package com.example.config;

import com.example.handler.MyAuthenticationFailureHandler;
import com.example.handler.MyAuthenticationSuccessHandler;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {


? ? @Override
? ? public void configure(HttpSecurity http) throws Exception {

? ? ? ? //【注意事項】放行資源要放在前面，認證的放在后面
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? ? ? .mvcMatchers("/index").permitAll() //代表放行index的所有請求
? ? ? ? ? ? ? ? .mvcMatchers("/loginHtml").permitAll() //放行l(wèi)oginHtml請求
? ? ? ? ? ? ? ? .anyRequest().authenticated()//代表其他請求需要認證
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .formLogin()//表示其他需要認證的請求通過表單認證
? ? ? ? ? ? ? ? //loginPage 一旦你自定義了這個登錄頁面，那你必須要明確告訴SpringSecurity日后哪個url處理你的登錄請求
? ? ? ? ? ? ? ? .loginPage("/loginHtml")//用來指定自定義登錄界面，不使用SpringSecurity默認登錄界面 ?注意：一旦自定義登錄頁面，必須指定登錄url
? ? ? ? ? ? ? ? //loginProcessingUrl ?這個doLogin請求本身是沒有的，因為我們只需要明確告訴SpringSecurity，日后只要前端發(fā)起的是一個doLogin這樣的請求，
? ? ? ? ? ? ? ? //那SpringSecurity應(yīng)該把你username和password給捕獲到
? ? ? ? ? ? ? ? .loginProcessingUrl("/doLogin")//指定處理登錄的請求url
? ? ? ? ? ? ? ? .usernameParameter("uname") //指定登錄界面用戶名文本框的name值，如果沒有指定，默認屬性名必須為username
? ? ? ? ? ? ? ? .passwordParameter("passwd")//指定登錄界面密碼密碼框的name值，如果沒有指定，默認屬性名必須為password
// ? ? ? ? ? ? ? ?.successForwardUrl("/index")//認證成功 forward 跳轉(zhuǎn)路徑，forward代表服務(wù)器內(nèi)部的跳轉(zhuǎn)之后，地址欄不變 始終在認證成功之后跳轉(zhuǎn)到指定請求
// ? ? ? ? ? ? ? ?.defaultSuccessUrl("/index")//認證成功 之后跳轉(zhuǎn)，重定向 redirect 跳轉(zhuǎn)后，地址會發(fā)生改變 ?根據(jù)上一保存請求進行成功跳轉(zhuǎn)
? ? ? ? ? ? ? ? .successHandler(new MyAuthenticationSuccessHandler()) //認證成功時處理 ?前后端分離解決方案
// ? ? ? ? ? ? ? ?.failureForwardUrl("/loginHtml")//認證失敗之后 forward 跳轉(zhuǎn)
// ? ? ? ? ? ? ? ?.failureUrl("/login.html")//認證失敗之后 ?redirect 跳轉(zhuǎn)
? ? ? ? ? ? ? ? .failureHandler(new MyAuthenticationFailureHandler())//用來自定義認證失敗之后處理 ?前后端分離解決方案
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .logout()
? ? ? ? ? ? ? ? .logoutUrl("/logout") //指定注銷登錄url ?默認請求方式必須：GET
? ? ? ? ? ? ? ? .invalidateHttpSession(true) //會話失效 默認值為true，可不寫
? ? ? ? ? ? ? ? .clearAuthentication(true) //清除認證標記 默認值為true，可不寫
? ? ? ? ? ? ? ? .logoutSuccessUrl("/loginHtml") //注銷成功之后跳轉(zhuǎn)頁面
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .csrf().disable(); //禁止csrf 跨站請求保護
? ? }
}

package com.example.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class LogoutController {

? ? @RequestMapping("/logoutHtml")
? ? public String logout(){
? ? ? ? return "logout";
? ? }
}

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org/" lang="en">
<head>
? ? <meta charset="UTF-8">
? ? <title>注銷</title>
</head>
<body>
? ? <h1>注銷</h1>
? ? <form th:action="@{/bb}" method="post">
? ? ? ? <input type="submit" value="注銷">
? ? </form>
</body>
</html>

package com.example.config;

import com.example.handler.MyAuthenticationFailureHandler;
import com.example.handler.MyAuthenticationSuccessHandler;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.OrRequestMatcher;

