之前的登录界面和登录接口都是使用的Spring Security提供的,导致用户可能不清楚里面具体的登录原理,而且我们实际项目中,不可能使用默认的登录界面,一来,默认的界面风格跟我们系统可能不符,二来,具体的登录接口可能参数不同,如图形验证码,手机验证码等等,所以这节,我们自己实现下登录界面。
1、自定义登录界面
我们先添加登录页面映射
编写登录界面
设置Spring Security默认的登录页面地址
测试正常。
2、自定义登录请求接口
我们再自定义登录请求处理地址
测试请求发现是/login/process 302,打断点,并没有进入我们后台写的这个方法。
将日志级别调整至debug,分析日志发现,其实我们已经成功登录了,我们用postman测试,再次验证了我们的想法
可以看到,已经进入到了首页。
我们改成最原始的html提交表单
发现可以正常登录,跳转。
说明我们配置的loginProcessingUrl参数,虽然生效了,但其实还是使用的spring security提供的登录验证接口,只是修改了他的默认映射地址。这并不是我们想要的,我们去掉loginProcessingUrl的配置,使用我们自己写的方法进行登录,并将之前的登录界面还原,这次我们的登录接口生效了
接下来,我们将在这里完成我们的登录验证。
我们将用户名和密码封装进UsernamePasswordAuthenticationToken,然后使用authenticationManager进行登录验证。authenticationManager默认不会交给spring容器管理,我们需要初始化一下,
我们使用postman进行测试,首先输入错误的密码,
再次输入正确密码
我们的登录接口可以正常工作。
我们先封装一个对象,用来承载后台返回给前端的信息
修改页面
3、去掉密码
在上面,我们将用户信息返回到了前端,但是没做脱敏处理,如用户密码,虽然这个密码已经是加密后的,但是安全起见,还是需要做下处理。
上面的做法是常见的做法,也是通用的做法,其实Spring Security已经考虑到了这点,在CredentialsContainer接口中,定义了一个eraseCredentials方法,从方法命名就可以看出,这个方法是做一个擦除密码的操作,以后我们可能会需要用到。
4、优化配置
http.formLogin().loginPage("/login.html").defaultSuccessUrl("/sys/index");
这是我们现在Spring Security的配置,现在我们前端的首页是由前端定的,前后端分离的情况下也是这样,所以我们后台没必要配置首页,我们去掉defaultSuccessUrl的配置。
之前我们去掉了loginProcessingUrl的配置,其实如果我们配置了loginPage,但没配置loginProcessingUrl的话,loginProcessingUrl的默认值就变成了和loginPage一样,即现在我们有两个登录接口,一个是我们自己写的/login/process,一个是Spring Security提供的login.html,都是post请求。为了安全起见,我们必须屏蔽掉Spring Security提供的。
笔者尝试了半天,想配置除了/login.do请求不能访问,其他请求都不需要登录就能访问,测试未能如愿,这里如果读者配置实现了的请告诉笔者一下。配置不行,换个思路,那就写个过滤器拦截
这样一样可以达到我们需要的效果
5、自定义注销
6、总结
这节主要讲怎么自定义登录界面、登录接口和注销接口,通过这节,基本上就可以处理所有项目情景了。虽然我们的登录接口使用的UsernamePasswordAuthenticationToken,只接收两个参数,但是我们可以在进行真正的登录之前,做其他的业务处理,如之前说的验证码,我们先验证验证码是否正确,再往下走。还有如果系统可以支持手机号码或者邮箱登录,那我们可以先通过手机号码,邮箱查出对应的用户名再继续之前的流程,也可以直接把手机号码或者邮箱作为Username传给UsernamePasswordAuthenticationToken,然后修改一下MyUserDetailsService里面的loadUserByUsername方法,让他支持手机号码或者邮箱。
这节还有一个额外的知识点,即在Spring Boot里面怎么注册filter,这里讲了一种方法,我们还可以使用WebFilter注解,使用WebFilter注解时,需要配置ServletComponentScan。
代码:
https://github.com/www15119258/springboot-study/tree/branch29