基础篇-03.FormLogin模式登录认证

1.应用场景
2.说明
3.登录认证及资源访问权限
4.用户及角色配置
5.静态资源放行

1.应用场景

对于一个完整的应用系统，与登录验证相关的页面都是高度定制化的，非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面，也就是本文给大家介绍的formLogin模式登录认证模式。

2.说明

formLogin登录认证模式的三要素：

登录认证逻辑-登录URL、如何接收登录参数、登陆成功后逻辑(静态)
资源访问控制规则-决定什么用户、什么角色可以访问什么资源(动态-数据库)
用户具有角色权限-配置某个用户拥有什么角色、拥有什么权限(动态-数据库)

3.登录认证及资源访问权限

首先，我们要继承WebSecurityConfigurerAdapter ，重写configure(HttpSecurity http) 方法，该方法用来配置登录验证逻辑。请注意看下文代码中的注释信息

@Override
protected void configure(HttpSecurity http) throws Exception {
   http.csrf().disable() //禁用跨站csrf攻击防御，后面的章节会专门讲解
       .formLogin()
           .loginPage("/login.html")//一旦用户的请求没有权限就跳转到这个页面
           .loginProcessingUrl("/login")//登录表单form中action的地址，也就是处理认证请求的路径
           .usernameParameter("username")///登录表单form中用户名输入框input的name名，不修改的话默认是username
           .passwordParameter("password")//form中密码输入框input的name名，不修改的话默认是password
           .defaultSuccessUrl("/")//登录认证成功后默认转跳的路径
       .and()
           .authorizeRequests()
           .antMatchers("/login.html","/login").permitAll()//不需要通过登录验证就可以被访问的资源路径
           .antMatchers("/","/biz1","/biz2") //资源路径匹配
               .hasAnyAuthority("ROLE_user","ROLE_admin")  //user角色和admin角色都可以访问
           .antMatchers("/syslog","/sysuser")  //资源路径匹配
               .hasAnyRole("admin")  //admin角色可以访问
           //.antMatchers("/syslog").hasAuthority("sys:log")
           //.antMatchers("/sysuser").hasAuthority("sys:user")
           .anyRequest().authenticated();
}

第一部分是formLogin配置段，用于配置登录验证逻辑相关的信息。如：登录页面、登录成功页面、登录请求处理路径等。和login.html页面的元素配置要一一对应。
"/"在spring boot应用里面作为资源访问的时候比较特殊，它就是“/index.html”.所以defaultSuccessUrl登录成功之后就跳转到index.html
第二部分是authorizeRequests配置段，用于配置资源的访问控制规则。如：开发登录页面的permitAll开放访问，“/biz1”（业务一页面资源）需要有角色为user或admin的用户才可以访问。
hasAnyAuthority("ROLE_user","ROLE_admin")等价于hasAnyRole("user","admin"),角色是一种特殊的权限。
"sys:log"或"sys:user"是我们自定义的权限ID，有这个ID的用户可以访问对应的资源

4.用户及角色配置

@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
                .withUser("user")
                .password(passwordEncoder().encode("123456"))
                .roles("user")
            .and()
                .withUser("admin")
                .password(passwordEncoder().encode("123456"))
                //.authorities("sys:log","sys:user")
                .roles("admin")
            .and()
                .passwordEncoder(passwordEncoder());//配置BCrypt加密
}

@Bean
public PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

inMemoryAuthentication指的是在内存里面存储用户的身份认证和授权信息。
withUser("user")用户名是user
password(passwordEncoder().encode("123456"))密码是加密之后的123456
authorities("sys:log","sys:user")指的是admin用户拥有资源ID对应的资源访问的的权限："/syslog"和"/sysuser"
roles()方法用于指定用户的角色，一个用户可以有多个角色

5.静态资源放行

@Override
    public void configure(WebSecurity web) {
        //将项目中静态资源路径开放出来
        web.ignoring().antMatchers( "/css/**", "/fonts/**", "/img/**", "/js/**");
    }

这里配置的是静态资源的开放，不经过任何的过滤器链验证，直接访问资源。

posted @ 2021-06-29 18:52 linshj 阅读(239) 评论(0) 收藏举报

刷新页面返回顶部

linshj