在本专栏之前的文章中,已经给大家介绍过spring security的httpbasic模式,该模式比较简单,只是进行了通过携带http的header进行简单的登录验证,而且没有定制的登录页面,所以使用场景比较窄。
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要spring security支持我们自己定制登录页面,也就是本文给大家介绍的formlogin模式登录认证模式。
以上就是本文介绍formlogin模式需要进行的准备工作及需求,下面我们就来实现其中的核心的登录验证逻辑,准备工作非常简单请自行实现。(新建spring boot应用,登录页面、首页、四个业务页面都写成非常简单的html即可,不用写实际业务和样式。)
formlogin模式的三要素:
一般来说,使用权限认证框架的的业务系统登录验证逻辑是固定的,而资源访问控制规则和用户信息是从数据库或其他存储介质灵活加载的。但本文所有的用户、资源、权限信息都是代码配置写死的,旨在为大家介绍formlogin认证模式,如何从数据库加载权限认证相关信息我还会结合rbac权限模型再写文章的。
首先,我们要继承websecurityconfigureradapter ,重写configure(httpsecurity http) 方法,该方法用来配置登录验证逻辑。请注意看下文代码中的注释信息。
@configuration public class securityconfig extends websecurityconfigureradapter { @override protected void configure(httpsecurity http) throws exception { http.csrf().disable() //禁用跨站csrf攻击防御,后面的章节会专门讲解 .formlogin() .loginpage("/login.html")//用户未登录时,访问任何资源都转跳到该路径,即登录页面 .loginprocessingurl("/login")//登录表单form中action的地址,也就是处理认证请求的路径 .usernameparameter("uname")///登录表单form中用户名输入框input的name名,不修改的话默认是username .passwordparameter("pword")//form中密码输入框input的name名,不修改的话默认是password .defaultsuccessurl("/index")//登录认证成功后默认转跳的路径 .and() .authorizerequests() .antmatchers("/login.html","/login").permitall()//不需要通过登录验证就可以被访问的资源路径 .antmatchers("/biz1").hasanyauthority("biz1") //前面是资源的访问路径、后面是资源的名称或者叫资源id .antmatchers("/biz2").hasanyauthority("biz2") .antmatchers("/syslog").hasanyauthority("syslog") .antmatchers("/sysuser").hasanyauthority("sysuser") .anyrequest().authenticated(); } }
上面的代码分为两部分:
这时候,我们通过浏览器访问,随便测试一个没有访问权限的资源,都会跳转到login.html页面。
在上文中,我们配置了登录验证及资源访问的权限规则,我们还没有具体的用户,下面我们就来配置具体的用户。重写websecurityconfigureradapter的 configure(authenticationmanagerbuilder auth)方法
public void configure(authenticationmanagerbuilder auth) throws exception { auth.inmemoryauthentication() .withuser("user").password(passwordencoder().encode("123456")).authorities("biz1","biz2") .and() .passwordencoder(passwordencoder());//配置bcrypt加密 } @bean public passwordencoder passwordencoder(){ return new bcryptpasswordencoder(); }
inmemoryauthentication
指的是在内存里面存储用户的身份认证和授权信息。withuser("user")
用户名是userpassword(passwordencoder().encode("123456"))
密码是加密之后的123456authorities("biz1","biz2")
指的是user用户拥有资源id为biz1(业务一)和biz2(业务二)资源的权限这样,我们就实现了文首提出的普通用户只能访问biz1(业务一)和biz2(业务二)资源的需求。那么管理员用户可以访问所有的资源的配置方式,你会不会呢?同样的配方、同样的方式、自己可以尝试一下哦!
在我们的实际开发中,登录页面login.html和控制层controller登录验证'/login'都必须无条件的开放。除此之外,一些静态资源如css、js文件通常也都不需要验证权限,我们需要将它们的访问权限也开放出来。下面就是实现的方法:重写websecurityconfigureradapter类的configure(websecurity web) 方法
@override public void configure(websecurity web) { //将项目中静态资源路径开放出来 web.ignoring().antmatchers("/config/**", "/css/**", "/fonts/**", "/img/**", "/js/**"); }
如对本文有疑问, 点击进行留言回复!!
vue学习----1.初识vue&&vue基本语法
sap cloud platform destination的配置
网友评论