2. 程式人生 > >spring security起步三:自定義登入配置與form-login屬性詳解

spring security起步三:自定義登入配置與form-login屬性詳解

阿新 發佈:2018-12-31

在上一篇部落格spring security起步二:自定義登入頁中我們實現瞭如何自定義登入頁,但是還存在很多問題:
1.spring security如何對登入請求進行攔截
2.登入成功後如何跳轉
3.登入失敗後如何跳轉

form-login屬性詳解

form-login是spring security名稱空間配置登入相關資訊的標籤,它包含如下屬性:
1. login-page 自定義登入頁url,預設為/login
2. login-processing-url 登入請求攔截的url,也就是form表單提交時指定的action
3. default-target-url 預設登入成功後跳轉的url
4. always-use-default-target 是否總是使用預設的登入成功後跳轉url
5. authentication-failure-url 登入失敗後跳轉的url
6. username-parameter 使用者名稱的請求欄位 預設為userName
7. password-parameter 密碼的請求欄位 預設為password
8. authentication-success-handler-ref 指向一個AuthenticationSuccessHandler用於處理認證成功的請求,不能和default-target-url還有always-use-default-target同時使用
9. authentication-success-forward-url 用於authentication-failure-handler-ref
10. authentication-failure-handler-ref 指向一個AuthenticationFailureHandler用於處理失敗的認證請求
11. authentication-failure-forward-url 用於authentication-failure-handler-ref
12. authentication-details-source-ref 指向一個AuthenticationDetailsSource,在認證過濾器中使用

spring security登入相關的過濾器

首先應注意的一點是,spring security 3.x 預設的登入攔截URL是/j_spring_security_check,而spring security 4.x預設攔截的URL是/login。在spring security中,具體處理表單登入驗證的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一個過濾器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用於在沒有指定登入頁時動態生成一個預設登入頁

登入配置

登入頁面 login.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body onload='document.f.username.focus();'
 
>
    <h3>Login with Username and Password</h3>
    <form name='f' action='${pageContext.request.contextPath }/login'
        method='POST'>
        <table>
            <tr>
                <td>User:</td>
                <td><input type='text' name='username' value=''></td>
            </tr>
            <tr>
                <td>Password:</td>
                <td><input type='password' name='password' /></td>
            </tr>
            <tr>
                <td colspan='2'><input name="submit" type="submit"
                    value="Login" /></td>
            </tr>
        </table>
    </form>
</body>
</html>

登入成功頁面 index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    登入成功
</body>
</html>
登入失敗頁面 login-failure.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    登入失敗
</body>
</html>

頁面配置完成,剩下的就是對映url到具體的頁面

登入成功頁面對映 HelloController.java
@Controller
public class HelloController {

    @RequestMapping(value={"/welcome","/"},method=RequestMethod.GET)
    public String welcome(){
        return "index";
    }
}
登入頁面及登入失敗頁面對映 LoginController.java
@Controller
public class LoginController {

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String loginPage(@RequestParam(value = "error", required = false) String error, Model model) {
        if (error != null) {
            return "login-failure";
        }
        return "login";
    }
}
spring security配置 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/login" security="none"></http>

    <http auto-config="true" use-expressions="true">
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
        <form-login login-page="/login" login-processing-url="/login" always-use-default-target="true"
            default-target-url="/welcome" authentication-failure-url="/login?error=error" />
    </http>
    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user authorities="ROLE_USER" name="guest" password="guest" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</bean:beans>

現在,配置基本完成,啟動專案後,在登入頁面輸入使用者名稱和密碼,不管正確與否都會有405錯誤Request method ‘POST’ not supported。為什麼會出現這個錯誤呢?

登入請求405錯誤

在登入請求中出現405錯誤,其實是我們在配置過程中,spring mvc和spring security出現了一點衝突導致的。

首先,請注意下面這兩個配置段

<http pattern="/login" security="none"></http>
<form-login login-page="/login" login-processing-url="/login" ......

