一、前言

    我這幾天看到檢視這篇博文的人比較多，特意更新了兩種解決第二個問題辦法。

    這兩天看隔壁組專案，由於我自己專案和他們專案一樣使用的Spring boot基礎框架，想看看有什麼值得學習的地方，結果就看到人家的登入表單可以正常分GET和POST提交，也沒做什麼特別的處理，唯一的區別就是人是用Ajax中並submit方法提交的。當時我的專案在登入模組也分GET和POST兩種請求方式的控制層方法。但我的POST方法直接通過表單形式提交的話會有本文標題的問題。

二、問題分析與解決

1. 您訪問主頁，然後單擊連結。
2. 請求轉到伺服器，伺服器確定您已請求受保護的資源。
3. 由於您目前尚未通過身份驗證，因此伺服器會發回一個響應，指示您必須進行身份驗證。響應將是HTTP響應程式碼，或重定向到特定網頁。
4. 根據身份驗證機制，您的瀏覽器將重定向到特定的網頁，以便您可以填寫表單，或者瀏覽器將以某種方式檢索您的身份（通過BASIC身份驗證對話方塊，cookie，X.509證書等） ）。
5. 瀏覽器將向伺服器發回響應。這將是包含您填寫的表單內容的HTTP POST，或者包含您的身份驗證詳細資訊的HTTP標頭。
6. 接下來，伺服器將決定所呈現的憑證是否有效。如果它們有效，則下一步將會發生。如果它們無效，通常會要求您的瀏覽器再次嘗試（因此您將返回上面的第二步）。
7. 將重試您進行身份驗證過程的原始請求。希望您已通過足夠授權的許可權進行身份驗證以訪問受保護資源。如果您有足夠的訪問許可權，請求將成功。否則，您將收到HTTP錯誤程式碼403，這意味著“禁止”。

     這裡說的很清楚是可以POST請求方式傳到後臺的。結合文件中關於CSRF的介紹，基本可以確定是CRSF機制轉發後POST變成了GET（這句沒錯，但是有坑）。

    處理這種CSRF問題(此處可以解決POST請求報403的錯誤)有多種解決方案，如下：

    第一種方法，也是官方推薦使用的。form 表單使用 th:action 屬性， thymeleaf 會自動在 form 表單中生成 _csrf 隱藏域

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
 ...
    <form class="form-signin" th:action="@{login}" action="login" method="post">
    ...
    </form>
 ...
 

    第二種方法，手動新增隱藏域。

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

     第三種方法，加在請求頭部分

    <meta name="_csrf" th:content="${_csrf.token}"/>
    <meta name="_csrf_header" th:content="${_csrf.headerName}"/>

    第四種辦法，直接禁掉CSRF.。這個方法太極端。禁用方式不放出來了，總之強烈不推薦。

    第五種辦法，增加例外，讓CSRF直接通過。

http.csrf().ignoringAntMatchers("/login")

POST請求403的問題通過設定以上引數就可以解決了

下面解決POST登入表單直接提交後臺接收時變成GET的問題

    還記得上面講到CRSF時說的坑嗎？上面我們懷疑是POST表單提交後經由CRSF機制轉發後最終提交給後臺的是GET請求方式，由於不能正確提交登入資訊，導致不管怎樣反覆會跳到登入頁面。

   在說這個問題前，先列舉兩個它的野路子解法。最後再分析官方解法。

A、.do應用解決

原始碼如下：

頁面

<form class="form-signin" th:action="@{login}" action="login" method="post">
            <div class="form-group">
                <label for="username">賬號</label>
                <input type="text" class="form-control" name="username" value="" placeholder="賬號"/>
            </div>
            <div class="form-group">
                <label for="password">密碼</label>
                <input type="password" class="form-control" name="password" placeholder="密碼"/>
            </div>
            <input type="submit" id="login" value="Login" class="btn btn-primary"/>
        </form>

控制層

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

import com.music.league.service.SignManager;

@Controller
public class SignController {
	
	@Resource
	SignManager signManager;
	
