spring security起步三：自定义登录配置与form-login属性详解

在上一篇博客spring security起步二：自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题： 
1.spring security如何对登录请求进行拦截 
2.登录成功后如何跳转 
3.登录失败后如何跳转

form-login属性详解

form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性： 
1. login-page 自定义登录页url,默认为/login 
2. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action 
3. default-target-url 默认登录成功后跳转的url 
4. always-use-default-target 是否总是使用默认的登录成功后跳转url 
5. authentication-failure-url 登录失败后跳转的url 
6. username-parameter 用户名的请求字段 默认为userName 
7. password-parameter 密码的请求字段 默认为password 
8. authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用 
9. authentication-success-forward-url 用于authentication-failure-handler-ref 
10. authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求 
11. authentication-failure-forward-url 用于authentication-failure-handler-ref 
12. authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用

spring security登录相关的过滤器

首先应注意的一点是,spring security 3.x 默认的登录拦截URL是/j_spring_security_check,而spring security 4.x默认拦截的URL是/login。在spring security中,具体处理表单登录验证的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一个过滤器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用于在没有指定登录页时动态生成一个默认登录页

登录配置

登录页面 login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"    pageEncoding="UTF-8"%><!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body onload='document.f.username.focus();'>    <h3>Login with Username and Password</h3>    <form name='f' action='${pageContext.request.contextPath }/login'        method='POST'>        <table>            <tr>                <td>User:</td>                <td><input type='text' name='username' value=''></td>            </tr>            <tr>                <td>Password:</td>                <td><input type='password' name='password' /></td>            </tr>            <tr>                <td colspan='2'><input name="submit" type="submit"                    value="Login" /></td>            </tr>        </table>    </form></body></html>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

登录成功页面 index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%><!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body>    登录成功</body></html>
1
2
3
4
5
6
7
8
9
10
11

登录失败页面 login-failure.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%><!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body>    登录失败</body></html>
1
2
3
4
5
6
7
8
9
10
11

页面配置完成,剩下的就是映射url到具体的页面

登录成功页面映射 HelloController.java

@Controllerpublic class HelloController {    @RequestMapping(value={"/welcome","/"},method=RequestMethod.GET)    public String welcome(){        return "index";    }}
1
2
3
4
5
6
7
8

登录页面及登录失败页面映射 LoginController.java

@Controllerpublic class LoginController {    @RequestMapping(value = "/login", method = RequestMethod.GET)    public String loginPage(@RequestParam(value = "error", required = false) String error, Model model) {        if (error != null) {            return "login-failure";        }        return "login";    }}
1
2
3
4
5
6
7
8
9
10
11

spring security配置 spring-security.xml

<?xml version="1.0" encoding="UTF-8"?><bean:beans xmlns="http://www.springframework.org/schema/security"    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">    <http pattern="/login" security="none"></http>    <http auto-config="true" use-expressions="true">        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />        <form-login login-page="/login" login-processing-url="/login" always-use-default-target="true"            default-target-url="/welcome" authentication-failure-url="/login?error=error" />    </http>    <authentication-manager alias="authenticationManager">        <authentication-provider>            <user-service>                <user authorities="ROLE_USER" name="guest" password="guest" />            </user-service>        </authentication-provider>    </authentication-manager></bean:beans>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

现在，配置基本完成,启动项目后,在登录页面输入用户名和密码,不管正确与否都会有405错误Request method ‘POST’ not supported。为什么会出现这个错误呢？

登录请求405错误

在登录请求中出现405错误,其实是我们在配置过程中,spring mvc和spring security出现了一点冲突导致的。

首先,请注意下面这两个配置段

<http pattern="/login" security="none"></http>
1

<form-login login-page="/login" login-processing-url="/login" ......
1

第一个配置告诉spring security,类似于/login的url请求不做过滤处理,而第二个配置信息又告诉spring security url为/login的post请求登录请求处理。正是这种冲突导致了405错误的发生。

既然知道了错误原因，那么只要避免冲突就能解决这个问题:使登录页的请求和登录处理的请求不一致,然后只配置登录页的请求不做拦截处理.

我采用的方法是使用默认的登录URL /login,修改登录页面跳转url为/loginPage。请自行修改代码和配置信息

这样是不是就大工告成了呢？很遗憾，当你启动程序时,输出用户名和密码,不管正确与否，都会有404 Not Found等着你,这又是为什么呢?

登录请求404错误

首先,建议你看一下spring security自动生成的登录页源码,你会发现有如下代码

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
1

对于什么是csrf,请自行参考网上的资料。

spring security默认情况下csrf protection是开启的,由于我们的登录页没有配置csrf的相关信息，因此spring security内置的过滤器将此链接置为无效链接

解决办法就是配置csrf protection为不可用状态,在配置文件中增加

<csrf disabled="true"/>
1

附上完整的spring-security.xml

<?xml version="1.0" encoding="UTF-8"?><bean:beans xmlns="http://www.springframework.org/schema/security"    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">    <http pattern="/loginPage" security="none"></http>    <http auto-config="true" use-expressions="true">        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />        <form-login login-page="/loginPage" login-processing-url="/login" always-use-default-target="true"            default-target-url="/welcome" authentication-failure-url="/loginPage?error=error" />            <csrf disabled="true"/>    </http>    <authentication-manager alias="authenticationManager">        <authentication-provider>            <user-service>                <user authorities="ROLE_USER" name="guest" password="guest" />            </user-service>        </authentication-provider>    </authentication-manager></bean:beans>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

到此为止,大功告成

源码下载

源码下载地址https://github.com/SmallBadFish/spring_security_demo/archive/0.1.1-customlogin.zip