spring提供的登录j_spring_security_check

最新推荐文章于 2024-10-03 09:33:40 发布
最新推荐文章于 2024-10-03 09:33:40 发布
阅读量9.3k 收藏 3
点赞数
文章标签: java 运维 python
原文链接:https://my.oschina.net/zhangshuge/blog/633825
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

第一步:form表单提交
<form id="formLogin" action="<%=request.getContextPath()%>/j_spring_security_check" method="post"></form>
第二步:配置文件applicationContext-security.xml
    <?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd">
    <!-- 认证功能http配置 -->
    <!-- entry-point-ref 为用户第一次访问受保护的url时的处理程序.  --> 
    <http use-expressions="true" entry-point-ref="authenticationEntryPoint">
        <!-- 这里是拒绝用户访问的处理程序 -->
        <access-denied-handler ref="accessDeniedHandler" />
        <intercept-url pattern="/login.jsp*" access="permitAll"/>
        <intercept-url pattern="/**/*.js" access="permitAll"/>
        <intercept-url pattern="/**/*.jpg" access="permitAll"/>
        <intercept-url pattern="/**/*.gif" access="permitAll"/>
        <intercept-url pattern="/**/*.css" access="permitAll"/>
        <intercept-url pattern="/**/**.json*" access="permitAll"/>
        <!-- <intercept-url pattern="/contents/**.jsp*" access="isAuthenticated()"/> -->
        <intercept-url pattern="/**/*.html*" access="permitAll"/>
        <intercept-url pattern="/**/*.jsp*" access="permitAll"/>
        <custom-filter position="LOGOUT_FILTER" ref="secLogoutFilter" />     
        <custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="checkInfoFilter" />
        <custom-filter position="FORM_LOGIN_FILTER" ref="crmAuthFilter" />
        <!-- 限制用户的最大登陆数,防止一个账号被多人使用 -->
        <custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
        <session-management session-authentication-strategy-ref="crmSAS"/>
    </http>
      
    <!-- 登出 过滤器 -->
    <beans:bean id="secLogoutFilter"
        class="com.xxxx.crm.sec.common.SecLogoutFilter">
        <beans:constructor-arg ref="secLogoutSuccessHandler" />
        <beans:constructor-arg>
            <beans:list>
                <beans:bean
                    class="com.xxxx.crm.sec.common.SecLogoutHandler"></beans:bean>
            </beans:list>
        </beans:constructor-arg>
    </beans:bean>
      
    <!-- 登出 handler -->
    <beans:bean id="secLogoutSuccessHandler" class="com.xxxx.crm.sec.common.SecLogoutSuccessHandler">
        <beans:property name="defaultLogoutUrl" value="/login"></beans:property>
        <beans:property name="mLogoutUrl" value="/mlogin"></beans:property>
    </beans:bean>
      
    <!-- 登录失败 handler -->
    <beans:bean id="secAuthenticationFailureHandler" class="com.xxxx.crm.sec.common.SecAuthenticationFailureHandler">
        <beans:property name="defaultFailureUrl" value="/login"></beans:property>
        <beans:property name="customerFUrl" value="/login"></beans:property>
        <beans:property name="merchantFul" value="/mlogin"></beans:property>
    </beans:bean>
    <!-- 登录成功 handler -->
    <beans:bean id="secAuthenticationSuccessHandler " class="com.xxxx.crm.sec.common.SecAuthenticationSuccessHandler">
        <beans:property name="defaultSuccessUrl" value="/commonLogin"></beans:property>
    </beans:bean>
      
    <!-- userDetailsService -->
    <beans:bean id="userDetailsServiceImpl" class="com.xxxx.crm.sec.xxxxUserDetailsServiceImpl"></beans:bean>
    <!-- AccessDecisionManager -->
    <beans:bean id="accessDecision" class="com.xxxx.crm.sec.AccessDecisionManagerImpl"></beans:bean>
      
    <!-- FilterInvocationSecurityMetadataSource -->
    <beans:bean id="accessMeta" class="com.xxxx.crm.sec.SecurityMetadataSourceImpl"></beans:bean>
    <!-- 认证功能管理器 -->
    <authentication-manager alias="authenticationManager">
        <authentication-provider ref="authenticationProvider"/>
    </authentication-manager>
      
