Spring Security默认登录页面

使用Spring Security作为权限管理模块的小伙伴们一定醉心于其极少的配置即可满足权限管理需求,以及比springMVC更简洁的filter配置。

在刚开始技术验证的demo阶段相信很多人试过在什么都不配置的时候,只写个接口然后访问是会自动跳转到默认的登录页面"/login"。

按常理,一般人会好奇,这个登录页面在哪儿?应该是个模板引擎提供的模板,并且应该有个ModeAndView绑定的页面。

但实际上并不是。这个默认登录页面其实极其暴力简单。是一个默认filter里面直接写入response的。

在需要自定义实现的 WebSecurityConfigurerAdapter 中有这么一个方法。

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {
		http.csrf();
		http.addFilter(new WebAsyncManagerIntegrationFilter());
		http.exceptionHandling();
		http.headers();
		http.sessionManagement();
		http.securityContext();
		http.requestCache();
		http.anonymous();
		http.servletApi();
		http.apply(new DefaultLoginPageConfigurer<>());
		http.logout();
	}

其中有一个 默认配置DefaultLoginPageConfigurer。它会添加两个默认filter

	public void configure(H http) {
		AuthenticationEntryPoint authenticationEntryPoint = null;
		ExceptionHandlingConfigurer exceptionConf = http.getConfigurer(ExceptionHandlingConfigurer.class);
		if (exceptionConf != null) {
			authenticationEntryPoint = exceptionConf.getAuthenticationEntryPoint();
		}
		if (this.loginPageGeneratingFilter.isEnabled() && authenticationEntryPoint == null) {
			this.loginPageGeneratingFilter = postProcess(this.loginPageGeneratingFilter);
			http.addFilter(this.loginPageGeneratingFilter);
			http.addFilter(this.logoutPageGeneratingFilter);
		}
	}

其中loginPageGeneratingFilter中会生成登录页面

private String generateLoginPageHtml(HttpServletRequest request, boolean loginError, boolean logoutSuccess) {
		String errorMsg = "Invalid credentials";
		if (loginError) {
			HttpSession session = request.getSession(false);
			if (session != null) {
				AuthenticationException ex = (AuthenticationException) session
						.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
				errorMsg = (ex != null) ? ex.getMessage() : "Invalid credentials";
			}
		}
		String contextPath = request.getContextPath();
		StringBuilder sb = new StringBuilder();
		sb.append("\n");
		sb.append("\n");
		sb.append("  \n");
		sb.append("    \n");
		sb.append("    \n");
		sb.append("    \n");
		sb.append("    \n");
		sb.append("    Please sign in\n");
		sb.append("    \n");
		sb.append("    \n");
		sb.append("  \n");
		sb.append("  \n");
		sb.append("     
\n"); if (this.formLoginEnabled) { sb.append("
\n"); sb.append(" \n"); sb.append(createError(loginError, errorMsg) + createLogoutSuccess(logoutSuccess) + "

\n"); sb.append(" \n"); sb.append(" \n"); sb.append("

\n"); sb.append("

\n"); sb.append(" \n"); sb.append(" \n"); sb.append("

\n"); sb.append(createRememberMe(this.rememberMeParameter) + renderHiddenInputs(request)); sb.append(" \n"); sb.append("
\n"); } if (this.openIdEnabled) { sb.append("
\n"); sb.append(" \n"); sb.append(createError(loginError, errorMsg) + createLogoutSuccess(logoutSuccess) + "

\n"); sb.append(" \n"); sb.append(" \n"); sb.append("

\n"); sb.append(createRememberMe(this.openIDrememberMeParameter) + renderHiddenInputs(request)); sb.append(" \n"); sb.append("
\n"); } if (this.oauth2LoginEnabled) { sb.append(""); sb.append(createError(loginError, errorMsg)); sb.append(createLogoutSuccess(logoutSuccess)); sb.append("\n"); for (Map.Entry clientAuthenticationUrlToClientName : this.oauth2AuthenticationUrlToClientName .entrySet()) { sb.append(" \n"); } sb.append("
"); String url = clientAuthenticationUrlToClientName.getKey(); sb.append(""); String clientName = HtmlUtils.htmlEscape(clientAuthenticationUrlToClientName.getValue()); sb.append(clientName); sb.append(""); sb.append("
\n"); } if (this.saml2LoginEnabled) { sb.append(""); sb.append(createError(loginError, errorMsg)); sb.append(createLogoutSuccess(logoutSuccess)); sb.append("\n"); for (Map.Entry relyingPartyUrlToName : this.saml2AuthenticationUrlToProviderName .entrySet()) { sb.append(" \n"); } sb.append("
"); String url = relyingPartyUrlToName.getKey(); sb.append(""); String partyName = HtmlUtils.htmlEscape(relyingPartyUrlToName.getValue()); sb.append(partyName); sb.append(""); sb.append("
\n"); } sb.append("
\n"); sb.append(""); return sb.toString(); }

没错,就是这么简单粗暴。连模板文件都没用,直接StringBuilder直接拼接的。是不是感觉spring的工程师也有一点都不优雅的时候。

其实这种写法有不好的一面也有好的一面。

坏的一面是:不够统一优雅。

好的一面是:为了尽量保证模块独立性。假设你不需要模板引擎,没必要因为默认登录页面还增加一大堆模板引擎的引入。减少各种原因引起使用方包冲突带来的额外工作。

本文算是给自己和其他还在试图找spring Security默认登录页面的小伙伴一个路牌,上面写着“别找了,没有页面模板的,都是我手动拼接的”

love & peace

你可能感兴趣的:(心得,spring)