下面是关于“spring security自定义认证登录的全过程记录”的详细攻略：

背景

Spring Security是Spring家族中重要的一员，主要用于Web应用的安全框架。它可以实现对应用的URL、方法和资源进行保护，在身份验证和授权方面提供了全面的支持。其中认证是指确认用户身份，而授权是指决定用户可以访问系统哪些资源。Spring Security默认提供了用户名和密码认证，但在实际开发过程中，我们常常需要自定义认证方案来满足项目的需求。

自定义认证登录的全过程

1.添加依赖

自定义认证需要使用到以下依赖：

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>${spring-security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>${spring-security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${spring-security.version}</version>
</dependency>

2.配置Spring Security

在Spring Security配置中，我们需要自定义认证提供者和认证过滤器。

2.1 自定义认证提供者

自定义认证提供者需要实现AuthenticationProvider接口，并在WebSecurityConfigurerAdapter的子类中进行配置。示例代码：

public class MyAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        // 自定义认证逻辑
        return new UsernamePasswordAuthenticationToken(username, password, new ArrayList<>());
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

2.2 自定义认证过滤器

自定义认证过滤器需要继承UsernamePasswordAuthenticationFilter类，并在WebSecurityConfigurerAdapter的子类中进行配置。示例代码：

public class MyAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        if (StringUtils.isBlank(username) || StringUtils.isBlank(password)) {
            throw new BadCredentialsException("用户名或密码不能为空！");
        }
        return super.attemptAuthentication(request, response);
    }
}

2.3 配置Spring Security

我们需要在WebSecurityConfigurerAdapter的子类中进行配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationProvider myAuthenticationProvider;

    @Bean
    public MyAuthenticationFilter myAuthenticationFilter() throws Exception {
        MyAuthenticationFilter filter = new MyAuthenticationFilter();
        filter.setAuthenticationSuccessHandler(new MyAuthenticationSuccessHandler());
        filter.setAuthenticationFailureHandler(new MyAuthenticationFailureHandler());
        filter.setAuthenticationManager(authenticationManagerBean());
        filter.setFilterProcessesUrl("/login"); // 设置登录URL为"/login"
        return filter;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(myAuthenticationProvider); // 配置自定义认证提供者
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable() // 禁用CSRF保护
            .addFilterBefore(myAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) // 添加自定义认证过滤器
            .authorizeRequests()
                .antMatchers("/login").permitAll() // 允许所有用户访问"/login"
                .anyRequest().authenticated(); // 其他URL需要身份认证
    }
}

3.自定义认证成功/失败处理器

自定义认证成功/失败处理器需要实现AuthenticationSuccessHandler接口和AuthenticationFailureHandler接口，并在自定义认证过滤器中配置。示例代码：

public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.sendRedirect("/index"); // 登录成功，重定向到"/index"
    }
}

public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.sendRedirect("/login?error=true"); // 登录失败，重定向到"/login?error=true"
    }
}

4.示例一：使用JUnit测试自定义认证

@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
public class CustomAuthTests {

    @Autowired
    private TestRestTemplate restTemplate;

    @Test
    public void testCustomAuth() {
        HttpHeaders headers = new HttpHeaders();
        headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
        MultiValueMap<String, String> body = new LinkedMultiValueMap<>();
        body.add("username", "admin");
        body.add("password", "admin");
        HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(body, headers);
        ResponseEntity<String> response = restTemplate.postForEntity("/login", request, String.class);
        assertEquals(HttpStatus.OK, response.getStatusCode());
    }
}

5.示例二：使用Postman模拟自定义认证

使用POST方法请求URL为http://{host}:{port}/login，参数为username和password，即可完成自定义认证登录。

总结

以上就是Spring Security自定义认证登录的全过程记录，除了自定义认证提供者和认证过滤器，还需要自定义认证成功/失败处理器。为了方便测试，我们也提供了两条示例，其中一条使用JUnit测试，另一条使用Postman模拟。使用自定义认证可以满足更灵活的认证需求，提高应用程序的安全性。