    <!-- 认证功能实现 -->
    <beans:bean id="authenticationProvider" class="com.xxxx.crm.sec.SecurityDaoAuthenticationProvider">
        <beans:property name="userDetailsService" ref="userDetailsServiceImpl" />
        <beans:property name="hideUserNotFoundExceptions" value="false"/>
        <beans:property name="passwordEncoder" ref="md5PasswordEncoder"/>
    </beans:bean>
      
    <!-- 用户动态设置session级别信息实现类  -->
    <beans:bean id="ctxSessionManager" class="com.xxxx.crm.sec.ctxsession.CtxSessionManager" />
      
    <!-- 用户密码加密或解密 -->
    <beans:bean id="md5PasswordEncoder" class="com.xxxx.crm.constance.MD5PasswordEncoder" /> 
    <beans:bean id="springMD5PasswordEncoder" class="com.xxxx.crm.constance.SpringMD5PasswordEncoder" />
    <beans:bean id="checkInfoFilter" class="com.xxxx.crm.sec.SecurityInterceptor">
        <beans:property name="authenticationManager" ref="authenticationManager" />
        <beans:property name="accessDecisionManager" ref="accessDecision" />
        <beans:property name="securityMetadataSource" ref="accessMeta" />
    </beans:bean>
      
    <!-- 定义上下文返回的消息的国际化。 -->
    <beans:bean id="messageSource"
      class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
        <!--<beans:property name="basename"
         value="classpath:org/springframework/security/messages_zh_CN"/>
         -->
        <beans:property name="basename"
        value="classpath:securityMessage_zh_CN"/>       
    </beans:bean>
      
    <!-- ConcurrentSession过滤器 -->
    <beans:bean id="concurrencyFilter"
        class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <beans:property name="sessionRegistry" ref="sessionRegistry" />
        <beans:property name="expiredUrl" value="/login" />
    </beans:bean>
      
    <beans:bean id="crmSAS" class="com.xxxx.crm.sec.ConcurrentSessionControlStrategy">
    <beans:constructor-arg name="sessionRegistry"
        ref="sessionRegistry" />
    <beans:property name="maximumSessions" value="1" />
    </beans:bean>
      
   <beans:bean id="loginUserParamManager" class="com.xxxx.crm.sec.common.LoginUserParamManager" factory-method="getInstance">
        <!--是否启用重复登录控制 -->
        <beans:property name="checkSessions" value="false"/>
        <!--重复登录提示消息 -->
        <beans:property name="reloginMsg" value="当前用户已在其它地方登录。" />
    </beans:bean>
      
    <!-- CRM 权限过滤器 -->
    <beans:bean id="crmAuthFilter"
        class="com.xxxx.crm.sec.filter.AuthenticationFilter">
        <beans:property name="sessionAuthenticationStrategy"
            ref="crmSAS" />
        <beans:property name="authenticationManager" ref="authenticationManager" />
        <!-- <beans:property name="rememberMeServices" ref="rememberMeServices"></beans:property>-->
        <beans:property name="authenticationFailureHandler"
            ref="secAuthenticationFailureHandler" />
        <beans:property name="authenticationSuccessHandler"
            ref="secAuthenticationSuccessHandler" />
        <!-- <beans:property name="filterProcessesUrl" value="/ss_Login"></beans:property>  -->
    </beans:bean>
          
    <!-- SessionRegistryImpl -->
    <beans:bean id="sessionRegistry" class="com.xxxx.crm.sec.session.SecSessionRegistryImpl" />
      
    <!-- 访问切入点 -->
    <beans:bean id="authenticationEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
        <beans:property name="loginFormUrl" value="/login" />
    </beans:bean>
      
    <!-- 认证被拒绝 -->
    <beans:bean id="accessDeniedHandler" class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
        <beans:property name="errorPage" value="/login" />
    </beans:bean>
      
