基于角色的登录

本文展示了如何根据不同的用户角色,在登录之后来重定向到不同的页面。

method-security项目的基础上,我们构建了一个role-base-login项目。

build.gradle

修改 build.gradle 文件,让我们的role-base-login项目成为一个新的项目。

修改内容也比较简单,修改项目名称及版本即可。

  1. jar {
  2.     baseName = 'role-base-login'
  3.     version = '1.0.0'
  4. }

权限处理器

新增com.waylau.spring.boot.security.auth包,用于存放权限处理器相关的类。

新建 AuthenticationSuccessHandler ,继承自 org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler

  1. @Component
  2. public class AuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
  3.     private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
  5.     @Override
  6.     public void handle(HttpServletRequest request, HttpServletResponse response,
  7.             Authentication authentication) throws IOException, ServletException {
  8.         String targetUrl = determineTargetUrl(authentication);
  10.         if (response.isCommitted()) {
  11.             logger.debug("Response has already been committed. Unable to redirect to "
  12.                     + targetUrl);
  13.             return;
  14.         }
  16.         redirectStrategy.sendRedirect(request, response, targetUrl);
  17.     }
  19.     private String determineTargetUrl(Authentication authentication) {
  20.         String targetUrl = null;
  22.         Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
  24.         List<String> roles = new ArrayList<String>();
  26.         for (GrantedAuthority a : authorities) {
  27.             roles.add(a.getAuthority());
  28.         }
  30.         // 根据不同的角色,重定向到不同页面
  31.         if (isAdmin(roles)) {
  32.             targetUrl = "/admins";
  33.         } else if (isUser(roles)) {
  34.             targetUrl = "/users";
  35.         } else {
  36.             targetUrl = "/403";
  37.         }
  39.         return targetUrl;
  40.     }
  42.     private boolean isUser(List<String> roles) {
  43.         if (roles.contains("ROLE_USER")) {
  44.             return true;
  45.         }
  46.         return false;
  47.     }
  49.     private boolean isAdmin(List<String> roles) {
  50.         if (roles.contains("ROLE_ADMIN")) {
  51.             return true;
  52.         }
  53.         return false;
  54.     }
  56. }

重写了 handle()方法,这个方法简单地使用 RedirectStrategy 来重定向,由自定义的 determineTargetUrl 方法返回URL。此方法提取当前认证对象用户记录的角色,然后构造基于角色有相应的URL。最后由负责 Spring Security 框架内的所有重定向的 RedirectStrategy ,将请求重定向到指定的URL。

修改配置类

在配置类中,添加成功认证的处理器 AuthenticationSuccessHandler 的实例:

  1. .formLogin()   //基于 Form 表单登录验证
  2.     .loginPage("/login").failureUrl("/login-error") // 自定义登录界面
  3.     .successHandler(authenticationSuccessHandler)

运行

当我们使用“ADMIN”角色的用户登录成功后,会被重定向到/admins页面。而使用“USER”角色的用户登录成功后,会被重定向到/users页面。