第一個配置告訴spring security,類似於/login的url請求不做過濾處理,而第二個配置資訊又告訴spring security url為/login的post請求登入請求處理。正是這種衝突導致了405錯誤的發生。

既然知道了錯誤原因,那麼只要避免衝突就能解決這個問題:使登入頁的請求和登入處理的請求不一致,然後只配置登入頁的請求不做攔截處理.

我採用的方法是使用預設的登入URL /login,修改登入頁面跳轉url為/loginPage。請自行修改程式碼和配置資訊

這樣是不是就大工告成了呢?很遺憾,當你啟動程式時,輸出使用者名稱和密碼,不管正確與否,都會有404 Not Found等著你,這又是為什麼呢?

登入請求404錯誤

首先,建議你看一下spring security自動生成的登入頁原始碼,你會發現有如下程式碼

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />

對於什麼是csrf,請自行參考網上的資料。

spring security預設情況下csrf protection是開啟的,由於我們的登入頁沒有配置csrf的相關資訊,因此spring security內建的過濾器將此連結置為無效連結

解決辦法就是配置csrf protection為不可用狀態,在配置檔案中增加

<csrf disabled="true"/>

附上完整的spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/loginPage" security="none"></http>

    <http auto-config="true" use-expressions="true">
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
        <form-login login-page="/loginPage" login-processing-url="/login" always-use-default-target="true"
            default-target-url="/welcome" authentication-failure-url="/loginPage?error=error" />
            <csrf disabled="true"/>
    </http>
    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user authorities="ROLE_USER" name="guest" password="guest" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</bean:beans>

到此為止,大功告成

原始碼下載

相關推薦

spring security起步定義登入配置form-login屬性

在上一篇部落格spring security起步二:自定義登入頁中我們實現瞭如何自定義登入頁,但是還存在很多問題: 1.spring security如何對登入請求進行攔截 2.登入成功後如何跳轉 3.登入失敗後如何跳轉 form-login屬性詳解

Spring Security教程(四)定義登入

在前面的例子中,登陸頁面都是用的Spring Security自己提供的,這明顯不符合實際開發場景,同時也沒有退出和登出按鈕,因此在每次測試的時候都要通過關閉瀏覽器來登出達到清除session的效果。 一、自定義頁面 login.jsp: <%@ page language="

idea+maven + spring security +springmvc入門 (定義登入頁面),附idea如何建立web專案

第一次使用idea,上午在eclipse中 學習了spring security 入門,下午試試在idea中搭建。 剛開始 我以為 直接將eclipse的 檔案 copy過來就行了,結果發現copy過來以後 各種報錯。 後來把m

Spring Security教程(五)定義過濾器從資料庫從獲取資源資訊

  在之前的幾篇security教程中,資源和所對應的許可權都是在xml中進行配置的,也就在http標籤中配置intercept-url,試想要是配置的物件不多,那還好,但是平常實際開發中都往往是非常多的資源和許可權對應,而且寫在配置檔案裡面寫改起來還得該原始碼配置檔案,這顯然是不好的。因此接下來

Spring Security教程(六)定義過濾器進行認證處理

這裡接著上篇的自定義過濾器,這裡主要的是配置自定義認證處理的過濾器,並加入到FilterChain的過程。 在我們自己不在xml做特殊的配置情況下,security預設的做認證處理的過濾器為UsernamePasswordAuthenticationFilter,通過檢視原始碼知道,做認證處理的方法為att

Angular定義指令之compile, link, controller屬性及例項演示

本文章主要就angularjs指令中的compile,link及controller函式的使用和區別進行詳細討論。以下是本文的結構: directive的執行原理 compile用法 link 用法 controller 用法 compile,link及co

Spring Security 定義登入驗證定義回撥地址

1 配置檔案 security-ns.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/b

spring security起步退出登入配置以及logout屬性

使用者退出登入實質是使當前登入使用者的session失效的操作。一般來說,使用者退出後,將會被重定向到站點的非安全保護頁,比如登入頁面. 使用者退出功能實現 增加hader.jsp <%@ page language="java" con

