1.登陆页面login.jsp
j_spring_security_check这个是spring security里面的约定
j_username:验证用户名
j_password:验证密码
${sessionScope['SPRING_SECURITY_LAST_USERNAME']}:使用最后一次登录用户名
_spring_security_remember_me:记住我(checkbox两周内不必登陆)
2.spring-security.xml配置内容:
auto-config="true"则使用form-login. 如果不使用该属性 则默认为http-basic(没有session).
access-denied-page:出错后跳转到的错误页面;
intercept-url:拦截器,可以设定哪些路径需要哪些权限来访问. filters=none 不使用过滤,也可以理解为忽略
**表示可以跨越目录,*不可以跨越目录
access="IS_AUTHENTICATED_ANONYMOUSLY"允许匿名访问
session-management是针对session的管理。 如有需求可以配置
max-sessions: 允许用户帐号登录的次数
expired-url: session失效后转向的URL
error-if-maximum-exceeded="true":为true时禁止2次登陆,为false时可以再次登陆
<security:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp" default-target-url="/loginSuccess"/>
login-page:默认指定的登录页面
authentication-failure-url:登陆出错后转向的URL
default-target-url:登陆成功后跳转向的URL
<security:logout invalidate-session="true" logout-success-url="/login.jsp"logout-url="/j_spring_security_logout" />
invalidate-session:退出系统时是否要销毁session
logout-success-url:退出系统后转向的URL
logout-url:指定了用于响应退出系统请求的URL,其默认值为:/j_spring_security_logout
验证配置: 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 查询用户
Public interface UserDetailsService{
UserDetails loadUserByUsername(String username) throw UsernameNotFoundException;
}