1、服务端定义
完善前面的 SecurityConfig 类,继续重写它的 configure(WebSecurity web) 和 configure(HttpSecurity http) 方法,如下:
/**
* 如果我们使用 XML 来配置 Spring Security ,里边会有一个重要的标签 ,
* HttpSecurity 提供的配置方法 都对应了该标签。<http>
* authorizeRequests 对应了 <intercept-url>。
* formLogin 对应了 <formlogin>。
* and 方法表示结束当前标签,上下文回到HttpSecurity,开启新一轮的配置。
* permitAll 表示登录相关的页面/接口不要被拦截。
* 最后记得关闭 csrf ,关于 csrf 问题我到后面专门和大家说。
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()//开启登录验证
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login.html") //默认情况下 登录的页面和登录接口是一样的 login.html中的表单提交的action也是login.html
.loginProcessingUrl("/doLogin")//这个是配置登录post请求验证
.passwordParameter("password")
.usernameParameter("name")
.defaultSuccessUrl("/s") //记录重定向的地址
//.successForwardUrl("/hello") //记录
.permitAll()
.and().csrf().disable();
}
【登录成功】在 Spring Security 中,和登录成功重定向 URL 相关的方法有两个:
- defaultSuccessUrl
- successForwardUrl
这两个咋看没什么区别,实际上内藏乾坤。
首先我们在配置的时候,defaultSuccessUrl 和 successForwardUrl 只需要配置一个即可,具体配置哪个,则要看你的需求,两个的区别如下:
defaultSuccessUrl 有一个重载的方法,我们先说一个参数的 defaultSuccessUrl 方法。
如果我们在 defaultSuccessUrl 中指定登录成功的跳转页面为 /index,此时分两种情况,
如果你是直接在浏览器中输入的登录地址,登录成功后,就直接跳转到 /index,
如果你是在浏览器中输入了其他地址,例如 http://localhost:8080/hello,
结果因为没有登录,又重定向到登录页面,此时登录成功后,就不会来到 /index ,而是来到 /hello 页面。
defaultSuccessUrl 还有一个重载的方法,第二个参数如果不设置默认为 false,也就是我们上面的的情况,
如果手动设置第二个参数为 true,则 defaultSuccessUrl 的效果和 successForwardUrl 一致。
successForwardUrl 表示不管你是从哪里来的,登录后一律跳转到 successForwardUrl 指定的地址。
例如 successForwardUrl 指定的地址为 /index ,你在浏览器地址栏输入 http://localhost:8080/hello,
结果因为没有登录,重定向到登录页面,当你登录成功之后,就会服务端跳转到 /index 页面;或者你直接就在浏览器输入了登录页面地址,登录成功后也是来到 /index。
【登录失败】登录失败也是有两个方法:
- failureForwardUrl
- failureUrl
failureForwardUrl 是登录失败之后会发生服务端跳转,failureUrl 则在登录失败之后,会发生重定向。
【注销登录】注销登录的默认接口是 /logout,我们也可以配置。
.and() .logout() .logoutUrl("/logout") .logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST")) .logoutSuccessUrl("/index") .deleteCookies() .clearAuthentication(true) .invalidateHttpSession(true) .permitAll() .and()
- 默认注销的 URL 是
/logout,是一个 GET 请求,我们可以通过 logoutUrl 方法来修改默认的注销 URL。 - logoutRequestMatcher 方法不仅可以修改注销 URL,还可以修改请求方式,实际项目中,这个方法和 logoutUrl 任意设置一个即可。
- logoutSuccessUrl 表示注销成功后要跳转的页面。
- deleteCookies 用来清除 cookie。
- clearAuthentication 和 invalidateHttpSession 分别表示清除认证信息和使 HttpSession 失效,默认可以不用配置,默认就会清除。
/**
* 默认是加密的
* @return
*/
@Bean
PasswordEncoder passwordEncoder(){
//PasswordEncoder中的功能是 加密和比较的功能
return NoOpPasswordEncoder.getInstance();//意思是不加密
}
//账号密码设置
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("gjq")
.password("123")
.roles("admin");
}
@Override
public void configure(WebSecurity web) throws Exception {
//web.ignoring() 用来配置忽略掉的 URL 地址,一般对于静态文件,我们可以采用此操作。
web.ignoring().antMatchers("/js/**","/css/**","/images/**");
}
前端代码:
<form action="/doLogin" method="post">
<div class="input">
<label for="name">用户名</label>
<input type="text" name="username" id="name">
<span class="spin"></span>
</div>
<div class="input">
<label for="pass">密码</label>
<input type="password" name="password" id="pass">
<span class="spin"></span>
</div>
<div class="button login">
<button type="submit">
<span>登录</span>
<i class="fa fa-check"></i>
</button>
</div>
</form>
form 表单中,注意 action 为 /login.html ,其他的都是常规操作,我就不重复介绍了。
好了,配置完成后,再去重启项目,此时访问任意页面,就会自动重定向到我们定义的这个页面上来,输入用户名密码就可以重新登录了。
GitHub地址:https://github.com/lenve/spring-security-samples