Spring Security自定义登录表单注释示例

最新推荐文章于 2023-09-08 11:46:32 发布
最新推荐文章于 2023-09-08 11:46:32 发布
阅读量190 收藏
点赞数
文章标签: 测试 javascript java ViewUI

在本教程中,我们将先前的Spring Security自定义登录表单(XML)项目转换为基于注释的纯项目。

使用的技术:

  1. 春天3.2.8。发布
  2. Spring Security 3.2.3发布
  3. Eclipse 4.2
  4. JDK 1.6
  5. Maven 3
  6. Tomcat 7(Servlet 3.x)

注意
在此示例中,将重用最后一个Spring Security hello world注释示例 ,对其进行增强以支持自定义登录表单。

1.项目演示

2.目录结构

查看本教程的最终目录结构。

Spring安全自定义登录注释目录

3. Spring安全配置

通过注解进行Spring Security配置。

SecurityConfig.java 
package com.mkyong.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication()
                   .withUser("mkyong").password("123456").roles("USER");
	}

	//.csrf() is optional, enabled by default, if using WebSecurityConfigurerAdapter constructor
	@Override
	protected void configure(HttpSecurity http) throws Exception {

	    http.authorizeRequests()
		.antMatchers("/admin/**").access("hasRole('ROLE_USER')")
		.and()
		    .formLogin().loginPage("/login").failureUrl("/login?error")
		    .usernameParameter("username").passwordParameter("password")		
		.and()
		    .logout().logoutSuccessUrl("/login?logout")
		.and()
		    .csrf(); 		
	}
}

相当于Spring Security XML文件: 

<http auto-config="true">
	  <intercept-url pattern="/admin**" access="ROLE_USER" />
	  <form-login 
		login-page="/login" 
	        default-target-url="/welcome" 
		authentication-failure-url="/login?error" 
		username-parameter="username"
		password-parameter="password" />
	  <logout logout-success-url="/login?logout" />
	  <!-- enable csrf protection -->
	  <csrf/>
	</http>

	<authentication-manager>
	  <authentication-provider>
	    <user-service>
		<user name="mkyong" password="123456" authorities="ROLE_USER" />
	    </user-service>
	  </authentication-provider>
	</authentication-manager>

4.自定义登录表格

4.1页面显示自定义登录表单。 如果启用了CSRF保护,请记住以登录和注销形式添加${_csrf.token}

login.jsp 
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>Login Page</title>
<style>
.error {
	padding: 15px;
	margin-bottom: 20px;
	border: 1px solid transparent;
	border-radius: 4px;
	color: #a94442;
	background-color: #f2dede;
	border-color: #ebccd1;
}

.msg {
	padding: 15px;
	margin-bottom: 20px;
	border: 1px solid transparent;
	border-radius: 4px;
	color: #31708f;
	background-color: #d9edf7;
	border-color: #bce8f1;
}

#login-box {
	width: 300px;
	padding: 20px;
	margin: 100px auto;
	background: #fff;
	-webkit-border-radius: 2px;
	-moz-border-radius: 2px;
	border: 1px solid #000;
}
</style>
</head>
<body onload='document.loginForm.username.focus();'>

	<h1>Spring Security Custom Login Form (Annotation)</h1>

	<div id="login-box">

		<h2>Login with Username and Password</h2>

		<c:if test="${not empty error}">
			<div class="error">${error}</div>
		</c:if>
		<c:if test="${not empty msg}">
			<div class="msg">${msg}</div>
		</c:if>

		<form name='loginForm'
		    action="<c:url value='j_spring_security_check' />" method='POST'>

		    <table>
			<tr>
				<td>User:</td>
				<td><input type='text' name='user' value=''></td>
			</tr>
			<tr>
				<td>Password:</td>
				<td><input type='password' name='pass' /></td>
			</tr>
			<tr>
			        <td colspan='2'>
                                <input name="submit" type="submit" value="submit" />
                                </td>
			</tr>
		   </table>

		   <input type="hidden" 
                     name="${_csrf.parameterName}" value="${_csrf.token}" />
		</form>
	</div>

