Form Login
Form Login
Spring Security 支持通过 HTML 表单提供用户名和密码。本节详细介绍了基于表单的身份验证在 Spring Security 中的工作原理。
本节介绍基于表单的登录在 Spring Security 中的工作原理。首先,我们了解用户是如何被重定向到登录表单的:
上图基于 SecurityFilterChain 图。
- 首先,用户向未获得授权的资源 (/private) 发出未经身份验证的请求。
- 其次,Spring Security 的 AuthorizationFilter 通过抛出 AccessDeniedException 来指示未经身份验证的请求被拒绝。
- 由于用户未经过身份验证,因此 ExceptionTranslationFilter 启动 Start Authentication 并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页面。在大多数情况下,AuthenticationEntryPoint 是 LoginUrlAuthenticationEntryPoint 的实例。
- 浏览器请求它重定向到的登录页面。
- 应用程序中的某个内容,必须呈现登录页面。
提交用户名和密码后,UsernamePasswordAuthenticationFilter 将对用户名和密码进行身份验证。UsernamePasswordAuthenticationFilter扩展了AbstractAuthenticationProcessingFilter,因此下图看起来应该非常相似:
该图基于我们的 SecurityFilterChain 图构建。
- 当用户提交他们的用户名和密码时,UsernamePasswordAuthenticationFilter 通过从 HttpServletRequest 实例中提取用户名和密码来创建 UsernamePasswordAuthenticationToken,这是一种身份验证类型。
- 接下来,将 UsernamePasswordAuthenticationToken 传递到 AuthenticationManager 实例中进行身份验证。AuthenticationManager 的外观详细信息取决于用户信息的存储方式。
- 如果身份验证失败,则失败。
- SecurityContextHolder被清除。
- 调用 RememberMeServices.loginFail。如果未配置 Remember me,则为 no-op。请参阅 Javadoc 中的 RememberMeServices 接口。
- AuthenticationFailureHandler 被调用。请参阅 Javadoc 中的 AuthenticationFailureHandler 类
- 如果身份验证成功,则成功。
- SessionAuthenticationStrategy 收到新登录的通知。请参阅 Javadoc 中的 SessionAuthenticationStrategy 接口。
-
Authentication在SecurityContextHolder上设置。请参阅 Javadoc 中的 SecurityContextPersistenceFilter 类。
-
调用 RememberMeServices.loginSuccess 时。如果未配置 Remember me,则为 no-op。请参阅 Javadoc 中的 RememberMeServices 接口。
-
ApplicationEventPublisher 发布 InteractiveAuthenticationSuccessEvent。
-
调用 AuthenticationSuccessHandler。通常,这是一个 SimpleUrlAuthenticationSuccessHandler,当我们重定向到登录页面时,它会重定向到 ExceptionTranslationFilter 保存的请求
默认情况下,Spring Security 表单登录处于启用状态。但是,一旦提供了任何基于 servlet 的配置,就必须显式提供基于表单的登录。以下示例显示了一个最小的显式 Java 配置:
Form Login
public SecurityFilterChain filterChain(HttpSecurity http) { http .formLogin(withDefaults()); // ... }
在前面的配置中, Spring Security 呈现默认登录页面。大多数生产应用程序都需要自定义登录表单。 以下配置演示了如何提供自定义登录表单。
Custom Login Form Configuration
public SecurityFilterChain filterChain(HttpSecurity http) { http .formLogin(form -> form .loginPage("/login") .permitAll() ); // ... }
在 Spring Security 配置中指定登录页面时,您负责呈现该页面。以下 Thymeleaf 模板生成一个符合 /login 的登录页面的 HTML 登录表单。
Login Form - src/main/resources/templates/login.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"> <head> <title>Please Log In</title> </head> <body> <h1>Please Log In</h1> <div th:if="${param.error}"> Invalid username and password.</div> <div th:if="${param.logout}"> You have been logged out.</div> <form th:action="@{/login}" method="post"> <div> <input type="text" name="username" placeholder="Username"/> </div> <div> <input type="password" name="password" placeholder="Password"/> </div> <input type="submit" value="Log in" /> </form> </body> </html>
关于默认 HTML 表单,有几个关键点:
- 表单应执行对 /login 的 POST。
- 该表单需要包含一个 CSRF 令牌,该令牌由 Thymeleaf 自动包含。
- 表单应在名为 username 的参数中指定 username。
- 表单应在名为 password 的参数中指定密码。
- 如果找到名为 error 的 HTTP 参数,则表示用户未能提供有效的用户名或密码。
- 如果找到名为 logout 的 HTTP 参数,则表示用户已成功注销。
许多用户只需要自定义登录页面即可。但是,如果需要,您可以使用其他配置自定义前面显示的所有内容。
如果你使用 Spring MVC,你需要一个控制器,将 GET /login 映射到我们创建的登录模板。下面的示例展示了一个最小的 LoginController:
LoginController
@Controller class LoginController { @GetMapping("/login") String login() { return "login"; } }
浙公网安备 33010602011771号