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {


? ? @Override
? ? public void configure(HttpSecurity http) throws Exception {

? ? ? ? //【注意事項】放行資源要放在前面，認證的放在后面
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? ? ? .mvcMatchers("/index").permitAll() //代表放行index的所有請求
? ? ? ? ? ? ? ? .mvcMatchers("/loginHtml").permitAll() //放行l(wèi)oginHtml請求
? ? ? ? ? ? ? ? .anyRequest().authenticated()//代表其他請求需要認證
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .formLogin()//表示其他需要認證的請求通過表單認證
? ? ? ? ? ? ? ? //loginPage 一旦你自定義了這個登錄頁面，那你必須要明確告訴SpringSecurity日后哪個url處理你的登錄請求
? ? ? ? ? ? ? ? .loginPage("/loginHtml")//用來指定自定義登錄界面，不使用SpringSecurity默認登錄界面 ?注意：一旦自定義登錄頁面，必須指定登錄url
? ? ? ? ? ? ? ? //loginProcessingUrl ?這個doLogin請求本身是沒有的，因為我們只需要明確告訴SpringSecurity，日后只要前端發(fā)起的是一個doLogin這樣的請求，
? ? ? ? ? ? ? ? //那SpringSecurity應(yīng)該把你username和password給捕獲到
? ? ? ? ? ? ? ? .loginProcessingUrl("/doLogin")//指定處理登錄的請求url
? ? ? ? ? ? ? ? .usernameParameter("uname") //指定登錄界面用戶名文本框的name值，如果沒有指定，默認屬性名必須為username
? ? ? ? ? ? ? ? .passwordParameter("passwd")//指定登錄界面密碼密碼框的name值，如果沒有指定，默認屬性名必須為password
// ? ? ? ? ? ? ? ?.successForwardUrl("/index")//認證成功 forward 跳轉(zhuǎn)路徑，forward代表服務(wù)器內(nèi)部的跳轉(zhuǎn)之后，地址欄不變 始終在認證成功之后跳轉(zhuǎn)到指定請求
// ? ? ? ? ? ? ? ?.defaultSuccessUrl("/index")//認證成功 之后跳轉(zhuǎn)，重定向 redirect 跳轉(zhuǎn)后，地址會發(fā)生改變 ?根據(jù)上一保存請求進行成功跳轉(zhuǎn)
? ? ? ? ? ? ? ? .successHandler(new MyAuthenticationSuccessHandler()) //認證成功時處理 ?前后端分離解決方案
// ? ? ? ? ? ? ? ?.failureForwardUrl("/loginHtml")//認證失敗之后 forward 跳轉(zhuǎn)
// ? ? ? ? ? ? ? ?.failureUrl("/login.html")//認證失敗之后 ?redirect 跳轉(zhuǎn)
? ? ? ? ? ? ? ? .failureHandler(new MyAuthenticationFailureHandler())//用來自定義認證失敗之后處理 ?前后端分離解決方案
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .logout()
// ? ? ? ? ? ? ? ?.logoutUrl("/logout") //指定注銷登錄url ?默認請求方式必須：GET
? ? ? ? ? ? ? ? .logoutRequestMatcher(new OrRequestMatcher(
? ? ? ? ? ? ? ? ? ? ? ? new AntPathRequestMatcher("/aa","GET"),
? ? ? ? ? ? ? ? ? ? ? ? new AntPathRequestMatcher("/bb","POST")
? ? ? ? ? ? ? ? ? ? ? ? )
? ? ? ? ? ? ? ? )
? ? ? ? ? ? ? ? .invalidateHttpSession(true) //會話失效 默認值為true，可不寫
? ? ? ? ? ? ? ? .clearAuthentication(true) //清除認證標記 默認值為true，可不寫
? ? ? ? ? ? ? ? .logoutSuccessUrl("/loginHtml") //注銷成功之后跳轉(zhuǎn)頁面
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .csrf().disable(); //禁止csrf 跨站請求保護
? ? }
}

package com.example.handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
?* 自定義注銷成功之后處理
?*/
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
? ? @Override
? ? public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
? ? ? ? Map<String,Object> result = new HashMap<>();
? ? ? ? result.put("msg","注銷成功，當前認證對象為："+authentication);
? ? ? ? result.put("status",200);
? ? ? ? result.put("authentication",authentication);
? ? ? ? response.setContentType("application/json;charset=UTF-8");
? ? ? ? String s = new ObjectMapper().writeValueAsString(result);
? ? ? ? response.getWriter().println(s);
? ? }
}

package com.example.config;

import com.example.handler.MyAuthenticationFailureHandler;
import com.example.handler.MyAuthenticationSuccessHandler;
import com.example.handler.MyLogoutSuccessHandler;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.OrRequestMatcher;

