本文重点介绍 Spring Boot 和 Spring Security 的默认表单登录实现。让我们深入了解基于表单的用户名和密码登录的 Spring Security。
首先,我编写了一个简单的 Web 应用程序,它带有一个打印 hello world 的 API。
@RestController
public class HelloController {
@RequestMapping("/hello")
@ResponseBody
public String hello() {
return "Hello World!";
}
}
这个控制器没有什么特别之处。当我们从浏览器打开 http://localhost:8080/hello 时,我们会看到“Hello World!”消息。
让我们通过添加以下 starter 依赖项将 spring Security 模块添加到该项目中。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
添加上述依赖后,重新启动应用程序并尝试在浏览器中再次访问 http://localhost:8080/hello。这次你会看到 spring boot 应用程序显示的表单登录
这种行为是由于自动配置的魔力。让我们深入了解细节。
这个Spring Security启动器执行以下自动配置。
springSecurityFilterChain
的 servlet Filter
,它负责大部分安全工作,如登录表单重定向、用户名密码验证、会话创建和销毁等。这个 springSecurityFilterChain
将被注册以拦截应用程序的所有 URL。protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and().formLogin() .and().httpBasic(); }
我们将在接下来的文章中看到这些构建器方法。UserDetailService
,它只能允许名为 user
的用户名使用生成的密码。您可以在启动日志中找到此密码。默认情况下,Spring Security 在 http://localhost:8080/logout 启用注销端点。打开此 URL 时,您将看到一个注销按钮。通过单击此按钮,您可以退出会话。随后,该应用程序会将您重定向到登录屏幕。
这是表单登录工作的简单说明。
要了解流程,您需要了解一些关于 cookie 的知识。
当登录请求到达服务器时,spring 安全逻辑验证凭据,如果成功,创建会话 ID 并将其与登录用户相关联,并将此映射保存在某处。相同的 session-id 也以 Set-Cookie
标头的形式发送回浏览器,名称为 JSESSIONID
。
现在,每当请求到达服务器时,cookie 也将与请求一起发送。当服务器注意到 JSESSIONID
时,它可以查看会话映射并找到与该会话关联的适当用户。如果没有找到映射,请求将被重定向到登录页面。
这是简单的 Spring Boot 表单实现的注销流程。
接下来,了解 Spring Boot 中的自定义登录表单。
版权说明 : 本文为转载文章, 版权归原作者所有 版权申明
原文链接 : https://springhow.com/spring-boot-security-form-login/
内容来源于网络,如有侵权,请联系作者删除!