Spring boot + Spring security でのログイン画面で直前のURLを取得したい

前提・実現したいこと

あるページへのURLを直接入力した場合に、
ユーザがログインしていない場合は一旦ログイン画面を経由するようになっていますが、
そのログイン画面を表示する際に直接入力されたURLやパラメータを受け取る方法はありますでしょうか？

入力したURL
...../hogehoge/any_page/?param_a=123
表示されるログイン画面のURL
...../hogehoge/login

ログインコントローラ

java
1@Controller
2public class LoginController {
3    @RequestMapping(value = "/login", method = RequestMethod.GET)
4    public String login(@RequestParam(name = "param_a", required = false) String paramA, Model model) {
5        //ここで param_a や 123 といったquerystringに関する値が欲しい
6        return "login";
7    }
8}

Security の設定

java
1public static class LoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
2    @Override
3    protected void configure(HttpSecurity http) throws Exception {
4         //ログインに関する設定
5            http.formLogin()
6                .loginProcessingUrl("/login/auth")
7                .loginPage("/login")
8                .successHandler(successHandler)
9                .failureHandler(failureHandler)
10            ;
11    }
12}

退会済みユーザー

2020/02/06 06:19

標準で戻るようになってると思うが

chu-mo

2020/02/06 06:24

戻るというのは、ログイン後にURLが元に戻るといったような状態でしょうか？もしそちらの意味でしたら問題はないのですが、「ログイン画面を表示時」に「入力されたURLを知りたい」のです。

rubytomato

2020/02/06 09:35

要件をもう少し詳しく教えて頂きたいのですが、 (1) 下記は認証が必要なページであり ``` http://localhost/hogehoge/any_page/?param_a=123 ``` (2) ユーザが未認証の状態で、たとえばブックマークから(1)のページに直接アクセスした場合 (3) リダイレクトされたログインページ(/login)のハンドラメソッド（LoginController#login）で、(1)のクエリストリングを知りたい (4) 補足すると、認証成功後は (1)のページへリダイレクトする。ということでしょうか？

chu-mo

2020/02/06 09:47

はい、その通りです。どんなURLにアクセスしたかで、ログイン画面を表示する際にいくつか表示の分岐を行いたいのです。

行動規範の内容に同意します

回答1件

ベストアンサー

Spring Securityではフォームベースの認証成功後のリダイレクト先をセッションに格納しています。
なので、セッションよりその情報を取得することで要件を満たす実装ができると思います。

例えば、認証が必要な下記のURLに未認証状態でアクセスした場合

http://localhost:8080/hogehoge/any_page/?param_a=123

↓ ログインページ

http://localhost:8080/hogehoge/login

ログインページのハンドラメソッドで、そのURLの情報を取得するにはHttpServletRequestとHttpSessionを使用します。
実装例は下記の通りです。

java
1@RequestMapping(value = "/login", method = RequestMethod.GET)
2public String login(Model model, HttpServletRequest req) {
3
4    HttpSession session = req.getSession(false);
5    if (session != null) {
6        SavedRequest savedRequest = (SavedRequest) session.getAttribute("SPRING_SECURITY_SAVED_REQUEST");
7        if (savedRequest != null) {
8            // 認証成功後のリダイレクト先
9            String redirectUrl = savedRequest.getRedirectUrl();
10            System.out.println(redirectUrl);
11            // → http://localhost:8080/hogehoge/any_page/?param_a=123
12
13            // クエリパラメータ
14            Map<String, String[]> params = savedRequest.getParameterMap();
15            String[] values = params.get("param_a");
16            System.out.println(values);
17            // → 123
18        }
19    }
20
21    return "login";
22}

ポイントとなるところは下記の行です。
セッションにSPRING_SECURITY_SAVED_REQUESTという名前で、元のリクエストオブジェクト(SavedRequest)が登録されています。

java
1SavedRequest savedRequest = (SavedRequest) session.getAttribute("SPRING_SECURITY_SAVED_REQUEST");

SavedRequestのgetRedirectUrlメソッドで認証後のリダイレクト先URL、getParameterMapメソッドでパラメータを取得できます。

java
1String redirectUrl = savedRequest.getRedirectUrl();
2
3Map<String, String[]> params = savedRequest.getParameterMap();
4String[] values = params.get("param_a");

なお、この仕組み（認証後のリダイレクト）についてはSavedRequest s and the RequestCache Interfaceをご覧頂き、とくに**「ベストエフォート」アプローチ**という点、ご留意ください。

Under normal circumstances, you shouldn’t need to modify any of this functionality, but the saved-request handling is a "best-effort" approach and there may be situations which the default configuration isn’t able to handle. The use of these interfaces makes it fully pluggable from Spring Security 3.0 onwards.
------------------------------------------------------------------------------------
通常の状況では、この機能を変更する必要はありませんが、保存されたリクエストの処理は「ベストエフォート」アプローチであり、デフォルトの構成では処理できない状況もあります。これらのインターフェイスを使用すると、Spring Security 3.0以降から完全にプラグイン可能になります。

投稿2020/02/06 10:28

rubytomato

総合スコア1752

chu-mo

2020/02/07 01:45

ありがとうございます。同様の実装をしたところ目的のURLやパラメータを取得できました。１つ疑問に思ったのですが、 SavedRequest をセッションから取得するためのキー「SPRING_SECURITY_SAVED_REQUEST」はどうやってわかったのでしょうか？リンク先で検索をかけても見つけられなかったので

chu-mo

2020/02/07 02:11

すみません、自己解決できました。「HttpSEssion SavedRequest」で検索したところ、stackoverflowさんで見つけられました。 https://stackoverflow.com/questions/5389274/spring-security-3-get-initially-requested-url また、HttpSessionRequestCache のドキュメントに記載されていました。 https://docs.spring.io/spring-security/site/docs/4.2.13.RELEASE/apidocs/org/springframework/security/web/savedrequest/HttpSessionRequestCache.html#setSessionAttrName-java.lang.String- 答えが分かると見つけられますが、これが答えであると判断するのはまだまだ私には難しかったようです。ご教示ありがとうございました。

行動規範の内容に同意します