spring boot(学习笔记第十三课)

1. 传统后端开发模式 vs 前后端分离模式
   传统后端开发模式
   上面主要练习传统后端开发模式，在这种模式下，页面的渲染都是请求后端，在后端完成页面的渲染。认证的页面都是通过https://localhost:8080/loginPage进行用户名和密码的form填写，之后重定向到需要认证的资源的页面。
   正如spring boot(学习笔记第十二课)的练习的那样，在传统后端开发模式，需要配置各种页面.
   .formLogin(form -> form.loginPage("/loginPage")

      .loginProcessingUrl("/doLogin")//这里的url不用使用controller进行相应，spring security自动处理
      .usernameParameter("uname")//页面上form的用户名
      .passwordParameter("passwd")
      .defaultSuccessUrl("/index")//默认的认证之后的页面
      .failureForwardUrl("/loginPasswordError"))//默认的密码失败之后的页面
   

   .exceptionHandling(exceptionHandling ->

                    exceptionHandling.accessDeniedHandler(new CustomizeAccessDeniedHandler()))
   

   1
   2
   3
   4
   5
   6
   7
   8
   前后端分离开发模式
   现在web application的已经过渡到了前后端分离开发模式，而spring boot security也兼容这种模式。

接下来通过使用postman，模拟下前后端分离模式的spring security开发和使用场景。
指定认证成功和失败的handler
注意，这里一定要去掉 .loginPage("/loginPage")
.formLogin(form -> form.loginProcessingUrl("/loginProcess")//这里对于前后端分离，提供的非页面访问url
.usernameParameter("uname")
.passwordParameter("passwd")
.successHandler(new SuccessHandler())
.failureHandler(new FailureHandler()))
1
2
3
4
5
定义认证成功和失败的handler
//success handler
private static class SuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(
HttpServletRequest httpServletRequest,
HttpServletResponse httpServletResponse,
Authentication authentication
) throws IOException {
Object principal = authentication.getPrincipal();
httpServletResponse.setContentType("application/json;charset=utf-8");
PrintWriter printWriter = httpServletResponse.getWriter();
httpServletResponse.setStatus(200);
Map map = new HashMap<>();
map.put("status", 200);
map.put("msg", principal);
ObjectMapper om = new ObjectMapper();
printWriter.write(om.writeValueAsString(map));
printWriter.flush();
printWriter.close();
}
}

//failure handler
private static class FailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(
            HttpServletRequest httpServletRequest,
            HttpServletResponse httpServletResponse,
            AuthenticationException authenticationException
    ) throws IOException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter printWriter = httpServletResponse.getWriter();
        httpServletResponse.setStatus(401);
        Map<String, Object> map = new HashMap<>();
        map.put("status", 401);
        if (authenticationException instanceof LockedException) {
            map.put("msg", "账户被锁定，登陆失败");
        } else if (authenticationException instanceof BadCredentialsException) {
            map.put("msg", "账户输入错误，登陆失败");
        } else {
            map.put("msg", authenticationException.toString());
        }
        ObjectMapper om = new ObjectMapper();
        printWriter.write(om.writeValueAsString(map));
        printWriter.flush();
        printWriter.close();
    }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
一定要将/loginProcess的permitAll打开。注意，这里的习惯是将认证相关的url都定义成login开头的，并且一起进行/login的permitAll设定
@Bean
SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
httpSecurity.authorizeHttpRequests(auth ->
auth.requestMatchers("/login")
.permitAll()
1
2
3
4
5
使用postman进行认证测试。
pattern-1 正确的密码和用户名
这里使用http://localhost:8080/loginProcess?uname=finlay_user&passwd=123456进行访问。注意，一定要是用post，不能使用get。
这里看到SuccessHandler

pattern-2 错误的密码和用户名

认证成功，但是访问资源权限不够，需要设置exceptionHandling。
设置 exceptionHandling.accessDeniedHandler
.exceptionHandling(exceptionHandling ->
exceptionHandling.accessDeniedHandler(new CustomizeAccessDeniedHandler()))
1
2
定义 exceptionHandler
注意，在上一课传统后端开发模式的时候，定义的是redirect到画面，但是前后端分离模式，定义JSON返回值
传统后端开发模式
// 传统后端开发模式
private static class CustomizeAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
response.sendRedirect("/loginNoPermissionError");
}
}
1
2
3
4
5
6
7
传统前后端分离开发模式（JSON返回）
// 传统前后端开发模式
private static class CustomizeAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
response.sendRedirect("/loginNoPermissionError");
}
}
1
2
3
4
5
6
7
访问/loginProcess，使用finlay_user(ROLE==user)进行登录