	@RequestMapping(value="/login",method = RequestMethod.GET)
	public String sign(){
		System.out.println("Judge!!");
		return "login";
	}
	@RequestMapping(value="/login",method = RequestMethod.POST)
	public String sign(HttpServletRequest request){
		System.out.println("登入方法入參："+request.getParameter("userName")+":"+request.getParameter("password"));
		return "welcome";
	}
}

SpringMVC配置

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
	@Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login").setViewName("login");
    }
	@Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }
}

Spring security配置

 http.authorizeRequests()
		.anyRequest().authenticated()
		.and().formLogin()
		.loginPage("/login")
		//設定預設登入成功跳轉頁面
		.defaultSuccessUrl("/welcome").failureUrl("/login?error").permitAll()

把上述幾處login的請求，除了控制層的POST方式登入方法和 th:action="@{login}，其他的login都改成login.do。這樣做是為了通過除請求Method屬性外的第二種辦法去區分開get和post請求的不同。

B、引數差異

   這種方法是基於上面web請求鏈第二步請求本身無參的性質硬搞。當login方法無參時，自動處理走GET，大家和和美美。當有參時，手動寫邏輯去掉POST。不過可能會有安全問題，所以不太推薦。   

聽說用ModelAndView也可以解決，我簡單試了一下，好像不行哦。anyway，野路子解法到此為止。

正經的問題本質原因，如下：

    在翻看Spring security5.0官方文件的時候，發現文件中提到Spring security特別為大家提供了一個登入驗證表單(具體哪句找不到了，文件連線點我)，傾力奉獻撒！繼續讀文件，通過前後文的聯絡，官方的表單頁面程式碼大概是這樣的（這段程式碼在文件5.3節末尾）：

<c:url value="/login" var="loginUrl"/>
<form action="${loginUrl}" method="post">       1
	<c:if test="${param.error != null}">        2
		<p>
			Invalid username and password.
		</p>
	</c:if>
	<c:if test="${param.logout != null}">       3
		<p>
			You have been logged out.
		</p>
	</c:if>
	<p>
		<label for="username">Username</label>
		<input type="text" id="username" name="username"/>	4
	</p>
	<p>
		<label for="password">Password</label>
		<input type="password" id="password" name="password"/>	5
	</p>
	<input type="hidden"                        6
		name="${_csrf.parameterName}"
		value="${_csrf.token}"/>
	<button type="submit" class="btn">Log in</button>
</form>

    看到官方這麼貼心，然後我的表單整體樣式和它基本一致，就再次仔細看了一下。發現除了我的頁面寫的是loginName其他沒區別。於是抱著試一試的態度改成username。MMP，完美的POST請求進入控制層POST請求登入方法。MMP...要不要限制這麼死？CRSF底層實現我找不到，但問題就是在這個特殊的登入，官方給登入做了特別處理。

    經過進一步的驗證發現即使實體中寫的是userName或者loginName，只要你想在登入模組直接通過表單方式提交的話，就必須是username。

    如果改了名字還是無效，那麼還有兩個解決方法。就是改為小寫的username後，執行下面兩個方法之一。推薦第二個。

    第一個辦法是手動給指定一下登入請求的處理。就是在loginPage後面加一個loginProcessingUrl，內容是你登陸方法的控制層RequestMapping中的value和登入方法。如果你沒有寫RequestMapping的話，那就是控制層的Spring自動轉換值，一般是去掉Contrller的駝峰命名。比如SignController，這裡寫sign就行。

    第二個辦法是把defaultSuccessUrl改為successForwardUrl，這個辦法的原理就是把直接跳轉頁面改為跳轉後臺方法。defaultSuccessUrl("/login")改為successForwardUrl("/sign/login")。建議用這個，因為這個依舊會照常按security過濾器鏈自動載入許可權，第一個需要手動新增許可權，否則一直是匿名。

.loginPage("/login").loginProcessingUrl("/sign/login")

三、注意事項

    .do的應用解決也要把登入名改成小寫的username，官方的3.x版本文件寫的是must，否則無法通過表達提交