首页 互联网技术资讯内容详情

SpringSecurity如何实现前后端分离

蜗牛互联网技术资讯2023-03-15340

这篇文章主要介绍“SpringSecurity如何实现前后端分离”,在日常操作中,相信很多人在SpringSecurity如何实现前后端分离问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”SpringSecurity如何实现前后端分离”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

    前后端分离模式是指由前端控制页面路由,后端接口也不再返回html数据,而是直接返回业务数据,数据一般是JSON格式。Spring Security默认的表单登录方式,在未登录或登录成功时会发起页面重定向,在提交登录数据时,也不是JSON格式。要支持前后端分离模式,要对这些问题进行改造。

    1. 认证信息改成JSON格式

    Spring Security默认提供账号密码认证方式,具体实现是在UsernamePasswordAuthenticationFilter 中。因为是表单提交,所以Filter中用request.getParameter(this.usernameParameter) 来获取用户信息。当我们将数据改成JSON,并放入HTTP Body后,getParameter 就没法获取到信息。

    要解决这个问题,就要新建Filter来替换UsernamePasswordAuthenticationFilter ,然后覆盖掉获取用户的方法。

    1.1 新建JsonUsernamePasswordAuthenticationFilter

    import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.SneakyThrows;
import org.springframework.data.util.Pair;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
 
public class JsonUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
    
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        Pair<String, String> usernameAndPassword = obtainUsernameAndPassword(request);
        String username = usernameAndPassword.getFirst();
        username = (username != null) ? username.trim() : "";
        String password = usernameAndPassword.getSecond();
        password = (password != null) ? password : "";
        UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username,
                password);
        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);
        return this.getAuthenticationManager().authenticate(authRequest);
    }
 
    @SneakyThrows
    private Pair<String, String> obtainUsernameAndPassword(HttpServletRequest request) {
        JSONObject map = JSON.parseObject(request.getInputStream(), JSONObject.class);
        return Pair.of(map.getString(getUsernameParameter()), map.getString(getPasswordParameter()));
    }
}

    1.2 新建JsonUsernamePasswordLoginConfigurer

    注册Filter有两种方式,一给是直接调用httpSecurity的addFilterAt(Filter filter, Class<? extends Filter> atFilter) ,另一个是注册通过AbstractHttpConfigurer 来注册。我们选择第二种方式来注册Filter,因为AbstractHttpConfigurer 在初始化 UsernamePasswordAuthenticationFilter 的时候,会额外设置一些信息。新建一个自己的AbstractHttpConfigurer

    import org.springframework.security.config.annotation.web.HttpSecurityBuilder;
import org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;
 
public final class JsonUsernamePasswordLoginConfigurer<H extends HttpSecurityBuilder<H>> extends
        AbstractAuthenticationFilterConfigurer<H, JsonUsernamePasswordLoginConfigurer<H>, JsonUsernamePasswordAuthenticationFilter> {
 
	public JsonUsernamePasswordLoginConfigurer() {
		super(new JsonUsernamePasswordAuthenticationFilter(), null);
	}
 
	@Override
	protected RequestMatcher createLoginProcessingUrlMatcher(String loginProcessingUrl) {
		return new AntPathRequestMatcher(loginProcessingUrl, "POST");
	}
}

    1.3 注册JJsonUsernamePasswordLoginConfigurer到HttpSecurity

    这一步比较简单,直接关闭表单登录,然后注册我们自己的Filter。

    http
    .formLogin().disable()
    .apply(new JsonUsernamePasswordLoginConfigurer<>())

    经过这三步,Spring Security就能识别JSON格式的用户信息。

    2. 去掉重定向

    有几个场景会触发Spring Security的重定向:

    • 未登录,重定向到登录页面

    • 登录验证成功,重定向到默认页面

    • 退出登录,重定向到默认页面

    我们要对这几个场景分别处理,给前端返回错误信息,而不是重定向。

    2.1 未登录请求

    未登录的请求会被AuthorizationFilter拦截,并抛出异常。异常被AuthenticationEntryPoint处理,默认会触发重定向到登录页。我们通过自定义AuthenticationEntryPoint来取消重定向行为,改为返回JSON信息。

    http
// 1. 未登录的请求会被AuthorizationFilter拦截,并抛出异常。
.exceptionHandling(it -> it.authenticationEntryPoint((request, response, authException) -> {
    log.info("get exception {}", authException.getClass());
    String msg = "{\\"msg\\": \\"用户未登录\\"}";
    response.setStatus(HttpStatus.FORBIDDEN.value());
    response.setContentType(MediaType.APPLICATION_JSON_VALUE);
    PrintWriter writer = response.getWriter();
    writer.write(msg);
    writer.flush();
    writer.close();
}))

    2.2 登录成功/失败

    登录成功或失败后的行为由AuthenticationSuccessHandler 和AuthenticationFailureHandler 来控制。由于上面我们自定义了JsonUsernamePasswordLoginConfigurer ,所以要配置自定义Configurer 上的AuthenticationSuccessHandler 和AuthenticationFailureHandler 。

    http
    .formLogin().disable()
    .apply((SecurityConfigurerAdapter) new JsonUsernamePasswordLoginConfigurer<>()
            .successHandler((request, response, authentication) -> {
								String msg = "{\\"msg\\": \\"登录成功\\"}";
								response.setStatus(HttpStatus.OK.value());
		            response.setContentType(MediaType.APPLICATION_JSON_VALUE);
		            PrintWriter writer = response.getWriter();
		            writer.write(msg);
		            writer.flush();
		            writer.close();
            })
            .failureHandler((request, response, exception) -> {
								String msg = "{\\"msg\\": \\"用户名密码错误\\"}";
								response.setStatus(HttpStatus.UNAUTHORIZED.value());
		            response.setContentType(MediaType.APPLICATION_JSON_VALUE);
		            PrintWriter writer = response.getWriter();
		            writer.write(msg);
		            writer.flush();
		            writer.close();
            }));

    2.3 退出登录

    // 退出登录
.logout(it -> it
        .logoutSuccessHandler((request, response, authentication) -> {
            String msg = "{\\"msg\\": \\"退出成功\\"}";
            response.setStatus(HttpStatus.OK.value());
            response.setContentType(MediaType.APPLICATION_JSON_VALUE);
            PrintWriter writer = response.getWriter();
            writer.write(msg);
            writer.flush();
            writer.close();
        }))

    3. 最后处理CSRF校验

    由于前端直接调用登录接口,跳过了获取登录页面的步骤,所以服务端没有机会将CSRF Token传给前段,所以要把POST /login接口的CSRF校验剔除掉。

    http.csrf(it -> it.ignoringRequestMatchers("/login", "POST"))

    到此,关于“SpringSecurity如何实现前后端分离”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注蜗牛博客网站,小编会继续努力为大家带来更多实用的文章!

    免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:niceseo99@gmail.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
    #springsecurity
    本文地址:http://www.vps90.com/vps/32211.html
    版权声明:如无特殊标注,文章均为本站原创,转载时请以链接形式注明文章出处。

    相关文章

    评论

    关于蜗牛120vps博客

    蜗牛120博客

    感谢大家的支持,欢迎交流讨论!
    『蜗牛120博客』

    • 11089405阅读数
    • 118931评论数

    最近发表

  • Python集合是什么及怎么创建
  • 日本服务器租用 站群服务器 onevps:新增(支付宝+中文网站)
  • Go反向代理ReverseProxy解析的方法是什么
  • 日本服务器租用 站群服务器 kvmla:日本/香港/新加坡,VPS直接8折优惠(+充值多送20%),独立服务器一律7.5折优惠(首月反300元)
  • NLTK安装错误怎么解决
  • SpringBoot表单提交全局日期格式转换器如何实现
  • 微软正在测试 Xbox AI 聊天机器人:可自然语言获取 Xbox 支持
  • Vue中代码传送怎么实现
  • 怎样才能挑选到适合的vps服务器
  • golang中怎么保证精度

    • 标签列表

    有免费节点资源,我们会通知你!加入纸飞机订阅群

    ×
    天气预报查看日历分享网页手机扫码留言评论电报频道链接