spring security起步三:自定义登录配置与form-login属性详解
来源:互联网 发布:形容很厉害的网络语 编辑:程序博客网 时间:2024/04/30 19:13
在上一篇博客spring security起步二:自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题:
1.spring security如何对登录请求进行拦截
2.登录成功后如何跳转
3.登录失败后如何跳转
form-login属性详解
form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性:
1. login-page 自定义登录页url,默认为/login
2. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action
3. default-target-url 默认登录成功后跳转的url
4. always-use-default-target 是否总是使用默认的登录成功后跳转url
5. authentication-failure-url 登录失败后跳转的url
6. username-parameter 用户名的请求字段 默认为userName
7. password-parameter 密码的请求字段 默认为password
8. authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用
9. authentication-success-forward-url 用于authentication-failure-handler-ref
10. authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求
11. authentication-failure-forward-url 用于authentication-failure-handler-ref
12. authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用
spring security登录相关的过滤器
首先应注意的一点是,spring security 3.x 默认的登录拦截URL是/j_spring_security_check,而spring security 4.x默认拦截的URL是/login。在spring security中,具体处理表单登录验证的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一个过滤器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用于在没有指定登录页时动态生成一个默认登录页
登录配置
登录页面 login.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%><!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body onload='document.f.username.focus();'> <h3>Login with Username and Password</h3> <form name='f' action='${pageContext.request.contextPath }/login' method='POST'> <table> <tr> <td>User:</td> <td><input type='text' name='username' value=''></td> </tr> <tr> <td>Password:</td> <td><input type='password' name='password' /></td> </tr> <tr> <td colspan='2'><input name="submit" type="submit" value="Login" /></td> </tr> </table> </form></body></html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
登录成功页面 index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%><!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body> 登录成功</body></html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
登录失败页面 login-failure.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%><!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body> 登录失败</body></html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
页面配置完成,剩下的就是映射url到具体的页面
登录成功页面映射 HelloController.java
@Controllerpublic class HelloController { @RequestMapping(value={"/welcome","/"},method=RequestMethod.GET) public String welcome(){ return "index"; }}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
登录页面及登录失败页面映射 LoginController.java
@Controllerpublic class LoginController { @RequestMapping(value = "/login", method = RequestMethod.GET) public String loginPage(@RequestParam(value = "error", required = false) String error, Model model) { if (error != null) { return "login-failure"; } return "login"; }}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
spring security配置 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?><bean:beans xmlns="http://www.springframework.org/schema/security" xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <http pattern="/login" security="none"></http> <http auto-config="true" use-expressions="true"> <intercept-url pattern="/*" access="hasRole('ROLE_USER')" /> <form-login login-page="/login" login-processing-url="/login" always-use-default-target="true" default-target-url="/welcome" authentication-failure-url="/login?error=error" /> </http> <authentication-manager alias="authenticationManager"> <authentication-provider> <user-service> <user authorities="ROLE_USER" name="guest" password="guest" /> </user-service> </authentication-provider> </authentication-manager></bean:beans>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
现在,配置基本完成,启动项目后,在登录页面输入用户名和密码,不管正确与否都会有405错误Request method ‘POST’ not supported。为什么会出现这个错误呢?
登录请求405错误
在登录请求中出现405错误,其实是我们在配置过程中,spring mvc和spring security出现了一点冲突导致的。
首先,请注意下面这两个配置段
<http pattern="/login" security="none"></http>
- 1
<form-login login-page="/login" login-processing-url="/login" ......
- 1
第一个配置告诉spring security,类似于/login的url请求不做过滤处理,而第二个配置信息又告诉spring security url为/login的post请求登录请求处理。正是这种冲突导致了405错误的发生。
既然知道了错误原因,那么只要避免冲突就能解决这个问题:使登录页的请求和登录处理的请求不一致,然后只配置登录页的请求不做拦截处理.
我采用的方法是使用默认的登录URL /login,修改登录页面跳转url为/loginPage。请自行修改代码和配置信息
这样是不是就大工告成了呢?很遗憾,当你启动程序时,输出用户名和密码,不管正确与否,都会有404 Not Found等着你,这又是为什么呢?
登录请求404错误
首先,建议你看一下spring security自动生成的登录页源码,你会发现有如下代码
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
- 1
对于什么是csrf,请自行参考网上的资料。
spring security默认情况下csrf protection是开启的,由于我们的登录页没有配置csrf的相关信息,因此spring security内置的过滤器将此链接置为无效链接
解决办法就是配置csrf protection为不可用状态,在配置文件中增加
<csrf disabled="true"/>
- 1
附上完整的spring-security.xml
<?xml version="1.0" encoding="UTF-8"?><bean:beans xmlns="http://www.springframework.org/schema/security" xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <http pattern="/loginPage" security="none"></http> <http auto-config="true" use-expressions="true"> <intercept-url pattern="/*" access="hasRole('ROLE_USER')" /> <form-login login-page="/loginPage" login-processing-url="/login" always-use-default-target="true" default-target-url="/welcome" authentication-failure-url="/loginPage?error=error" /> <csrf disabled="true"/> </http> <authentication-manager alias="authenticationManager"> <authentication-provider> <user-service> <user authorities="ROLE_USER" name="guest" password="guest" /> </user-service> </authentication-provider> </authentication-manager></bean:beans>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
到此为止,大功告成
源码下载
源码下载地址https://github.com/SmallBadFish/spring_security_demo/archive/0.1.1-customlogin.zip
- spring security起步三:自定义登录配置与form-login属性详解
- spring security起步三:自定义登录配置与form-login属性详解
- spring security起步三:自定义登录配置与form-login属性详解
- spring security起步四:退出登录配置以及logout属性详解
- spring security起步四:退出登录配置以及logout属性详解
- spring security中如何弹出登录模态框(form login与ajax login并存)
- Spring Security Form Login
- spring security起步二:自定义登录页
- spring security起步二:自定义登录页
- Spring Security自定义Login
- Spring Security form login using database
- Spring Security Custom Login Form Example
- Spring Security Custom Login Form Annotation Example
- Spring Security form login using database
- spring security 实现form-login功能
- Spring Security学习二 - 自定义Login方法
- spring security 4.1 中自定义登录界面和扩展login controller
- Spring Security 自定义登录验证与自定义回调地址
- 最大公约数gcd、最小公倍数lcm
- 关于边缘计算
- mina框架详解
- [ACM模板]单源最短路SPFA
- vue开发常见错误总结
- spring security起步三:自定义登录配置与form-login属性详解
- HTML5+API 的调用相册参数属性
- AudioRecode和AudioTrack(示例)
- 《Spring技术内幕》学习笔记5——IoC容器的依赖注入
- Cg语言中文说明文档(三)
- I2C总线协议
- git --- fatal: pathspec 'readme.txt' did not match any files
- alpha-beta剪枝算法解决 486. Predict the Winner
- 百度离线API地图调用示例源码功能