spring security起步三:自定義登錄配置與form-login屬性詳解

原創 小鱼儿Eason 2020-02-22 21:10

在上一篇博客spring security起步二:自定義登錄頁中我們實現瞭如何自定義登錄頁,但是還存在很多問題:
1.spring security如何對登錄請求進行攔截
2.登錄成功後如何跳轉
3.登錄失敗後如何跳轉

form-login屬性詳解

form-login是spring security命名空間配置登錄相關信息的標籤,它包含如下屬性:
1. login-page 自定義登錄頁url,默認爲/login
2. login-processing-url 登錄請求攔截的url,也就是form表單提交時指定的action
3. default-target-url 默認登錄成功後跳轉的url
4. always-use-default-target 是否總是使用默認的登錄成功後跳轉url
5. authentication-failure-url 登錄失敗後跳轉的url
6. username-parameter 用戶名的請求字段 默認爲userName
7. password-parameter 密碼的請求字段 默認爲password
8. authentication-success-handler-ref 指向一個AuthenticationSuccessHandler用於處理認證成功的請求,不能和default-target-url還有always-use-default-target同時使用
9. authentication-success-forward-url 用於authentication-failure-handler-ref
10. authentication-failure-handler-ref 指向一個AuthenticationFailureHandler用於處理失敗的認證請求
11. authentication-failure-forward-url 用於authentication-failure-handler-ref
12. authentication-details-source-ref 指向一個AuthenticationDetailsSource,在認證過濾器中使用

spring security登錄相關的過濾器

首先應注意的一點是,spring security 3.x 默認的登錄攔截URL是/j_spring_security_check,而spring security 4.x默認攔截的URL是/login。在spring security中,具體處理表單登錄驗證的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一個過濾器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用於在沒有指定登錄頁時動態生成一個默認登錄頁

登錄配置

登錄頁面 login.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body onload='document.f.username.focus();'>
    <h3>Login with Username and Password</h3>
    <form name='f' action='${pageContext.request.contextPath }/login'
        method='POST'>
        <table>
            <tr>
                <td>User:</td>
                <td><input type='text' name='username' value=''></td>
            </tr>
            <tr>
                <td>Password:</td>
                <td><input type='password' name='password' /></td>
            </tr>
            <tr>
                <td colspan='2'><input name="submit" type="submit"
                    value="Login" /></td>
            </tr>
        </table>
    </form>
</body>
</html>

登錄成功頁面 index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    登錄成功
</body>
</html>
登錄失敗頁面 login-failure.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    登錄失敗
</body>
</html>

頁面配置完成,剩下的就是映射url到具體的頁面

登錄成功頁面映射 HelloController.java
@Controller
public class HelloController {

    @RequestMapping(value={"/welcome","/"},method=RequestMethod.GET)
    public String welcome(){
        return "index";
    }
}
登錄頁面及登錄失敗頁面映射 LoginController.java
@Controller
public class LoginController {

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String loginPage(@RequestParam(value = "error", required = false) String error, Model model) {
        if (error != null) {
            return "login-failure";
        }
        return "login";
    }
}
spring security配置 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/login" security="none"></http>

    <http auto-config="true" use-expressions="true">
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
        <form-login login-page="/login" login-processing-url="/login" always-use-default-target="true"
            default-target-url="/welcome" authentication-failure-url="/login?error=error" />
    </http>
    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user authorities="ROLE_USER" name="guest" password="guest" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</bean:beans>

現在,配置基本完成,啓動項目後,在登錄頁面輸入用戶名和密碼,不管正確與否都會有405錯誤Request method ‘POST’ not supported。爲什麼會出現這個錯誤呢?

登錄請求405錯誤

在登錄請求中出現405錯誤,其實是我們在配置過程中,spring mvc和spring security出現了一點衝突導致的。

首先,請注意下面這兩個配置段

<http pattern="/login" security="none"></http>
<form-login login-page="/login" login-processing-url="/login" ......

第一個配置告訴spring security,類似於/login的url請求不做過濾處理,而第二個配置信息又告訴spring security url爲/login的post請求登錄請求處理。正是這種衝突導致了405錯誤的發生。

既然知道了錯誤原因,那麼只要避免衝突就能解決這個問題:使登錄頁的請求和登錄處理的請求不一致,然後只配置登錄頁的請求不做攔截處理.

我採用的方法是使用默認的登錄URL /login,修改登錄頁面跳轉url爲/loginPage。請自行修改代碼和配置信息

這樣是不是就大工告成了呢?很遺憾,當你啓動程序時,輸出用戶名和密碼,不管正確與否,都會有404 Not Found等着你,這又是爲什麼呢?

登錄請求404錯誤

首先,建議你看一下spring security自動生成的登錄頁源碼,你會發現有如下代碼

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />

對於什麼是csrf,請自行參考網上的資料。

spring security默認情況下csrf protection是開啓的,由於我們的登錄頁沒有配置csrf的相關信息,因此spring security內置的過濾器將此鏈接置爲無效鏈接

解決辦法就是配置csrf protection爲不可用狀態,在配置文件中增加

<csrf disabled="true"/>

附上完整的spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/loginPage" security="none"></http>

    <http auto-config="true" use-expressions="true">
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
        <form-login login-page="/loginPage" login-processing-url="/login" always-use-default-target="true"
            default-target-url="/welcome" authentication-failure-url="/loginPage?error=error" />
            <csrf disabled="true"/>
    </http>
    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user authorities="ROLE_USER" name="guest" password="guest" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</bean:beans>

到此爲止,大功告成

源碼下載

源碼下載地址https://github.com/SmallBadFish/spring_security_demo/archive/0.1.1-customlogin.zip

