#yyds干货盘点# 阅读 SpringSeccurity 源码—理解登录表单传参名默认是 username 和 password

精选原创

ZS_Jie 2021-12-21 07:54:05 博主文章分类：JAVA ©著作权

文章标签 表单 java spring 文章分类 Java 后端开发 yyds干货盘点

©著作权归作者所有：来自51CTO博客作者ZS_Jie的原创作品，请联系作者获取转载授权，否则将追究法律责任

1364531215643521_画板 1

相信有不少同学再刚接触 SpringSeccurity ，进行自定义登录页面时，当输入正确的用户名密码后但是提交一直提交不到登录逻辑的现象，那么有可能就是你的前台登录表单中设置的参数值名不对。

下面是一个非常简单的登录表单。我已经将两个参数值的 name 设置为 username和 password。

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>登录</title>
    </head>
    <body>
        <!--登录表单-->
        <form action="/login" method="post">
            <label>用户名：<input name="username" type="text"></label>
            <br/>
            <label>密码：<input name="password" type="text"></label>
            <br/>
            <input type="submit" value="登录">
        </form>
    </body>
</html>

登录表单中的 name 值必须为：username和 password，这两个参数名要跟UsernamePasswordAuthenticationFilter中的设置要一样，否则接收不到。

那么为什么要这么设置呢？上源码。

我们主要查看 SpringSeccurity 下的 UsernamePasswordAuthenticationFilter类的 attemptAuthentication()方法。

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
    throws AuthenticationException {
    
    //如果只允许 POST 请求或者请求方式不是 POST 方式时，抛异常
    if (this.postOnly && !request.getMethod().equals("POST")) {
        throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
    }
    //通过 obtainUsername() 方法获取 request 域中的 username 值
    String username = obtainUsername(request);
    username = (username != null) ? username : "";
    username = username.trim();
    //通过 obtainPassword() 方法获取 request 域中的 password 值
    String password = obtainPassword(request);
    password = (password != null) ? password : "";
    
    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
    // Allow subclasses to set the "details" property
    setDetails(request, authRequest);
    return this.getAuthenticationManager().authenticate(authRequest);
}

我们查看 obtainUsername()方法可以看出来就是一个非常简单的 request.getParameter()方法。

@Nullable
protected String obtainUsername(HttpServletRequest request) {
    return request.getParameter(this.usernameParameter);
}

同理，obtainPassword()也是一个非常简单的 request.getParameter()方法。

@Nullable
protected String obtainPassword(HttpServletRequest request) {
    return request.getParameter(this.usernameParameter);
}

那么 request.getParameter()需要的参数 usernameParameter和 usernameParameter在 UsernamePasswordAuthenticationFilter类的刚开始时已经赋值为 username，password。

看到这里已经不难明白，其实 Spring 就是通过 request 域中 username和 password的值来获取我们输入的用户名密码。如果前台登录表单参数名不是 username和 password，那自然获取不到，就会一直登录不了。录表单参数名不是 username和 password，那自然获取不到，就会一直登录不了。

那么如何改成我们自己设置的参数名呢？

很简单，我们只需要在 SpringSecurityConfig配置类中设置usernameParameter和 passwordParameter即可。

@Override
protected void configure(HttpSecurity http) throws Exception {
    //表单登录
    http.formLogin()
        //自定义登录页面
        .loginPage("/login.html")
        //自定义登录逻辑
        .loginProcessingUrl("/login")
        //登陆成功后跳转页面，必须是 POST 方式
        .successForwardUrl("/toMain")
        //登录失败后跳转到错误页面，必须是 POST 方式
        .failureForwardUrl("/toError")
        //设置参数名
        .usernameParameter("username123")
        .passwordParameter("password123");
}