在实际开发中,我们不可能使用系统生成的登录页,而是使用我们自己的登录页。
(1)构建登陆页:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>登陆</title>
</head>
<body>
<form action="/login" method="post">
用户:<input name="username"><br>
密码:<input name="password"><br>
<button>登陆 </button>
</form>
</body>
</html>
(2)构建登陆失败页 login_error.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>spring security 入门小demo</title>
</head>
<body>
用户或者密码错误!!!
</body>
</html>
(3)修改 spring 配置文件 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 设置页面不登录也可以访问 -->
<http pattern="/login.html" security="none"></http>
<http pattern="/login_error.html" security="none"></http>
<!-- 页面拦截规则 是否启用spel表达式 -->
<http use-expressions="false">
<!-- 当前用户必须有ROLE_USER才可以访问根目录以及根目录下所属子目录 -->
<intercept-url pattern="/**" access="ROLE_USER" />
<!-- 开启表单登陆功能 --><!-- default-target-url默认登陆页面 --><!-- login-processing-url登陆成功页面 --><!-- authentication-failure-url登陆失败页面 -->
<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>
<csrf disabled="true"/>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="123456" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
security="none" 设置此资源不被拦截.
如果你没有设置登录页 security="none" ,将会出现以下错误:
因为登录页会被反复重定向。
login-page:指定登录页面。
authentication-failure-url:指定了身份验证失败时跳转到的页面。
default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
csrf disabled="true" 关闭 csrf ,如果不加会出现错误:
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session
Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。