[Java知识库]Spring Security---表单登陆配置介绍

Spring Security提供一些对表单登陆的配置，我们可以通过配置来达到我们想要的效果。

编写一个配置类继承WebSecurityConfigurerAdapter，然后重写configure方法。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**", "/css/**","/images/**");
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/toLogin")
                .usernameParameter("userName")
                .passwordParameter("psw")
                .defaultSuccessUrl("/index")
                .successForwardUrl("/index")
                .failureForwardUrl("/error")
                .failureUrl("error")
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST"))
                .logoutSuccessUrl("/index")
                .deleteCookies()
                .clearAuthentication(true)
                .invalidateHttpSession(true)
                .and()
                .csrf().disable();
    }
}

• web.ignoring() 用来配置忽略掉的 URL 地址，一般是对静态文件进行操作。
• authorizeRequests() 对应了xml配置文件中的 。
• formLogin() 对应了 xml配置文件中的，使用security默认的表单不可省略，否则会返回403状态码。
• and()表示结束当前标签，上下文回到HttpSecurity，开启新一轮的配置。
• permitAll() 表示登录相关的页面/接口不要被拦截。
• csrf().disable()表示关闭csrf。
• loginPage()表示登陆页设为login.html。
• loginProcessingUrl()表示登陆接口设为toLogin。

登陆页和登陆接口有什么区别？

登陆页是我们看到的前端的html，而登陆接口是登录页里 form 表单的 action 属性对应的值，如果只设置loginPage，Spring Security会默认的把登陆页和登陆接口都设为相同的值，不同的是登陆页是GET获取，而登陆接口是POST提交。

• usernameParameter表示登录页内User的input表单的name值
• passwordParameter表示登录页内Password的input表单的name值

这两个值要和input表单的name值保持一致。

• defaultSuccessUrl和successForwardUrl表示的是登陆成功后重定向到指定页面

defaultSuccessUrl 和 successForwardUrl的区别是设置好登陆成功后会跳转到index页面，但是当我们访问http://localhost:8080/hello，此时没有登陆，会跳转到http://localhost:8080/login页面，登陆完成后，defaultSuccessUrl 会跳转到hello页面，而successForwardUrl仍然会跳转到index页面。

defaultSuccessUrl 提供了一个重载的方法，第二个参数默认为 false，也就是我们上面的的情况，当设置第二个参数为 true 时，则 defaultSuccessUrl 和 successForwardUrl的作用一样。

• failureForwardUrl和failureUrl表示的是登陆成功后跳转到指定页面

这两个方法的区别是，failureForwardUrl 是登录失败之后会发生服务端跳转，failureUrl 则在登录失败之后，会发生重定向。两个方法设置一个即可。

• logoutUrl()表示修改注销的url。

注销登录的默认接口是 /logout，是一个GET方法。

• logoutRequestMatcher()表示修改注销 URL和请求方式

logoutUrl()和 logoutRequestMatcher()设置一个即可。

• logoutSuccessUrl()表示注销成功后要跳转的页面。
• deleteCookies() 表示清除 cookie。
• clearAuthentication()表示清除认证信息。
• invalidateHttpSession()表示使 HttpSession 失效。

clearAuthentication 和 invalidateHttpSession 可以不用配置，默认生效。