Spring全家桶-Spring Security之自定义表单

Spring全家桶-Spring Security之自定义表单,第1张

Spring全家桶-Spring Security之自定义表单

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。


文章目录
  • Spring全家桶-Spring Security之自定义表单
  • Spring Security之自定义表单
  • 一、自定义表单的目的?
  • 二、实现Spring Security的自定义表单
    • 1.开始撸代码
    • 2.添加配置类WebSecurityConfig替换掉默认的配置类
    • 2.添加resources/static login.html文件
    • 3.运行项目
  • 三、一探究竟(源码分析)


Spring Security之自定义表单

我们前面看到Spring Security给我们提供的默认的登陆页,但是有时候我们希望设置我们自己的登陆页怎么处理呢?
那就用到了Spring Security自定义表单


一、自定义表单的目的?

很简单,就是不想使用Spring Security默认的表单,自己定制化表单,想怎么整就怎么整呗!

二、实现Spring Security的自定义表单 1.开始撸代码
  1. 创建工程spring-security-custome-form
    POM.xml

<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>spring-security-learnartifactId>
        <groupId>org.tony.spring.securitygroupId>
        <version>1.0-SNAPSHOTversion>
    parent>
    <modelVersion>4.0.0modelVersion>

    <artifactId>spring-security-custome-formartifactId>

    <properties>
        <maven.compiler.source>11maven.compiler.source>
        <maven.compiler.target>11maven.compiler.target>
    properties>
	
    <dependencies>
        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-securityartifactId>
        dependency>

        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-webartifactId>
        dependency>
    dependencies>
project>
  1. 项目结构
2.添加配置类WebSecurityConfig替换掉默认的配置类
/**
* 启用spring安全框架
**/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                //自定登陆页
                .loginPage("/login.html")
                .permitAll()
                .and().csrf().disable();
    }
}


图中标红的精华,😄

2.添加resources/static login.html文件

login.html就是我们自定义的登陆页

DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>自定义表单title>
head>
<body>
<form action="/login.html" method="post">
    <label>用户名:label>
    <label>
        <input type="text" name="username" />
    label>
    <label>密码:label>
    <label>
        <input type="password" name="password" />
    label>
    <button type="submit" >登陆button>
form>
body>
html>
3.运行项目

运行结果:

输入用户名和密码即可进行接口的调用了,IndexController和CustomeFormApplciation和之前的一样。
这样自定义表单基本完成

三、一探究竟(源码分析)
  1. WebSecurityConfig分析
    我们进行配置文件调整的时候,创建了WebSecurityConfig并继承了WebSecurityConfigurerAdapter类,并且覆盖了WebSecurityConfigurerAdapterconfigure(HttpSecurity http)方法。这里我们要注意我们配置类上的@EnableWebSecurity注解
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
@Documented
@Import({WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class, HttpSecurityConfiguration.class})
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
    boolean debug() default false;
}

@Configuration:声明配置类注解,告诉Spring Boot这是一个配置类。
@EnableGlobalAuthentication:启用全局认证,这个注解包含@Configuration注解和认证配置类
@Import:提供了@Bean注解的功能,同时还有原来Spring基于 xml 配置文件里的标签组织多个分散的xml文件的功能,这里会包含一些与安全相关的配置类WebSecurityConfigurationSpringWebMvcImportSelectorOAuth2ImportSelectorHttpSecurityConfiguration

  1. HttpSecurity
    这个是对以前spring集成spring security的xml配置的代码实现,我们看到上图标红的地方,HttpSecurity被设计为链式调用,通过相关方法后,都会返回相关的预期对象进行下一步的处理,不然的话,我们需要不断的创建相关对象进行方法调用,这样会增加代码的复杂度。
    HttpSecurity会对安全进行相关设置,关于请求的url,登陆页,权限等相关检验和处理。
    HttpSecurity提供了很多配置相关的方法, 分别对应命名空间配置中的子标签。
    authorizeRequests():返回了一个 URL 拦截注册器,通过相应的方法来匹配系统的URL,并指定安全策略。
    formLogin():提供表单认证方式
    loginPage():指定自定义登陆页,并且Spring Security会用登陆页注册一个POST路由,用于接受用户的请求。
//AbstractAuthenticationFilterConfigurer.setLoginPage()
private void setLoginPage(String loginPage) {
        this.loginPage = loginPage;
        this.authenticationEntryPoint = new LoginUrlAuthenticationEntryPoint(loginPage);
    }

csrf():Spring Security提供的跨站请求伪造防护功能,当我们继承WebSecurityConfigurerAdapter时会默认开启csrf()方法
并且HttpSecurity还提供了一些像前后端分离的处理,登陆成功或者失败的处理等等。
当我们使用SpringSecurity给我们提供的登陆POST路由的话,我们该怎么处理?我们可以使用loginProcessingUrl()进行指定.

  1. static文件login.html是如何找到的?
    通过指定的登陆页面的方法往下一步一步走,会进入DefaultLoginPageGeneratingFilter过滤器中,进行设置登陆页,并且判断是否为登陆页
private boolean matches(HttpServletRequest request, String url) {
        if ("GET".equals(request.getMethod()) && url != null) {
            String uri = request.getRequestURI();
            int pathParamIndex = uri.indexOf(59);
            if (pathParamIndex > 0) {
                uri = uri.substring(0, pathParamIndex);
            }

            if (request.getQueryString() != null) {
                uri = uri + "?" + request.getQueryString();
            }

            return "".equals(request.getContextPath()) ? uri.equals(url) : uri.equals(request.getContextPath() + url);
        } else {
            return false;
        }
    }

我们知道spring-boot-starter-web默认是使用spring-mvc进行处理的,我们可以再spring-boot-autoconfigure中找到web包,下面有resource的处理,相关类为:WebProperties

 private static final String[] CLASSPATH_RESOURCE_LOCATIONS = new String[]{"classpath:/META-INF/resources/", "classpath:/resources/", "classpath:/static/", "classpath:/public/"};
        private String[] staticLocations;
        private boolean addMappings;
        private boolean customized;
        private final WebProperties.Resources.Chain chain;
        private final WebProperties.Resources.Cache cache;
        public Resources() {
            this.staticLocations = CLASSPATH_RESOURCE_LOCATIONS;
            this.addMappings = true;
            this.customized = false;
            this.chain = new WebProperties.Resources.Chain();
            this.cache = new WebProperties.Resources.Cache();
        }

this.staticLocations = CLASSPATH_RESOURCE_LOCATIONS;进行处理静态资源的路径,进行加载login.html
之后会通过WebMvcAutoConfiguration进行自动配置mvc的相关处理。
通过资源加载器ResourceLoader进行加载相关的资源.
这里面涉及到spring mvc的原理😄


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/729559.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-04-27
下一篇 2022-04-27

发表评论

登录后才能评论

评论列表(0条)

保存