spring security起步三:自定义登录配置与form-login属性详解
来源:互联网 发布:瓦格宁根大学硕士知乎 编辑:程序博客网 时间:2024/04/30 23:12
在上一篇博客spring security起步二:自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题:
1.spring security如何对登录请求进行拦截
2.登录成功后如何跳转
3.登录失败后如何跳转
form-login属性详解
form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性:
1. login-page 自定义登录页url,默认为/login
2. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action
3. default-target-url 默认登录成功后跳转的url
4. always-use-default-target 是否总是使用默认的登录成功后跳转url
5. authentication-failure-url 登录失败后跳转的url
6. username-parameter 用户名的请求字段 默认为userName
7. password-parameter 密码的请求字段 默认为password
8. authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用
9. authentication-success-forward-url 用于authentication-failure-handler-ref
10. authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求
11. authentication-failure-forward-url 用于authentication-failure-handler-ref
12. authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用
spring security登录相关的过滤器
首先应注意的一点是,spring security 3.x 默认的登录拦截URL是/j_spring_security_check,而spring security 4.x默认拦截的URL是/login。在spring security中,具体处理表单登录验证的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一个过滤器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用于在没有指定登录页时动态生成一个默认登录页
登录配置
登录页面 login.jsp
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
登录成功页面 index.jsp
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
登录失败页面 login-failure.jsp
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
页面配置完成,剩下的就是映射url到具体的页面
登录成功页面映射 HelloController.java
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
登录页面及登录失败页面映射 LoginController.java
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
spring security配置 spring-security.xml
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
现在,配置基本完成,启动项目后,在登录页面输入用户名和密码,不管正确与否都会有405错误Request method ‘POST’ not supported。为什么会出现这个错误呢?
登录请求405错误
在登录请求中出现405错误,其实是我们在配置过程中,spring mvc和spring security出现了一点冲突导致的。
首先,请注意下面这两个配置段
- 1
- 1
第一个配置告诉spring security,类似于/login的url请求不做过滤处理,而第二个配置信息又告诉spring security url为/login的post请求登录请求处理。正是这种冲突导致了405错误的发生。
既然知道了错误原因,那么只要避免冲突就能解决这个问题:使登录页的请求和登录处理的请求不一致,然后只配置登录页的请求不做拦截处理.
我采用的方法是使用默认的登录URL /login,修改登录页面跳转url为/loginPage。请自行修改代码和配置信息
这样是不是就大工告成了呢?很遗憾,当你启动程序时,输出用户名和密码,不管正确与否,都会有404 Not Found等着你,这又是为什么呢?
登录请求404错误
首先,建议你看一下spring security自动生成的登录页源码,你会发现有如下代码
- 1
对于什么是csrf,请自行参考网上的资料。
spring security默认情况下csrf protection是开启的,由于我们的登录页没有配置csrf的相关信息,因此spring security内置的过滤器将此链接置为无效链接
解决办法就是配置csrf protection为不可用状态,在配置文件中增加
- 1
附上完整的spring-security.xml
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
到此为止,大功告成
源码下载
源码下载地址https://github.com/SmallBadFish/spring_security_demo/archive/0.1.1-customlogin.zip
- spring security起步三:自定义登录配置与form-login属性详解
- spring security起步三:自定义登录配置与form-login属性详解
- spring security起步三:自定义登录配置与form-login属性详解
- spring security起步四:退出登录配置以及logout属性详解
- spring security起步四:退出登录配置以及logout属性详解
- spring security中如何弹出登录模态框(form login与ajax login并存)
- Spring Security Form Login
- spring security起步二:自定义登录页
- spring security起步二:自定义登录页
- Spring Security自定义Login
- Spring Security form login using database
- Spring Security Custom Login Form Example
- Spring Security Custom Login Form Annotation Example
- Spring Security form login using database
- spring security 实现form-login功能
- Spring Security学习二 - 自定义Login方法
- spring security 4.1 中自定义登录界面和扩展login controller
- Spring Security 自定义登录验证与自定义回调地址
- 【caffe】标准数据层输入
- C#学习笔记3-值类型和引用类型
- 一首小诗
- 安卓开发-Activity的生命周期+任务栈
- Android 带双向认证的Retrofit基础使用
- spring security起步三:自定义登录配置与form-login属性详解
- 栈的代码
- dwr上传文件
- app 安全测试概览
- ngrok一款内网穿透+记录HTTP请求的神器(支持HTTPS)
- Android学习笔记10---Intent
- vue项目打包后打开空白解决办法
- 训练集---dp崭露头角篇
- NOIP 考前提醒