小魚兒Eason
發佈了41 篇原創文章 · 獲贊 89 · 訪問量 31萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java開發必讀,談談對Spring IOC與AOP的理解

本文分享自華爲雲社區《超詳細的Java後臺開發面試題之Spring IOC與AOP》,作者:GaussDB 數據庫。 一、前言 IOC和AOP是Spring中的兩個核心的概念,下面談談對這兩個概念的理解。 二、IOC(Inverse o

原創 2024-06-07 22:57:21

Java日誌通關(四) - Logback 介紹

一、配置入口 Logback支持XML、Groovy的配置方式,以XML來說,它會默認查找resources目錄下的logback-test.xml(用於測試)/logback.xml文件。 而如果你使用的Spring Boot,那麼你還可

夜黑人模糊灬 2024-06-06 13:45:20

一文搞懂 Spring 循環依賴

這個其實是一個特別高頻的面試題,松哥也一直很想和大家仔細來聊一聊這個話題,網上關於這塊的文章很多,但是我一直覺得要把這個問題講清楚還有點難度,今天我來試一試,看能不能和小夥伴們把這個問題梳理清楚,當然,如果小夥伴們覺得看文章不過癮,松哥也有

原創 2024-06-06 13:11:47

什麼時候需要用到 @EnableWebSecurity 註解?

有小夥伴在學習 Spring Security 的遇到一個問題: 箭頭所指的位置報紅,也就是 Spring 容器中沒有找到一個類型爲 HttpSecurity 的 Bean。 小夥伴說如果他在配置類上加 @EnableWebSecurit

原創 2024-06-05 13:11:40

Spring Security 註冊過濾器注意事項

前兩天和小夥伴聊了 Spring Security+JWT 實現無狀態登錄,然後有小夥伴反饋了一個問題,感覺這是一個我們平時寫代碼容易忽略的問題,寫一篇文章和小夥伴們聊一聊。 一 問題復原 先來說問題吧,在 Spring Security+

原創 2024-06-04 03:48:39

WebSocket替換Http協議的邏輯實現

 · 前言     · 在國內,公網服務器與本地服務器的通信一直是個難題,本地服務器因爲IP是動態變化的,公網服務器沒辦法將請求發送給本地服務器。爲了解決這個問題,所以採用WebSocket協議替換Http協議。爲了實現請求等待,使用Gu

原創 2024-06-03 11:25:33

Spring 中如何控制 Bean 的加載順序?

如果你脫口而出說添加 @Order 註解或者是實現 Ordered 接口,那麼恭喜,你掉坑了。 一 @Order 註解和 Ordered 接口 在 Spring 框架中,@Order 是一個非常實用的元註解,它位於 spring-core

原創 2024-06-03 01:17:22

「Java開發指南」如何用MyEclipse搭建Spring安全策略?

本教程將引導您向現有的Web應用程序添加Spring安全策略,在本教程中您將學習如何: 搭建Spring安全策略 部署應用程序 MyEclipse v2023.1.2離線版下載   搭建Spring安全策略 1. 創建一個 scaf

原創 2024-05-30 12:19:47

spring源碼閱讀之bean加載過程(一)

如果想要閱讀源碼,首先要選擇版本,然後將源代碼下載到本地,導入idea中,話不多說,直接看步驟吧 這裏我選擇5版本, 下載源碼 默認是main分支,看想學習的分支,比如我切換到5版本,截圖如下:     2.安裝gradle 3

原創 2024-05-27 23:55:57

使用 Spring Cloud Alibaba AI 構建 RAG 應用

作者:姬世文 背景介紹 RAG(Retrieval Augmented Generation) 檢索增強生成(RAG)是一種用於將數據與人工智能模型集成的技術。在 RAG 工作流程中,第一步將文檔數據加載到矢量數據庫(例如 Redis)中。

原創 2024-05-27 21:13:51

聊聊Spring中的數據綁定 --- WebDataBinder、ServletRequestDataBinder、WebBindingInitializer 文章源於Ai生成

每篇一句 大魔王張怡寧:女兒,這堆金牌你拿去玩吧,但我的銀牌不能給你玩。你要想玩銀牌就去找你王浩叔叔吧,他那銀牌多 前言 爲了講述好Spring MVC最爲複雜的數據綁定這塊,我前面可謂是做足了功課,對此部分知識此處給小夥伴留一個學

微學網絡 2024-05-27 10:53:57

@ResponseBody是怎麼起作用的

前言   最近參與的項目中,接口中返回的日期格式不對,發現項目中配置了fastjson作爲spring的數據轉換器,於是使用了fastjson的字段格式化轉換註解 發現不起作用。這讓我很疑惑,然後在fastjson的相關代碼中打斷點發現請

微學網絡 2024-05-27 10:53:54

Spring項目中使用NIO並行調用http接口指南

1-背景 後臺BFF層服務爲了SEO,涉及大量對底層數據的聚合,如果按照過程化編程,串行執行請求數據再聚合會造成很高的延遲,因此我們往往大量使用多線程技術並行化多個查詢,來減少單個請求的響應時間。 多線程一定程度上也能達成通過並行化提升

原創 2024-05-23 11:10:25

Spring優雅使用log4j2日誌

1-前言 Spring框架本身提供了對日誌的集成,對logback的支持非常好,但是對log4j和log4j2的支持就沒那麼好。 在同步打印日誌的場景下logback擁有最高的日誌吞吐量《Logback Throughput Benchma

原創 2024-05-22 23:12:10

爲什麼不推薦在Spring Boot中使用@Value加載配置

@Value註解相信很多Spring Boot的開發者都已經有接觸了,通過使用該註解,我們可以快速的把配置信息加載到Spring的Bean中。 比如下面這樣,就可以輕鬆的把配置文件中key爲com.didispace.title配置信息加載

原創 2024-05-21 21:46:20