SpringSecurity实现前后端分离的示例详解
前后端分离模式是指由前端控制页面路由,后端接口也不再返回html数据,而是直接返回业务数据,数据一般是JSON格式。Spring Security默认的表单登录方式,在未登录或登录成功时会发起页面重定向,在提交登录数据时,也不是JSON格式。要支持前后端分离模式,要对这些问题进行改造。
1. 认证信息改成JSON格式
Spring Security默认提供账号密码认证方式,具体实现是在UsernamePasswordAuthenticationFilter 中。因为是表单提交,所以Filter中用request.getParameter(this.usernameParameter) 来获取用户信息。当我们将数据改成JSON,并放入HTTP Body后,getParameter 就没法获取到信息。
要解决这个问题,就要新建Filter来替换UsernamePasswordAuthenticationFilter ,然后覆盖掉获取用户的方法。
1.1 新建JsonUsernamePasswordAuthenticationFilter
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.SneakyThrows;
import org.springframework.data.util.Pair;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
public class JsonUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException {
if (!request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
}
Pair<String, String> usernameAndPassword = obtainUsernameAndPassword(request);
String username = usernameAndPassword.getFirst();
username = (username != null) ? username.trim() : "";
String password = usernameAndPassword.getSecond();
password = (password != null) ? password : "";
UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username,
password);
// Allow subclasses to set the "details" property
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
@SneakyThrows
private Pair<String, String> obtainUsernameAndPassword(HttpServletRequest request) {
JSONObject map = JSON.parseObject(request.getInputStream(), JSONObject.class);
return Pair.of(map.getString(getUsernameParameter()), map.getString(getPasswordParameter()));
}
}
1.2 新建JsonUsernamePasswordLoginConfigurer
注册Filter有两种方式,一给是直接调用httpSecurity的addFilterAt(Filter filter, Class<? extends Filter> atFilter) ,另一个是注册通过AbstractHttpConfigurer 来注册。我们选择第二种方式来注册Filter,因为AbstractHttpConfigurer 在初始化 UsernamePasswordAuthenticationFilter 的时候,会额外设置一些信息。新建一个自己的AbstractHttpConfigurer
import org.springframework.security.config.annotation.web.HttpSecurityBuilder;
import org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;
public final class JsonUsernamePasswordLoginConfigurer<H extends HttpSecurityBuilder<H>> extends
AbstractAuthenticationFilterConfigurer<H, JsonUsernamePasswordLoginConfigurer<H>, JsonUsernamePasswordAuthenticationFilter> {
public JsonUsernamePasswordLoginConfigurer() {
super(new JsonUsernamePasswordAuthenticationFilter(), null);
}
@Override
protected RequestMatcher createLoginProcessingUrlMatcher(String loginProcessingUrl) {
return new AntPathRequestMatcher(loginProcessingUrl, "POST");
}
}1.3 注册JJsonUsernamePasswordLoginConfigurer到HttpSecurity
这一步比较简单,直接关闭表单登录,然后注册我们自己的Filter。
http
.formLogin().disable()
.apply(new JsonUsernamePasswordLoginConfigurer<>())经过这三步,Spring Security就能识别JSON格式的用户信息。
2. 去掉重定向
有几个场景会触发Spring Security的重定向:
- 未登录,重定向到登录页面
- 登录验证成功,重定向到默认页面
- 退出登录,重定向到默认页面
我们要对这几个场景分别处理,给前端返回错误信息,而不是重定向。
2.1 未登录请求
未登录的请求会被AuthorizationFilter拦截,并抛出异常。异常被AuthenticationEntryPoint处理,默认会触发重定向到登录页。我们通过自定义AuthenticationEntryPoint来取消重定向行为,改为返回JSON信息。
http
// 1. 未登录的请求会被AuthorizationFilter拦截,并抛出异常。
.exceptionHandling(it -> it.authenticationEntryPoint((request, response, authException) -> {
log.info("get exception {}", authException.getClass());
String msg = "{\\"msg\\": \\"用户未登录\\"}";
response.setStatus(HttpStatus.FORBIDDEN.value());
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
PrintWriter writer = response.getWriter();
writer.write(msg);
writer.flush();
writer.close();
}))2.2 登录成功/失败
登录成功或失败后的行为由AuthenticationSuccessHandler 和AuthenticationFailureHandler 来控制。由于上面我们自定义了JsonUsernamePasswordLoginConfigurer ,所以要配置自定义Configurer 上的AuthenticationSuccessHandler 和AuthenticationFailureHandler 。
http
.formLogin().disable()
.apply((SecurityConfigurerAdapter) new JsonUsernamePasswordLoginConfigurer<>()
.successHandler((request, response, authentication) -> {
String msg = "{\\"msg\\": \\"登录成功\\"}";
response.setStatus(HttpStatus.OK.value());
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
PrintWriter writer = response.getWriter();
writer.write(msg);
writer.flush();
writer.close();
})
.failureHandler((request, response, exception) -> {
String msg = "{\\"msg\\": \\"用户名密码错误\\"}";
response.setStatus(HttpStatus.UNAUTHORIZED.value());
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
PrintWriter writer = response.getWriter();
writer.write(msg);
writer.flush();
writer.close();
}));2.3 退出登录
// 退出登录
.logout(it -> it
.logoutSuccessHandler((request, response, authentication) -> {
String msg = "{\\"msg\\": \\"退出成功\\"}";
response.setStatus(HttpStatus.OK.value());
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
PrintWriter writer = response.getWriter();
writer.write(msg);
writer.flush();
writer.close();
}))3. 最后处理CSRF校验
由于前端直接调用登录接口,跳过了获取登录页面的步骤,所以服务端没有机会将CSRF Token传给前段,所以要把POST /login接口的CSRF校验剔除掉。
http.csrf(it -> it.ignoringRequestMatchers("/login", "POST"))到此这篇关于SpringSecurity实现前后端分离的示例详解的文章就介绍到这了,更多相关SpringSecurity前后端分离内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
java在linux系统下开机启动无法使用sudo命令的原因及解决办法
每次开机自动启动的java进程,页面上的关机按钮都无法实现关机功能,但是此时如果以chb账号通过ssh登录该服务器,手动杀掉tomcat进程,然后再重新启动tomcat,页面上的关机按钮就有效了2013-08-08
这篇文章主要为大家详细介绍了Java使用C3P0数据源链接数据库,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-08-08
这篇文章主要介绍了Java自定义注解,结合实例形式总结分析了java常见的自定义注解类型、功能、用法及操作注意事项,需要的朋友可以参考下2021-10-10
SpringBoot JavaMailSender发送邮件功能
这篇文章主要为大家详细介绍了SpringBoot JavaMailSender发送邮件功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-04-04
这篇文章主要介绍了Mybatis以main方法形式调用dao层执行代码实例,MyBatis 是一款优秀的持久层框架,MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作,需要的朋友可以参考下2023-08-08
这篇文章主要介绍了关于分布式锁(Redisson)的原理,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-08-08
这篇文章主要为大家详细介绍了java实现微信点餐申请微信退款,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2018-09-09
这篇文章主要介绍了Spring中Bean的生命周期使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-09-09
MyBatis在insert插入操作时返回主键ID的配置(推荐)
这篇文章主要介绍了MyBatis在insert插入操作时返回主键ID的配置的相关资料,需要的朋友可以参考下2017-10-10
在实际开发中,提升接口响应速度是一件挺重要的事,特别是在面临大量用户请求的时候,本文为大家整理了9个SpringBoot优化接口响应时间的技巧,希望对大家有所帮助2024-01-01
最新评论