CSS學習筆記定義單選框,復選框,開關

sla checked 移動 transform 第一個 16px 位移 block back 一點一點學習CCS,這次學習了如何自定義單選框,復選框以及開關。 一、單選框 1、先寫好body裏面的樣式,先寫幾個框 1 <body> 2 <d

[Doctrine Migrations] 數據庫遷移組件的深入解析定義數據字段類型

con 組件 extends arr TP value ctr ets field 自定義type 根據官方文檔,新建TinyIntType類,集成Type,並重寫getName,getSqlDeclaration,convertToPHPValue,getBindingT

ROS學習筆記()定義話題的程式設計

前言:ros給我們提供了眾多的訊息結構,但是更多時候我們需要根據自己的研發需求定義自己的訊息結構。 一、檢視ros自帶的訊息結構 我們最常用的一個訊息結構就是std_msgs,那麼怎麼檢視這個訊息結構支援可以定義哪些資料型別呢? 我們使用roscd std_msgs/這個命令開啟該訊息結

MVC系列——MVC原始碼學習打造自己的MVC框架(定義路由規則)

前言:上篇介紹了下自己的MVC框架前兩個版本,經過兩天的整理,版本三基本已經完成,今天還是發出來供大家參考和學習。雖然微軟的Routing功能已經非常強大,完全沒有必要再“重複造輪子”了,但博主還是覺得自己動手寫一遍印象要深刻許多,希望想深入學習MVC的童鞋自己動手寫寫。好了,廢話就此打住。 MVC原始

深入講解iOS鍵盤定義鍵盤的兩種方法

iOS系統提供了多種鍵盤,我們可以通過Enum型別設定。但有的時候由於某些特殊業務的需要,我們不得不自定義鍵盤,比如某些銀行的APP處於安全考慮,他們鍵盤數字的位置是隨機的,這個時候只能自定義鍵盤。幸運的是,iOS也為我們提供了多種方式自定義鍵盤。我們可以根據自身情況選擇合適

彈窗之定義Dialog

第一步: 給Dialog設定一個風格主題 (基本都是用這個主題)無邊框全透明背景: res/values/styles: <!--自定義dialog背景全透明無邊框theme --> <style name="MyDi

android中的對話方塊之定義對話方塊

首先看下效果圖 下面講一下具體的實現: 1.修改系統預設的Dialog樣式(風格、主題) 2.自定義Dialog佈局檔案 3.可以自己封裝一個類,繼承自Dialog或者直接使用Dialog類來實現,為了方便以後重複使用,建議自己封裝一個Dialog類 ==

spring security 3 中使用定義資料庫來設定許可權

參考文件: http://wenku.baidu.com/view/4ec7e324ccbff121dd368364.html 在spring security3中使用自己定義的資料結構來實現許可權設

spring boot(定義啟動器 swagger2

開發十年,就只剩下這套架構體系了! >>>   

Spring security筆記4/4: 定義成功和失敗

自定義成功和失敗 還是在之前示例的基礎上,將認證成功跳轉頁面,修改為認證成功返回資料。 實現步驟 1. 複製上一示例的原始碼

snownlp定義訓練樣本模型儲存

snownlp包,是中文自然語言處理的一個Python包,可以用來處理分詞、情感分析等。 安裝該包之後,在各個功能目錄下預設會有一個訓練好的模型,當我們呼叫諸如情感分析的功能時,會使用該模型進行情感預測。然而,如果我們有自己的語料庫可以用來訓練,則可以大大提高預測的準確率。

Gradle For Android系列2定義Build配置

在上一章節中我們學習了Gradle的用法,以及如何建立Android專案以及如何從Eclipse中將專案轉換到Android Studio中。這一章節將介紹構建檔案配置的更多細節,以及一些有用的構建任務,並深入Gradle的Android外掛。 在本章中,