Form Login

Spring Security 为通过 HTML 表单提供用户名和密码的方式提供支持。此部分详细介绍基于表单的验证在 Spring Security 中如何运作。

此部分探讨在 Spring Security 中表单驱动的登录如何运作。首先,我们了解用户如何重定向到登录表单:

loginurlauthenticationentrypoint
Figure 1. Redirecting to the Login Page

前图基于我们的 SecurityFilterChain 图表构建。

number 1首先,用户向未获得授权的资源 (/private) 发出未经身份验证的请求。

number 2 Spring Security 的 AuthorizationFilter 指出未经身份验证的请求 Denied 抛出了 AccessDeniedException

number 3 由于用户未经身份验证,所以 ExceptionTranslationFilter 启动 Start Authentication 并在配置的 AuthenticationEntryPoint 中向登录页面发送重定向。在大多数情况下,AuthenticationEntryPoint 是 {security-api-url}org/springframework/security/web/authentication/LoginUrlAuthenticationEntryPoint.html[LoginUrlAuthenticationEntryPoint] 的实例。

number 4浏览器请求其被重定向到的登录页面。

number 5应用程序中的某个内容必须render the login page

当提交用户名和密码时,UsernamePasswordAuthenticationFilter 会验证用户名和密码。UsernamePasswordAuthenticationFilter 扩展 AbstractAuthenticationProcessingFilter,因此下图看起来应该非常相似:

usernamepasswordauthenticationfilter
Figure 2. Authenticating Username and Password

此图建立在我们的 SecurityFilterChain 图基础上。

number 1 当用户提交其用户名和密码时,UsernamePasswordAuthenticationFilter 会通过从 HttpServletRequest 实例中提取用户名和密码,创建一个 UsernamePasswordAuthenticationToken,它是一种 Authentication

number 2 接下来,将 UsernamePasswordAuthenticationToken 传递到 AuthenticationManager 实例中以进行身份验证。AuthenticationManager 的外观详细信息取决于 user information is stored 的方式。

number 3如果身份验证失败,则_Failure_。

  1. 清除 SecurityContextHolder

  2. 调用`RememberMeServices.loginFail`.如果未配置记住我,则这是一个无操作.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/RememberMeServices.html[RememberMeServices] 接口.

  3. 调用`AuthenticationFailureHandler`.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/AuthenticationFailureHandler.html[AuthenticationFailureHandler] 类.

number 4 如果身份验证成功,则 Success

  1. 向`SessionAuthenticationStrategy`通知新登录.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/session/SessionAuthenticationStrategy.html[SessionAuthenticationStrategy] 接口.

  2. SecurityContextHolder上设置Authentication.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/context/SecurityContextPersistenceFilter.html[SecurityContextPersistenceFilter] 类.

  3. 调用`RememberMeServices.loginSuccess`.如果未配置记住我,则这是一个无操作.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/RememberMeServices.html[RememberMeServices] 接口.

  4. ApplicationEventPublisher publishes an InteractiveAuthenticationSuccessEvent.

  5. 调用`AuthenticationSuccessHandler`.通常情况下,这是一个`SimpleUrlAuthenticationSuccessHandler`,当我们重定向到登录页面时,重定向到ExceptionTranslationFilter保存的请求.

默认情况下会启用 Spring Security 表单登录。但是,只要提供了基于 servlet 的任何配置,就必须明确提供基于表单的登录。以下示例显示了一个最小的明确 Java 配置:

Form Login

  • Java

  • XML

  • Kotlin

public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		.formLogin(withDefaults());
	// ...
}
<http>
	<!-- ... -->
	<form-login />
</http>
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		formLogin { }
	}
	// ...
}

在上述配置中,Spring Security 呈现了一个默认登录页面。大多数生产应用程序都需要一个自定义登录表单。

以下配置演示如何提供自定义登录表单。

Custom Login Form Configuration

  • Java

  • XML

  • Kotlin

public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		.formLogin(form -> form
			.loginPage("/login")
			.permitAll()
		);
	// ...
}
<http>
	<!-- ... -->
	<intercept-url pattern="/login" access="permitAll" />
	<form-login login-page="/login" />
</http>
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		formLogin {
			loginPage = "/login"
			permitAll()
		}
	}
	// ...
}

当登录页面在 Spring Security 配置中指定时,您将负责渲染页面。下面的 Thymeleaf模板生成一个 HTML 登录表单,该表单符合`/login`的登录页面。

Login Form - src/main/resources/templates/login.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
	<head>
		<title>Please Log In</title>
	</head>
	<body>
		<h1>Please Log In</h1>
		<div th:if="${param.error}">
			Invalid username and password.</div>
		<div th:if="${param.logout}">
			You have been logged out.</div>
		<form th:action="@{/login}" method="post">
			<div>
			<input type="text" name="username" placeholder="Username"/>
			</div>
			<div>
			<input type="password" name="password" placeholder="Password"/>
			</div>
			<input type="submit" value="Log in" />
		</form>
	</body>
</html>

有关默认 HTML 表单有一些要点:

  • 窗体应执行`post`到`/login`.

  • 窗体需要包含一个CSRF Token,这是由 Thymeleafautomatically included.

  • 窗体应在名为`username`的参数中指定用户名.

  • 窗体应在名为`password`的参数中指定密码.

  • 如果找到名为`error`的 HTTP 参数,则表示用户未能提供有效的用户名或密码.

  • 如果找到名为`logout`的 HTTP 参数,则表示用户已成功注销.

许多用户只需要自定义登录页面。但是,如果需要,你可以通过其他配置自定义前面显示的所有内容。

如果你使用 Spring MVC,则需要一个控制器将 GET /login 映射到我们创建的登录模板。以下示例显示了一个最小的`LoginController`:

LoginController

  • Java

  • Kotlin

@Controller
class LoginController {
	@GetMapping("/login")
	String login() {
		return "login";
	}
}
@Controller
class LoginController {
    @GetMapping("/login")
    fun login(): String {
        return "login"
    }
}