当前位置：网站首页>failureForwardUrl与failureUrl

failureForwardUrl与failureUrl

2022-04-23 09:46:00 【搞钱自律】

相同点
都是对认证失败后跳转页面情况的处理

不同点

failureForwardUrl 是forward 跳转，failureUrl 是redirect 跳转
failureForwardUrl异常信息存储在request中，failureUrl认证失败异常信息存储在session中

failureForwardUrl

因为是表单认证，所以从formLogin()方法进入看看，底层是通过UsernamePasswordAuthenticationFilter这个过滤器的attemptAuthentication方法进行认证的，所以在attemptAuthentication方法里打断点，可以进行调试。发现会进入到ForwardAuthenticationFailureHandler处理器。

在这里插入图片描述

package com.example.config;

import com.example.handler.MyAuthenticationSuccessHandler;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    


    @Override
    public void configure(HttpSecurity http) throws Exception {
    

        //【注意事项】放行资源要放在前面，认证的放在后面
        http.authorizeRequests()
                .mvcMatchers("/index").permitAll() //代表放行index的所有请求
                .mvcMatchers("/loginHtml").permitAll() //放行loginHtml请求
                .anyRequest().authenticated()//代表其他请求需要认证
                .and()
                .formLogin()//表示其他需要认证的请求通过表单认证
                //loginPage 一旦你自定义了这个登录页面，那你必须要明确告诉SpringSecurity日后哪个url处理你的登录请求
                .loginPage("/loginHtml")//用来指定自定义登录界面，不使用SpringSecurity默认登录界面 注意：一旦自定义登录页面，必须指定登录url
                //loginProcessingUrl 这个doLogin请求本身是没有的，因为我们只需要明确告诉SpringSecurity，日后只要前端发起的是一个doLogin这样的请求，
                //那SpringSecurity应该把你username和password给捕获到
                .loginProcessingUrl("/doLogin")//指定处理登录的请求url
                .usernameParameter("uname") //指定登录界面用户名文本框的name值，如果没有指定，默认属性名必须为username
                .passwordParameter("passwd")//指定登录界面密码密码框的name值，如果没有指定，默认属性名必须为password
// .successForwardUrl("/index")//认证成功 forward 跳转路径，forward代表服务器内部的跳转之后，地址栏不变 始终在认证成功之后跳转到指定请求
// .defaultSuccessUrl("/index")//认证成功 之后跳转，重定向 redirect 跳转后，地址会发生改变 根据上一保存请求进行成功跳转
                .successHandler(new MyAuthenticationSuccessHandler()) //认证成功时处理 前后端分离解决方案
                .failureForwardUrl("/loginHtml")//认证失败之后 forward 跳转
// .failureUrl("/login.html")//认证失败之后 redirect 跳转
                .and()
                .csrf().disable(); //禁止csrf 跨站请求保护
    }
}

注意事项
failureForwardUrl设置为/login.html，是无法获取到异常信息的，因为当浏览器发起doLogin请求到服务端时，我们输入错误的认证消息后，服务端会发起/login.html请求，但是这个/login.html虽然有界面，但是在我们的配置里并没有开放，所以我们会发现他是个302的返回码

mvcMatchers只作用于后端接口就是controller，像html，js，img资源写上去无controller跳转，是无效的

在这里插入图片描述

其实failureUrl设置的/login.html也是一样的在这里插入图片描述

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org/" lang="en">
<head>
    <meta charset="UTF-8">
    <title>用户登录</title>
</head>
<body>
    <h2 th:text="${#request.getAttribute('SPRING_SECURITY_LAST_EXCEPTION')}">
    </h2>
    <h1>用户登录</h1>
    <form th:action="@{/doLogin}" method="post">
        用户名：<input type="text" name="uname"> <br>
        密码：<input type="text" name="passwd"><br>
        <input type="submit" value="登录">
    </form>
</body>
</html>

在这里插入图片描述

failureUrl

因为是表单认证，所以从formLogin()方法进入看看，底层是通过UsernamePasswordAuthenticationFilter这个过滤器的attemptAuthentication方法进行认证的，所以在attemptAuthentication方法里打断点，可以进行调试。发现会进入到SimpleUrlAuthenticationFailureHandler处理器。

在这里插入图片描述

package com.example.config;

import com.example.handler.MyAuthenticationSuccessHandler;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    


    @Override
    public void configure(HttpSecurity http) throws Exception {
    

        //【注意事项】放行资源要放在前面，认证的放在后面
        http.authorizeRequests()
                .mvcMatchers("/index").permitAll() //代表放行index的所有请求
                .mvcMatchers("/loginHtml").permitAll() //放行loginHtml请求
                .anyRequest().authenticated()//代表其他请求需要认证
                .and()
                .formLogin()//表示其他需要认证的请求通过表单认证
                //loginPage 一旦你自定义了这个登录页面，那你必须要明确告诉SpringSecurity日后哪个url处理你的登录请求
                .loginPage("/loginHtml")//用来指定自定义登录界面，不使用SpringSecurity默认登录界面 注意：一旦自定义登录页面，必须指定登录url
                //loginProcessingUrl 这个doLogin请求本身是没有的，因为我们只需要明确告诉SpringSecurity，日后只要前端发起的是一个doLogin这样的请求，
                //那SpringSecurity应该把你username和password给捕获到
                .loginProcessingUrl("/doLogin")//指定处理登录的请求url
                .usernameParameter("uname") //指定登录界面用户名文本框的name值，如果没有指定，默认属性名必须为username
                .passwordParameter("passwd")//指定登录界面密码密码框的name值，如果没有指定，默认属性名必须为password
// .successForwardUrl("/index")//认证成功 forward 跳转路径，forward代表服务器内部的跳转之后，地址栏不变 始终在认证成功之后跳转到指定请求
// .defaultSuccessUrl("/index")//认证成功 之后跳转，重定向 redirect 跳转后，地址会发生改变 根据上一保存请求进行成功跳转
                .successHandler(new MyAuthenticationSuccessHandler()) //认证成功时处理 前后端分离解决方案
// .failureForwardUrl("/login.html")//认证失败之后 forward 跳转
                .failureUrl("/login.html")//认证失败之后 redirect 跳转
                .and()
                .csrf().disable(); //禁止csrf 跨站请求保护
    }
}

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org/" lang="en">
<head>
    <meta charset="UTF-8">
    <title>用户登录</title>
</head>
<body>
    <h2 th:text="${#httpSession.getAttribute('SPRING_SECURITY_LAST_EXCEPTION')}">
    </h2>
    <h1>用户登录</h1>
    <form th:action="@{/doLogin}" method="post">
        用户名：<input type="text" name="uname"> <br>
        密码：<input type="text" name="passwd"><br>
        <input type="submit" value="登录">
    </form>
</body>
</html>