密码编码器
@Bean
public PasswordEncoder passwordEncoder(){
return NoOpPasswordEncoder.getInstance();
}
//安全拦截机制(最重要)
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
.anyRequest().permitAll()//除了/r/**,其他的请求可以访问
.and()
.formLogin()//允许表单登录
.successForwardUrl("/login-success");//自定义登录成功的页面地址
}
}
- userDetailsService()方法中,我们返回了一个UserDetailsService给spring容器,SpringSecurity去使用 获取用户信息。我们暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zs,ls两个用户,并设置密码和权限。
- 而在configure()中,我们通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:
- (1)url匹配/r/**的资源,已经认证后才能访问。
- (2)其他url完全开放。
- (3)支持form表单认证,认证成功后转向/login-succes。
- 关于HttpSecurity的配置清单请参考附录HttpSecurity
- 2)加载WebSecurityConfig
- 修改SpringApplicationInitializer的getRootConfigClasses方法,添加webSecurityConfig.class:
/**
* spring容器,相等于加载了applicationContext.xml
* @return
*/
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};
}
SpringSecurity初始化
- Spring Security初始化,这里有两种情况
- 若当前环境没有使用Spring或SpringMVC,则需要将WebSecurityConfig(Spring Security配置类)传入超类,以确保获取配置,并创建spring context。
- 相反,若当前环境已经使用spring,我们应该在现有的springContext中注册SpringSecurity(上一步已经做将WebSecurityConfig加载至rootcontext),此方法可以什么都不做。
- 在init包下定义SpringSecurityApplicationInitializer:
public class SpringSecurityApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
public SpringSecurityApplicationInitializer(){
//super(WebSecurityConfig.class);
}
}
默认根路径请求
- 在WebConfig.java中添加默认请求路径跳转到/login,此url为spring security提供:
/**
* 默认Url根路径跳转到/login,此url为spring security提供
* @param registry
*/
@Override
public void addViewControllers(ViewControllerRegistry registry){
registry.addViewController("/").setViewName("redirect:login");
}
- spring security默认提供的登录页面
认证成功页面
- 在安全配置中,认证成功跳转到/login-success,代码如下:
//安全拦截机制(最重要)
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
.anyRequest().permitAll()//除了/r/**,其他的请求可以访问
.and()
.formLogin()//允许表单登录
.successForwardUrl("/login-success");//自定义登录成功的页面地址
}
- spring security支持form表单认证,认证成功后转向/login-success。
- 在LoginController中定于/login-success:
@RestController
public class LoginController {
@RequestMapping(value = "/login-success",produces = {"text/plain;charset=utf-8"})
public String loginSuccess(){
return "登录成功";
}
}
