Spring Boot 和 Spring Security 的默认表单登录实现

x33g5p2x  于2022-09-23 转载在 Spring  
字(1.7k)|赞(0)|评价(0)|浏览(365)

本文重点介绍 Spring Boot 和 Spring Security 的默认表单登录实现。让我们深入了解基于表单的用户名和密码登录的 Spring Security。

首先,我编写了一个简单的 Web 应用程序,它带有一个打印 hello world 的 API。

@RestController
public class HelloController {

    @RequestMapping("/hello")
    @ResponseBody
    public String hello() {
        return "Hello World!";
    }
}

这个控制器没有什么特别之处。当我们从浏览器打开 http://localhost:8080/hello 时,我们会看到“Hello World!”消息。

添加 Spring Security 启动器

让我们通过添加以下 starter 依赖项将 spring Security 模块添加到该项目中。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加上述依赖后,重新启动应用程序并尝试在浏览器中再次访问 http://localhost:8080/hello。这次你会看到 spring boot 应用程序显示的表单登录

这种行为是由于自动配置的魔力。让我们深入了解细节。

Spring Security 自动配置

这个Spring Security启动器执行以下自动配置。

  1. 创建一个名为 springSecurityFilterChain 的 servlet Filter,它负责大部分安全工作,如登录表单重定向、用户名密码验证、会话创建和销毁等。这个 springSecurityFilterChain 将被注册以拦截应用程序的所有 URL。
  2. 为所有请求设置 BasicAuth 和表单登录。此设置等效于以下内容。protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and().formLogin() .and().httpBasic(); }我们将在接下来的文章中看到这些构建器方法。
  3. 创建一个简单的内存中 UserDetailService,它只能允许名为 user 的用户名使用生成的密码。您可以在启动日志中找到此密码。

默认情况下,Spring Security 在 http://localhost:8080/logout 启用注销端点。打开此 URL 时,您将看到一个注销按钮。通过单击此按钮,您可以退出会话。随后,该应用程序会将您重定向到登录屏幕。

登录流程

这是表单登录工作的简单说明。

要了解流程,您需要了解一些关于 cookie 的知识。

  1. Cookies 是键值对,偶尔会有过期时间。
  2. 当服务器/网站/网络应用程序发送带有 Set-Cookie 标头的 HTTP 响应时,会创建 Cookie。
  3. 根据设计,当从特定服务器/网站/网络应用程序访问任何资源时,所有浏览器都会发送与网站相关的 cookie。
  4. 网站无法获取其他网站的cookies。

当登录请求到达服务器时,spring 安全逻辑验证凭据,如果成功,创建会话 ID 并将其与登录用户相关联,并将此映射保存在某处。相同的 session-id 也以 Set-Cookie 标头的形式发送回浏览器,名称为 JSESSIONID

现在,每当请求到达服务器时,cookie 也将与请求一起发送。当服务器注意到 JSESSIONID 时,它可以查看会话映射并找到与该会话关联的适当用户。如果没有找到映射,请求将被重定向到登录页面。

注销流程

这是简单的 Spring Boot 表单实现的注销流程。

接下来,了解 Spring Boot 中的自定义登录表单。

相关文章

微信公众号

最新文章

更多