史上最简单的Spring Security教程（二十四）：自定义用户名密码参数名及用户名密码验证路径

最新推荐文章于 2024-08-08 23:55:21 发布

银河架构师

最新推荐文章于 2024-08-08 23:55:21 发布

阅读量2.6k

点赞数 3

分类专栏： Web安全

本文链接：https://blog.csdn.net/liuminglei1987/article/details/108194357

版权

Web安全专栏收录该内容

44 篇文章 177 订阅

订阅专栏

无论是表单登录配置器（FormLoginConfigurer），还是用户密码验证Filter（UsernamePasswordAuthenticationFilter），Spring Security 默认的用户名、密码参数名均为 username、password。

表单登录配置：

public FormLoginConfigurer() {
    super(new UsernamePasswordAuthenticationFilter(), null);
    usernameParameter("username");
    passwordParameter("password");
}

用户密码验证Filter：

public class UsernamePasswordAuthenticationFilter extends
        AbstractAuthenticationProcessingFilter {
    // ~ Static fields/initializers
    // =====================================================================================
    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
    private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
    private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;

同样的，还有用户密码验证Filter（UsernamePasswordAuthenticationFilter）的拦截路径，即用户名密码验证路径，Spring Security 默认为 /login，且只支持 POST 方式访问。

public UsernamePasswordAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }
    ......
    public Authentication attemptAuthentication(HttpServletRequest request,
            HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }
        ......
    }

不过，这些并不是不可改变的。下面就来说一下如何改变这些默认配置。

首先就是用户名密码验证路径，非常容易加一项配置即可。

protected void configure(HttpSecurity http) throws Exception {
    http
        .formLogin()
        .loginProcessingUrl("/j_spring_security_check")
        ...... 
}

对应的，需要相应的修改一下页登录面中表单的提交路径，与此呼应。

<form th:action="@{/j_spring_security_check}" method="post" th:method="post" class="mt-1">

然后，就是修改用户名、密码参数名称。

protected void configure(HttpSecurity http) throws Exception {
    http
        .formLogin()
        ......
        .usernameParameter("j_username")
        .passwordParameter("j_password")
        ......
}

对应的，需要相应的修改一下页登录面中表单的用户名、密码控件名称，与此呼应。

<div class="form-group">
  <input type="text" class="form-control" name="j_username" placeholder="用户名">
</div>
<div class="form-group">
  <input type="password" class="form-control" name="j_password" placeholder="密码">
</div>

用过Spring Security 老版本的，比如 3.1.x，其中的 filterProcessingUrl（新版本为 loginProcessingUrl）默认为 j_spring_security_check，而用户名、密码参数名则为 j_username、j_password。同样的，默认登录页地址为 spring_security_check，新版本则为 /login。注意，此 /login 为 GET 方式的view路径，而不是 POST 方式的表单提交action /login。