表單登入
Spring Security 支援透過 HTML 表單提供使用者名稱和密碼。本節詳細介紹基於表單的身份驗證在 Spring Security 中的工作原理。
本節探討基於表單的登入在 Spring Security 中的工作原理。首先,我們來看使用者如何被重定向到登入表單
前面的圖建立在我們的 SecurityFilterChain 圖之上。
首先,使用者對未授權的資源 (/private) 發出未認證請求。
Spring Security 的 AuthorizationFilter 透過丟擲 AccessDeniedException 表示該未認證請求被 拒絕。
由於使用者未認證,ExceptionTranslationFilter 啟動 開始認證 流程,並使用配置的 AuthenticationEntryPoint 傳送重定向到登入頁。在大多數情況下,AuthenticationEntryPoint 是 LoginUrlAuthenticationEntryPoint 的一個例項。
瀏覽器請求被重定向到的登入頁。
應用中的某些部分必須 渲染登入頁。
當提交使用者名稱和密碼時,UsernamePasswordAuthenticationFilter 透過從 HttpServletRequest 例項中提取使用者名稱和密碼來建立一個 UsernamePasswordAuthenticationToken,這是一種 認證 (Authentication) 型別。UsernamePasswordAuthenticationFilter 繼承自 AbstractAuthenticationProcessingFilter,因此下面的圖應該非常相似
該圖建立在我們的 SecurityFilterChain 圖之上。
當用戶提交使用者名稱和密碼時,UsernamePasswordAuthenticationFilter 透過從 HttpServletRequest 例項中提取使用者名稱和密碼來建立一個 UsernamePasswordAuthenticationToken,這是一種 Authentication 型別。
接下來,UsernamePasswordAuthenticationToken 被傳遞給 AuthenticationManager 例項進行認證。AuthenticationManager 的具體實現取決於 使用者資訊的儲存方式。
如果認證失敗,則為 失敗。
-
呼叫
RememberMeServices.loginFail。如果未配置記住我功能,則此操作為空。請參閱 Javadoc 中的RememberMeServices介面。 -
呼叫
AuthenticationFailureHandler。請參閱 Javadoc 中的AuthenticationFailureHandler類。
如果認證成功,則為 成功。
-
SessionAuthenticationStrategy收到新登入通知。請參閱 Javadoc 中的SessionAuthenticationStrategy介面。 -
認證 (Authentication) 被設定到 SecurityContextHolder 中。請參閱 Javadoc 中的
SecurityContextPersistenceFilter類。 -
呼叫
RememberMeServices.loginSuccess。如果未配置記住我功能,則此操作為空。請參閱 Javadoc 中的RememberMeServices介面。 -
ApplicationEventPublisher釋出一個InteractiveAuthenticationSuccessEvent事件。 -
呼叫
AuthenticationSuccessHandler。通常,這是一個SimpleUrlAuthenticationSuccessHandler,它會重定向到當重定向到登入頁時由ExceptionTranslationFilter儲存的請求。
預設情況下,Spring Security 表單登入是啟用的。但是,一旦提供了任何基於 Servlet 的配置,就必須顯式地啟用基於表單的登入。以下示例展示了一個最小的、顯式的 Java 配置
-
Java
-
XML
-
Kotlin
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.formLogin(withDefaults());
// ...
}<http>
<!-- ... -->
<form-login />
</http>open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
formLogin { }
}
// ...
}在前面的配置中,Spring Security 會渲染一個預設登入頁。大多數生產應用都需要一個自定義登入表單。
以下配置演示瞭如何提供自定義登入表單。
-
Java
-
XML
-
Kotlin
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.formLogin(form -> form
.loginPage("/login")
.permitAll()
);
// ...
}<http>
<!-- ... -->
<intercept-url pattern="/login" access="permitAll" />
<form-login login-page="/login" />
</http>open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
formLogin {
loginPage = "/login"
permitAll()
}
}
// ...
}當在 Spring Security 配置中指定登入頁時,您負責渲染該頁面。以下 Thymeleaf 模板生成了一個符合 /login 登入頁面的 HTML 登入表單。
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
<head>
<title>Please Log In</title>
</head>
<body>
<h1>Please Log In</h1>
<div th:if="${param.error}">
Invalid username and password.</div>
<div th:if="${param.logout}">
You have been logged out.</div>
<form th:action="@{/login}" method="post">
<div>
<input type="text" name="username" placeholder="Username"/>
</div>
<div>
<input type="password" name="password" placeholder="Password"/>
</div>
<input type="submit" value="Log in" />
</form>
</body>
</html>關於預設 HTML 表單有幾個關鍵點
-
表單應該向
/login執行post請求。 -
表單需要包含一個 CSRF Token,它由 Thymeleaf 自動包含。
-
表單應在名為
username的引數中指定使用者名稱。 -
表單應在名為
password的引數中指定密碼。 -
如果找到了名為
error的 HTTP 引數,則表示使用者未能提供有效的使用者名稱或密碼。 -
如果找到了名為
logout的 HTTP 引數,則表示使用者已成功登出。
許多使用者只需要自定義登入頁即可。但是,如果需要,您可以透過額外的配置來自定義前面顯示的所有內容。
如果您使用 Spring MVC,則需要一個將 GET /login 對映到我們建立的登入模板的控制器。以下示例展示了一個最小的 LoginController
-
Java
-
Kotlin
@Controller
class LoginController {
@GetMapping("/login")
String login() {
return "login";
}
}@Controller
class LoginController {
@GetMapping("/login")
fun login(): String {
return "login"
}
}
