我们用spring security,肯定不是用它自带的用户或密码进行验证的。所以需要我们进行DIY。
自定义登录页面
1.准备工作
新建个Controller用来控制跳转;新建个登录页面,用来替换spring security 默认的登录页面
image.png
这是 Controller
@RestController
public class HelloController {
@GetMapping("/hello")
public String hello() {
return "Hello World";
}
@GetMapping("/success")
public String success() {
return "登录成功";
}
@GetMapping("/error1")
public String error() {
return "登录失败";
}
}
这是 自定义的登录页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>我自己的登录页面</title>
</head>
<body>
</body>
</html>
2.配置登录页面
a.继承 WebSecurityConfigurerAdapter
@Configuration
public class MengSecurityConfig extends WebSecurityConfigurerAdapter {
}
b.重写 configure 方法
image.png
@Override
protected void configure(HttpSecurity http) throws Exception {
//关闭跨域,防止跨域攻击,我现在还没涉及到这一块,所以并不知道是什么意思😂
http.csrf().disable();
http.authorizeRequests()
// /test 和 /demo 是可以直接访问,不需要授权的
// permitAll() :用户可以任意访问的意思
.antMatchers("/test", "/demo").permitAll()
// 访问 /vip,必须要有 “vip” 的权限
// .antMatchers("/vip").hasRole("vip")
//然后剩下的都需要进行验证
.anyRequest().authenticated();
//没有权限的,就要登录获取权限,重点在这里。
http.formLogin()
// 这里配置我们自定义的页面
.loginPage("/menglogin.html")
// form表单的 action
.loginProcessingUrl("/auth")
// 存放用户名的input的name
.usernameParameter("usern")
// 存放密码的input的name
.passwordParameter("pwd")
//登录成功后,默认访问的url,不配置的话,会继续访问你在进入到登录页面之前的url
// 举个栗子:你访问了 /hello,spring security检测到没有权限,会重定向到登录页面;
// 当你登录成功了,没有配置defaultSuccessUrl()的话,它会跳转到 /hello;
// 如果配置了defaultSuccessUrl(),则会跳转到你配置的那个页面里。
.defaultSuccessUrl("/success")
// successForwardUrl() 这个就很强势了,等你登录成功了,不管你之前访问什么,一律跳转到你配置的页面里
// .successForwardUrl("/success")
.permitAll();
http.formLogin()
// 登录失败跳转到这里
.failureUrl("/error1")
// .failureForwardUrl("/couwu")
// 千万,别忘了放行!不然会死循环的。
// 不放行的话,访问该登录页面也是需要权限的,结果就又跳转到了登录页面
.permitAll()
;
// 开启登出 登出成功后跳转到该url 当然我没有写这个方法。
// http.logout().logoutSuccessUrl("/logout").permitAll();
// 开启记住我
// http.rememberMe().rememberMeParameter("rememberMe");
}
这里有两个需要注意的地方:
第一:defaultSuccessUrl() 和 failureUrl() 要分开配置!不然谁在后面谁起效。(这个坑是我自己试出来的,天纵奇才!不知道是不是我哪里配置的不对)
第二:/error 这个请求不能用!可能是spring security 默认内置的!不论你是不是配置了failureUrl(),failureUrl()里的参数是不是 /error。就算是登录后,单独访问/error,也返回500错误。
——————————————————————————————————————
//www.greatytc.com/p/e6655328b211 有关这个方法的形参http,这位[铁柱](帖主)写的很详细,想具体了解的可以看一下
在自定义的登录页面里添加form表单
<!--
下面就呼应上了: form的action 和 loginProcessingUrl() 配置一样
username的input的name 和 usernameParameter()
password的input的name 和 passwordParameter()
-->
<form action="/auth" method="post">
用户名:<input name="usern"><br/>
密码:<input name="pwd" type="password"><br/>
<button type="submit">登录</button>
</form>
c.运行项目,访问
可以看到,现在登录页面就是我们自定定义的页面了
自定义登录页面
登录成功
登录失败
访问/error
调试这块儿的时候,记得清浏览器缓存,不然你配置对了,它可能也跳转不对,不知道为什么
“筷子臣”:现在我做的页面是非常简陋的一个页面,如果你想做的花里胡哨的,肯定是要引用一下css,js的,所以,想一想应该注意下什么。
"俺色":页面方位静态资源也是一种请求,不放行的话,会被拦截!然后跳转到登录页面,然后再请求静态资源,再被拦截…………
3.自定义用户名和密码
重写 WebSecurityConfigurerAdapter 里的另一个 configure()方法
image.png
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//将用户信息放在内存里,我们只是做demo,实际的用户,是需要从数据库或者别的地方取出来的
auth.inMemoryAuthentication()
//选择一个密码编码器,不配置的话,在登录验证时会报错
//java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
.passwordEncoder(new BCryptPasswordEncoder())
//创建一个用户:用户名:Tom,密码:ILoveJerry , 角色 vip 参数是字符串,随便来
.withUser("Tom").password(new BCryptPasswordEncoder().encode("ILoveJerry")).roles("vip")
//配置多个用户,用and() 分割
.and()
// 配置用户 Jerry
.withUser("Jerry").password(new BCryptPasswordEncoder().encode("MyTom!")).roles("vip")
;
}
然后启动项目后,就没有随机的密码了。再访问页面,用我们自定义的用户名和密码就可以登录进来了。
有关 BCryptPasswordEncoder,可以看这位老哥的帖子://www.greatytc.com/p/922963106729