Spring Security 玩出花！两种方式 DIY 登录

在大多数情况下，我们使用Spring Security自带的登录方案，这种方式简单方便，被认为是最佳实践。但是，有时候我们可能需要自定义登录逻辑，本文由松哥分享了如何在Spring Security中实现自定义登录逻辑的两种方法。

1. 方法一：使用HttpServletRequest

松哥首先介绍了通过HttpServletRequest来完成系统登录的方法。这种方法虽然不常见，但是很有趣。具体操作步骤如下：

• 创建一个Spring Boot工程，引入Web和Security依赖。
• 在application.properties中配置默认用户名和密码。
• 提供一个SecurityConfig，为登录接口放行。
• 创建一个LoginController，并在其中使用HttpServletRequest#login方法完成登录操作。
• 提供一个测试接口HelloController。

启动项目后，访问登录接口执行登录操作，登录成功后，其他接口可以正常访问。

1.2 原理分析

HttpServletRequest中提供的登录API在Spring Security中被重新实现。具体来说，HttpServletRequest#login和HttpServletRequest#authenticate方法在Spring Security中被重写，以实现自定义的认证逻辑。

2. 方法二：直接使用AuthenticationManager

了解了HttpServletRequest的原理后，第二种方法是直接使用AuthenticationManager进行登录验证，而不是使用HttpServletRequest#login方法。具体操作步骤如下：

• 修改SecurityConfig配置类，添加AuthenticationManager Bean。
• 在LoginController中，使用AuthenticationManager#authenticate方法验证用户名和密码。
• 验证成功后，将返回的认证后的Authentication对象手动存入SecurityContextHolder中。

重启项目并测试登录功能，确认第二种方法有效。

3. 小结

本文介绍了两种Spring Security DIY登录方案。虽然这些方案在工作中可能不常用，但它们有助于我们理解Spring Security的原理。对于想深入了解的读者，可以尝试这些方法，并参考松哥的其他相关文章或新书《深入浅出Spring Security》。