访问/db/hello，这里需要ROLE==DBA)进行登录，但是目前的httpSession不满足条件。

1. Spring Security的logout功能
   这里httpSession的如果需要logout，这里练习如何进行logout动作。

传统后端开发模式如何开发logout
注意，这里传统后端开发模式需要将successHandler，failureHandler和logoutSuccessHandler都注释掉，否则，这个的对应的url设置都会无效
.formLogin(form ->
form.loginProcessingUrl("/loginProcess")//这里对于前后端分离，提供的非页面访问url
.usernameParameter("uname")
.passwordParameter("passwd")
.loginPage("/loginPage")
.failureForwardUrl("/loginPasswordError")
.successForwardUrl("/index"))
// .successHandler(new SuccessHandler())
// .failureHandler(new FailureHandler()))
.logout(httpSecurityLogoutConfigurer ->
httpSecurityLogoutConfigurer.logoutUrl("/logout")
.clearAuthentication(true)
.invalidateHttpSession(true)
.logoutSuccessUrl("/loginPage"))
// .logoutSuccessHandler(new MyLogoutHandler()))
.exceptionHandling(exceptionHandling ->
exceptionHandling.accessDeniedHandler(new CustomizeAccessDeniedHandler()))
.csrf(csrf -> csrf.disable())//csrf跨域访问无效
.sessionManagement(session -> session
.maximumSessions(-1)
.maxSessionsPreventsLogin(true));

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
设置logout处理的url
.logoutUrl(“/logout”)，这里的/logouot不需要进行对应，spring boot security会进行响应处理。
对logout进行处理
.logout(httpSecurityLogoutConfigurer ->
httpSecurityLogoutConfigurer.logoutUrl("/logout")
.clearAuthentication(true)
.invalidateHttpSession(true)
.logoutSuccessUrl("/loginPage"))
1
2
3
4
5
clearAuthentication 是 Spring Security 中的一个方法，用于清除当前用户的认证信息，即使当前用户注销登录。在 SecurityContextHolder 中保存的 SecurityContext 对象将被清除，这意味着在下一次调用 SecurityContextHolder.getContext() 时，将不再有认证信息。
.invalidateHttpSession(true)是将httpSession删除，彻底进行logout。
.logoutSuccessUrl("/loginPage"))调用将重定向到行的页面/logoutPage，这里是使用登录的页面。注意，这里如果调用.logoutSuccessHandler(new MyLogoutHandler())进行设定的话，就是使用前后端分离开发模式，logoutSuccessUrl("/loginPage")即便设置也会无效。
设置logout处理页面（controller） 在页面上表示登录用户的用户名
@GetMapping("/logoutPage")
public String logoutPage(Model model) {
String userName = "anonymous";
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication != null && authentication.isAuthenticated()) {
if (authentication.getName() != null) {
userName = authentication.getName();
}
}
model.addAttribute("login_user",userName);
return "logout";
}
1
2
3
4
5
6
7
8
9
10
11
12
设置logout处理页面（html）
<!DOCTYPE html>

在显示logout按钮的同时，也显示出了Authentication authentication = SecurityContextHolder.getContext().getAuthentication();取出来的login_user名字。
点击logout按钮，成功后返回 .logoutSuccessUrl("/loginPage"))
前后端分离开发模式如何开发logout
将 .logoutSuccessUrl("/loginPage"))替换成 .logoutSuccessHandler(new MyLogoutHandler()))

.logout(httpSecurityLogoutConfigurer ->
httpSecurityLogoutConfigurer.logoutUrl("/logout")
.clearAuthentication(true)
.invalidateHttpSession(true)
// .logoutSuccessUrl("/loginPage"))
.logoutSuccessHandler(new MyLogoutHandler()))
1
2
3
4
5
6
定义MyLogoutHandler将logout结果包装成JSON格式，传给前端。

private static class MyLogoutHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request
            , HttpServletResponse response
            , Authentication authentication) throws IOException {
        HttpSession session = request.getSession(false);
        if (session != null) {
            // 使会话失效
            session.invalidate();
        }
        response.setContentType("application/json;charset=utf-8");
        PrintWriter printWriter = response.getWriter();
        response.setStatus(200);
        Map<String, Object> map = new HashMap<>();
        map.put("status", 200);
        map.put("msg", "logout OK");
        ObjectMapper om = new ObjectMapper();
        printWriter.write(om.writeValueAsString(map));
        printWriter.flush();
        printWriter.close();
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
如果logout完毕了，没有有效httpSession，那么访问/db/hello资源的话，怎么让spring security返回JSON，让前端框架接收到呢。这里需要AuthenticationEntryPoint。

设定AuthenticationEntryPoint
.logout(httpSecurityLogoutConfigurer ->
httpSecurityLogoutConfigurer.logoutUrl("/logout")
.clearAuthentication(true)
.invalidateHttpSession(true)
// .logoutSuccessUrl("/loginPage"))
.logoutSuccessHandler(new MyLogoutHandler()))
.exceptionHandling(exceptionHandling ->
exceptionHandling
.accessDeniedHandler(new CustomizeAccessDeniedHandler())
.authenticationEntryPoint(new RestAuthenticationEntryPoint()))
1
2
3
4
5
6
7
8
9
10
定义AuthenticationEntryPoint
private static class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.setContentType("application/json");

        String body = "{\"error\":\"Not Authenticated\"}";
        OutputStream out = response.getOutputStream();
        out.write(body.getBytes());
        out.flush();
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
使用postman模拟前端进行login。

模拟前端调用/logout进行logout。

模拟前端调用/db/hello进行没有httpSession的访问，期待返回authenciationError的JSON应答。