springboot security之前后端分離配置方式

更新時(shí)間：2025年03月31日 14:59:01 作者：不識(shí)君的荒漠

這篇文章主要介紹了springboot security之前后端分離配置方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

前言

spring boot security默認(rèn)配置有一個(gè)登錄頁面，當(dāng)采用前后端分離的場(chǎng)景下

需要解決兩個(gè)問題：

前端有自己的登錄頁面，不需要使用spring boot security默認(rèn)的登錄頁面
登錄相關(guān)接口允許匿名訪問

因此需要自定義相關(guān)實(shí)現(xiàn)。

自定義配置

自定義配置的核心實(shí)現(xiàn)如下：

@Component
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在這里自定義配置
    }
}

如上示例代碼：

關(guān)鍵是重寫這個(gè)方法，spring boot security的擴(kuò)展方法不只這一種，化繁為簡(jiǎn)，盡量采用最簡(jiǎn)單直白的方式。

認(rèn)證失敗自定義處理

當(dāng)請(qǐng)求認(rèn)證失敗的時(shí)候，可以返回一個(gè)401的狀態(tài)碼，這樣前端頁面可以根據(jù)響應(yīng)做相關(guān)處理，而不是出現(xiàn)默認(rèn)的登錄頁面或者登錄表單：

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在這里自定義配置
        http.authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                // 認(rèn)證失敗返回401狀態(tài)碼，前端頁面可以根據(jù)401狀態(tài)碼跳轉(zhuǎn)到登錄頁面
                .authenticationEntryPoint((request, response, authException) ->
                        response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase()))
                .and().cors()
                // csrf是否決定禁用，請(qǐng)自行考量
                .and().csrf().disable()
//                .antMatcher("/**")
                // 采用http 的基本認(rèn)證.
                .httpBasic();
    }

登錄相關(guān)接口匿名訪問

登錄接口或者驗(yàn)證碼需要匿名訪問，不應(yīng)該被攔截。

如下，提供獲取驗(yàn)證碼和登錄的接口示例：

@RequestMapping("/login")
@RestController
public class LoginController {

    @PostMapping()
    public Object login() {
        return "login success";
    }

    @GetMapping("/captcha")
    public Object captcha() {
        return "1234";
    }
}

配置允許訪問這部分接口：

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在這里自定義配置
        http.authorizeRequests()
                // 登錄相關(guān)接口都允許訪問
                .antMatchers("/login/**").permitAll()
                // 還有其它接口就這樣繼續(xù)寫
                .antMatchers("/other/**").permitAll()
                .anyRequest()
                .authenticated()
				... 省略下面的
    }