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {


? ? @Override
? ? public void configure(HttpSecurity http) throws Exception {

? ? ? ? //【注意事項】放行資源要放在前面，認證的放在后面
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? ? ? .mvcMatchers("/index").permitAll() //代表放行index的所有請求
? ? ? ? ? ? ? ? .mvcMatchers("/loginHtml").permitAll() //放行l(wèi)oginHtml請求
? ? ? ? ? ? ? ? .anyRequest().authenticated()//代表其他請求需要認證
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .formLogin()//表示其他需要認證的請求通過表單認證
? ? ? ? ? ? ? ? //loginPage 一旦你自定義了這個登錄頁面，那你必須要明確告訴SpringSecurity日后哪個url處理你的登錄請求
? ? ? ? ? ? ? ? .loginPage("/loginHtml")//用來指定自定義登錄界面，不使用SpringSecurity默認登錄界面 ?注意：一旦自定義登錄頁面，必須指定登錄url
? ? ? ? ? ? ? ? //loginProcessingUrl ?這個doLogin請求本身是沒有的，因為我們只需要明確告訴SpringSecurity，日后只要前端發(fā)起的是一個doLogin這樣的請求，
? ? ? ? ? ? ? ? //那SpringSecurity應(yīng)該把你username和password給捕獲到
? ? ? ? ? ? ? ? .loginProcessingUrl("/doLogin")//指定處理登錄的請求url
? ? ? ? ? ? ? ? .usernameParameter("uname") //指定登錄界面用戶名文本框的name值，如果沒有指定，默認屬性名必須為username
? ? ? ? ? ? ? ? .passwordParameter("passwd")//指定登錄界面密碼密碼框的name值，如果沒有指定，默認屬性名必須為password
// ? ? ? ? ? ? ? ?.successForwardUrl("/index")//認證成功 forward 跳轉(zhuǎn)路徑，forward代表服務(wù)器內(nèi)部的跳轉(zhuǎn)之后，地址欄不變 始終在認證成功之后跳轉(zhuǎn)到指定請求
// ? ? ? ? ? ? ? ?.defaultSuccessUrl("/index")//認證成功 之后跳轉(zhuǎn)，重定向 redirect 跳轉(zhuǎn)后，地址會發(fā)生改變 ?根據(jù)上一保存請求進行成功跳轉(zhuǎn)
? ? ? ? ? ? ? ? .successHandler(new MyAuthenticationSuccessHandler()) //認證成功時處理 ?前后端分離解決方案
// ? ? ? ? ? ? ? ?.failureForwardUrl("/loginHtml")//認證失敗之后 forward 跳轉(zhuǎn)
// ? ? ? ? ? ? ? ?.failureUrl("/login.html")//認證失敗之后 ?redirect 跳轉(zhuǎn)
? ? ? ? ? ? ? ? .failureHandler(new MyAuthenticationFailureHandler())//用來自定義認證失敗之后處理 ?前后端分離解決方案
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .logout()
// ? ? ? ? ? ? ? ?.logoutUrl("/logout") //指定注銷登錄url ?默認請求方式必須：GET
? ? ? ? ? ? ? ? .logoutRequestMatcher(new OrRequestMatcher(
? ? ? ? ? ? ? ? ? ? ? ? new AntPathRequestMatcher("/aa","GET"),
? ? ? ? ? ? ? ? ? ? ? ? new AntPathRequestMatcher("/bb","POST")
? ? ? ? ? ? ? ? ? ? ? ? )
? ? ? ? ? ? ? ? )
? ? ? ? ? ? ? ? .invalidateHttpSession(true) //會話失效 默認值為true，可不寫
? ? ? ? ? ? ? ? .clearAuthentication(true) //清除認證標記 默認值為true，可不寫
// ? ? ? ? ? ? ? ?.logoutSuccessUrl("/loginHtml") //注銷成功之后跳轉(zhuǎn)頁面
? ? ? ? ? ? ? ? .logoutSuccessHandler(new MyLogoutSuccessHandler()) //注銷成功之后處理 ?前后端分離解決方案
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .csrf().disable(); //禁止csrf 跨站請求保護
? ? }
}