</body>
</html>

4.2显示欢迎消息的页面,默认页面。

hello.jsp 
<%@page session="false"%>
<html>
<body>
	<h1>Title : ${title}</h1>	
	<h1>Message : ${message}</h1>	
</body>
</html>

4.3该页面受密码保护,仅允许经过身份验证的用户访问。

admin.jsp + logout 
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
	<h1>Title : ${title}</h1>
	<h1>Message : ${message}</h1>

	<c:url value="/j_spring_security_logout" var="logoutUrl" />

		<!-- csrt support -->
	<form action="${logoutUrl}" method="post" id="logoutForm">
		<input type="hidden" 
			name="${_csrf.parameterName}"
			value="${_csrf.token}" />
	</form>
	
	<script>
		function formSubmit() {
			document.getElementById("logoutForm").submit();
		}
	</script>

	<c:if test="${pageContext.request.userPrincipal.name != null}">
		<h2>
			Welcome : ${pageContext.request.userPrincipal.name} | <a
				href="javascript:formSubmit()"> Logout</a>
		</h2>
	</c:if>

</body>
</html>

5. Spring MVC控制器

一个简单的控制器。

HelloController.java 
package com.mkyong.web.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;

@Controller
public class HelloController {

	@RequestMapping(value = { "/", "/welcome**" }, method = RequestMethod.GET)
	public ModelAndView welcomePage() {

		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security Custom Login Form");
		model.addObject("message", "This is welcome page!");
		model.setViewName("hello");
		return model;

	}

	@RequestMapping(value = "/admin**", method = RequestMethod.GET)
	public ModelAndView adminPage() {

		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security Custom Login Form");
		model.addObject("message", "This is protected page!");
		model.setViewName("admin");

		return model;

	}

	//Spring Security see this :
	@RequestMapping(value = "/login", method = RequestMethod.GET)
	public ModelAndView login(
		@RequestParam(value = "error", required = false) String error,
		@RequestParam(value = "logout", required = false) String logout) {

		ModelAndView model = new ModelAndView();
		if (error != null) {
			model.addObject("error", "Invalid username and password!");
		}

		if (logout != null) {
			model.addObject("msg", "You've been logged out successfully.");
		}
		model.setViewName("login");

		return model;

	}

}

6.初始化类

这是Initializer类,使它成为纯基于注释的项目。

6.1初始化器类,用于启用Spring Security配置。

SpringSecurityInitializer.java 
package com.mkyong.config.core;

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;
public class SpringSecurityInitializer extends AbstractSecurityWebApplicationInitializer {

}

6.2初始化类,用于启用Spring MVC。

SpringMvcInitializer.java 
package com.mkyong.config.core;

import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;
import com.mkyong.config.AppConfig;

public class SpringMvcInitializer 
	extends AbstractAnnotationConfigDispatcherServletInitializer {

	@Override
	protected Class<?>[] getRootConfigClasses() {
		return new Class[] { AppConfig.class };
	}

	@Override
	protected Class<?>[] getServletConfigClasses() {
		return null;
	}

	@Override
	protected String[] getServletMappings() {
		return new String[] { "/" };
	}
	
}
AppConfig.java 
package com.mkyong.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Import;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.view.InternalResourceViewResolver;
import org.springframework.web.servlet.view.JstlView;

@EnableWebMvc
@Configuration
@ComponentScan({ "com.mkyong.web.*" })
@Import({ SecurityConfig.class })
public class AppConfig {

	@Bean
	public InternalResourceViewResolver viewResolver() {
		InternalResourceViewResolver viewResolver
                           = new InternalResourceViewResolver();
		viewResolver.setViewClass(JstlView.class);
		viewResolver.setPrefix("/WEB-INF/pages/");
		viewResolver.setSuffix(".jsp");
		return viewResolver;
	}
	
}

7.演示

7.1。 欢迎页面– http:// localhost:8080 / spring-security-loginform-annotation /

Spring安全自定义登录注释欢迎

7.2尝试访问/admin页面,将显示您的自定义登录表单。

Spring安全自定义登录注释登录

7.3。 如果用户名和密码不正确,则显示/login?error

Spring安全自定义登录注释错误

7.4。 如果用户名和密码正确,Spring会将请求重定向到原始请求的URL并显示页面。

Spring安全自定义登录注释管理员

7.5。 尝试注销,它将重定向到/login?logout页面。

Spring安全自定义登录注释注销

下载源代码

下载它-spring-security-custom-login-form-annotation.zip (19 KB)

