【SpringSecurity系列（四）】登录成功返回JSON数据

《深入浅出Spring Security》一书已经由清华大学出版社出版发行，提供了全面的Spring Security学习材料。此外，作者还制作了Spring Boot + Vue系列视频教程，供观众学习。

在讨论前后端分离开发中的认证问题时，有两种主要的登录方式：有状态登录和无状态登录。有状态登录使用session记录用户信息，适合简单场景但不支持集群部署。无状态登录则使用像JWT这样的token，这种方式对于移动应用更为适合，支持集群部署并减小服务器压力。实现无状态登录的流程包括用户认证、token生成、请求携带token以及服务端token验证等步骤。

登录交互是前后端分离中重要的一环，成功或失败的处理需要通过返回JSON数据，而不是页面跳转。登录成功可以使用successHandler来自定义返回的JSON数据，而登录失败可以使用failureHandler来返回错误信息。为了安全起见，Spring Security默认隐藏了用户名查找失败的异常，统一抛出BadCredentialsException，这样即使是新手也不会泄露详细的错误信息。

对于未认证的访问，不应该重定向到登录页，而应该返回一个提示JSON。可以通过自定义AuthenticationEntryPoint来实现这一点。注销登录同样，不应该跳转到登录页面，而应该返回注销成功的JSON提示。

总之，本文讲述了前后端分离中，基于JSON的登录交互，未认证处理和注销登录的处理方案，以及无状态登录与有状态登录的区别和实现方式。

读者如果对文章内容感兴趣，可以加作者微信进群交流Web安全。