自定义Spring Authorization Server登录页

一、鸣谢

首先要声明一些感谢：

• 感谢官方文档的缺失、反复造成我下面这条感谢
  
• 感谢那些胡说八道、顾彼失此的某DN文章，让我在冲向坑里的道路上一往无前
  

废话不多说，看剑！
本文来自：博客园-去哪里吃鱼-自定义Spring Authorization Server登录页
二、版本信息

本文基于如下以来版本信息，官方代码如有变动，请自行阅读源码解决问题。
友情提示：不要照抄某DN、AI内容，避免浪费生命。

1. <dependency>
2.         <groupId>org.springframework.boot</groupId>
3.         spring-boot-starter-oauth2-authorization-server</artifactId>
4.         <version>3.3.10</version>
5. </dependency>
8. <dependency>
9.         <groupId>org.springframework.security</groupId>
10.         spring-security-oauth2-authorization-server</artifactId>
11.         <version>1.3.5</version>
12. </dependency>

复制代码

三、过滤器链介绍

使用 Spring Authorization Server 开发授权服务器，必然不可少要配置两个 SecurityFilterChain过滤器链：

• SpringSecurity的过滤器链
  
• 授权服务的过滤器链
  

这两条过滤器链不会冲突，但是要确保授权服务器的过滤器链在SpringSecurity链之前加载，在代码当中可以使用@Order(0)注解来调整，注解中的整数参数越小，加载顺序就越靠前
调整的目的是：
SpringSecurity的过滤器链默认所有请求都需要认证，把授权服务的过滤器链提前，可以避免如下默认授权相关请求不受SpringSecurity的过滤器链影响

• /oauth2/authorize
  
• /oauth2/token
  
• /oauth2/jwks
  
• /userinfo
  
• /login
  
• ...
  

如下基于 授权码 模式进行开发，默认的，以 GET 方式请求的 /login 是跳转到登录页，以 POST 方式请求的 /login 则是处理登录请求，Spring 官方以硬编码的形式提供了一个默认登录页，其中引用了bootstrap 样式文件，鉴于一些众所周知的原因，这个样式文件访问不了，所以登录页加载会很慢。
此外，每个产品也会相应的设计具有自己产品风格特性的登录页，这让自定义登录页成为了一个硬性需求。
如下为 只修改登录页 的处理过程，一些项目配置如下

• 应用 context-path 自定义为 'auth'
  
• 自定义登录页请求地址为: http://domain/auth/i/login
  

四、修改 SpringSecurity 配置

贴一段基于官方demo的修改后的配置代码：

1. @Bean
2. @Order(2)
3. public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
4.         throws Exception {
5.         http
6.                 .authorizeHttpRequests((authorize) -> authorize
7.                         .requestMatchers("/i/**","/login**").permitAll()
8.                         .anyRequest().authenticated()
9.                 )
10.                 .cors(AbstractHttpConfigurer::disable)
11.                 .csrf(AbstractHttpConfigurer::disable)
12.                 .formLogin(form -> form.loginPage("/i/login").loginProcessingUrl("/login"));
13.         return http.build();
14. }

复制代码

现在来说一下注意事项：

• 登录页请求由SpringSecurity的过滤器链处理，因为授权服务过滤器链没有设置 formLogin，它只处理相关接口
  
• 在配置 formLogin 的时候，loginPage 和 loginProcessingUrl 都需要配置，如果不配置 loginProcessingUrl,它则会用 loginPage 的 url来处理登录请求
  
• 除了登录页请求放开，登录请求也要放开，交由授权服务过滤器链处理，在代码中就是 requestMatchers("/i/**","/login**").permitAll()
  

五、修改 Spring Authorization Server 配置

同样基于官方demo的修改后的配置：

1. @Bean
2. @Order(1)
3. public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
4.         OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
5.         http.getConfigurer(OAuth2AuthorizationServerConfigurer.class).oidc(withDefaults());
6.         http.exceptionHandling((exceptions) -> exceptions
7.                 .defaultAuthenticationEntryPointFor(
8.                         new LoginUrlAuthenticationEntryPoint(domain + "/auth/i/login"),
9.                         new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
10.                 )
11.         )
12.         .oauth2ResourceServer((resourceServer) -> resourceServer.jwt(Customizer.withDefaults()));
13.         return http.build();
14. }

复制代码

注意事项之在代码 new LoginUrlAuthenticationEntryPoint(domain + "/auth/i/login") 中

• domain 变量仅在有需要的情况下使用，也可以不用
  
• 构造函数中的地址，一定一定要与上一章节中的 loginPage 地址相同，不要被 xxxEntryPoint 迷惑，这里就是指登录页地址！
  

六、其他

自定义授权确认页面不在此篇幅范围之内，这个版本当客户端请求的 role 是一个值的时候不会出现授权确认页面。
我解决这种自定义问题的思路：

研究 Spring Security 的配置方式，如：SecurityBuilder,SecurityConfiger，从而找到自己出现问题所在的步骤，针对性的去调整

看到这里，希望对你有所帮助。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！