参考文献

  1. Spring Security Hello World注释示例
  2. 创建自定义登录表单
  3. Spring Security 3.2.0.RC1重点:CSRF保护
  4. 维基百科:跨站点请求伪造
标签:

翻译自: https://mkyong.com/spring-security/spring-security-custom-login-form-annotation-example/

cyan20115
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
使用spring框架的ModelAndViewsetViewName方法指定视图名称,但是没有跳转到指定页面?
瀚曦的博客
04-08 1万+
输入浏览器地址发送如下请求: http://localhost/SpringMVC1/login3?loginName=test&password=123 报错404如下: Type Status Report Message /SpringMVC1/WEB-INF/content/login3.jsp Description The origin server did not
SpringMVC的返回值类型(六)
两个蝴蝶飞
08-19 1611
SprimgMVC的方法返回值类型
Spring Security教程(10)---- 自定义登录成功后的处理程序及修改默认验证地址
热门推荐
z69183787的专栏
03-13 2万+
form-login配置中的authentication-success-handler-ref可以让手动注入登录成功后的处理程序,需要实现AuthenticationSuccessHandler接口。 [html] view plaincopy sec:form-login login-page="/login.jsp"       logi
java自定义登录_spring security自定义登录页面
weixin_42350544的博客
02-24 158
在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面讲一下如何自定义登录页面,先看下配置default-target-url="/index.jsp"/>使用form-login配置来指定我们自己的配置文件,其中login-page:登录页面authentication-failure-url:登录失败后跳转的页面default-target-url:登录成...
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2261
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 自定义表单登录的实现 SpringSecurity 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。其中,自定义表单登录SpringSecurity 中的一个重要组件,本文将详细介绍如何在 Spring...
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
SpringSecurity自定义成功失败处理器的示例代码
09-07
Spring Security框架中,自定义成功失败处理器是用于定制用户登录认证后的响应行为。默认情况下,Spring Security提供了标准的处理程序来处理用户的登录成功或失败情况,但有时我们需要根据业务需求进行个性化设置...
SpringSecurity自定义用户权限信息的存取
04-16
SpringSecurity自定义用户权限信息的存取,SpringSecurity教程,用户权限信息存取
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
Spring MVC 学习总结(三)——请求处理方法Action详解
风不止步的博客
12-08 1343
Spring MVC中每个控制器中可以定义多个请求处理方法,我们把这种请求处理方法简称为Action,每个请求处理方法可以有多个不同的参数,以及一个多种类型的返回结果。 一、Action参数类型 1.1、自动参数映射 1.1.1、基本数据类型 方法的参数可以是任意基本数据类型,如果方法参数名与http中请求的参数名称相同时会进行自动映射,视图user目录下的index.jsp与示例代码...
SpringSecurity中注解讲解
上善若泪
09-08 724
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
(六)SpringCloud+Security+Oauth2--自定义注解实现接口权限放行
Instanceztt的博客
12-06 2521
在前面的配置中我们在查询用户相关的接口时,由于还没有获得token,就通过permitAll()对/user相关的接口全部放行,那么我们在日常开发中会设计到有些接口不需要token也能访问,比如我们在引入swagger后有些接口就不需要相应的token这时候我们可以在配置中增加相应配置放开权限,这种针对的是比较固定的一些,那么如何自定义在自己接口中随便去加接口权限放行呢实现思路 由此没有token接口也能正常访问了
SpringSecurity自定义注解和处理器
weixin_46583809的博客
12-20 2142
登录功能 添加一个配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Resource UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception {
Spring Security学习二 - 自定义Login方法
lee353086的专栏
09-19 1万+
自定义Spring SecurityLogin方法。
SpringSecurity自定义登录
最新发布
09-13
Spring Security提供了很多自定义登录的方式,以下是一种常见的自定义登录流程: 1. 创建一个实现了UserDetailsService接口的自定义UserDetailsService类,用于从数据库或其他数据源中获取用户信息。该接口有一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值