</beans:beans>
第三步:成功处理类
public class xxxxUserDetailsServiceImpl implements UserDetailsService { 
    private UserDetails merchantDetails(String name) {
        Connection conn = null;
        try {
            conn = ds.getConnection();
            StringBuffer mString = new StringBuffer(1000);
            mString.append(
                    "SELECT COUNT(1) AS TOTLE FROM xxxx_MERCHANT_INFO T WHERE T.USER_NAME = '")
                    .append(name).append("'");
            Statement stsm = conn.createStatement();
            ResultSet rs = stsm.executeQuery(mString.toString());
            int count = 0;
            if (rs.next()) {
                count = rs.getInt("TOTLE");
            }
            if (count == 0) {
                rs.close();
                stsm.close();
                UsernameNotFoundException unfe = new UsernameNotFoundException(
                        "用户不存在或用户名错误");
                throw unfe;
            } else if (count > 1) {
                rs.close();
                stsm.close();
                UsernameNotFoundException unfe = new UsernameNotFoundException(
                        "用户信息配置错误");
                throw unfe;
            }
            mString.setLength(0);
            mString.append("SELECT MERCHANT_ID, USER_NAME, PASS_WORD, MERCHANT_NO, MERCHANT_NAME, EXPIRE_DATE, MERCHANT_ADDR, LINKMAN, LINK_PHONE, MAIL_ADDR, LEGAL_PERSON, MERCHANT_FULL_NAME, REGISTERED_CAPITAL, ORGANIZATION_CODE, MERCHANT_ORG, EVALUATION, STATUS, CREATED, CREATED_BY, UPDATED, UPDATED_BY FROM xxxx_MERCHANT_INFO ");
            mString.append("WHERE USER_NAME='").append(name).append("'");
            rs = stsm.executeQuery(mString.toString());
            xxxxUser<xxxxMerchantInfo> iAuser = null;
            if (rs.next()) {
                xxxxMerchantInfo info = new xxxxMerchantInfo();
                info.setUserName(rs.getString("USER_NAME"));
                info.setPassWord(rs.getString("PASS_WORD"));
                info.setMerchantId(rs.getString("MERCHANT_ID"));
                info.setMerchantNo(rs.getString("MERCHANT_NO"));
                info.setMerchantOrg(rs.getString("MERCHANT_ORG"));
                iAuser = new IxxxxMUser(info);
            }
            rs.close();
            stsm.close();
            return iAuser;
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (null != conn) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return null;
    }
}  
第四步:如果登录失败了页面需要提示
<%
  if (session.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION) != null) {
%>
  <input type="hidden" id="errorMsg" name="errorMsg" value='${sessionScope.SPRING_SECURITY_LAST_EXCEPTION.message}' />
<%
        } else {
%>
    <input type="hidden" id="errorMsg" name="errorMsg" value='' />
<%
        }
    session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
%>
在js里alert一下reeorMsg的值就可以了


本文出自 “小浩” 博客,请务必保留此出处http://zhangchi.blog.51cto.com/5214280/1389708

转载于:https://my.oschina.net/zhangshuge/blog/633825

weixin_34326429
关注
JEPaaS 低代码平台 j_spring_security_check SQL注入漏洞复现
0xSec
06-13 699
JEPaaS 低代码平台 j_spring_security_check 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
手把手教你java中如何使用Spring security(二)
uuuyy_的博客
01-20 948
上一篇,我们讲述的spring security的基础使用。但是对于一些复杂权限场景,我们需要更高级一些的功能。 我们接着往下展示它的高级部分。 <security:authentication-manager>的内部高级设置 在上一篇的Spring security设置示例中,我设置了authentication-manager来检查登录用户凭证,并使用<user-service>标签中定义的纯文本用户。如下所示,您可以在此处为您的应用程序定义多个用户。 上面的方式
8、集成SpringSecurity安全框架---登录请求放行配置
最新发布
qq_38658071的博客
10-03 214
使用postman,点击body,选用json格式,输入用户名密码。
spring security 整合cas
极客on之路
03-23 3932
目录 1.1           配置登录认证 1.1.1     配置AuthenticationEntryPoint 1.1.2     配置CasAuthenticationFilter 1.1.3     配置AuthenticationManager 1.2           单点登出 1.3           使用代理 1.3.1     代理端 1.3.2    
j_spring_security_check 404错误
dzl84394的专栏
12-04 5484
折腾了好久,还是写一篇备忘 首先检查路径 /j_spring_security_check" name='f'> Please sign in Remember me Sign in 这里没有问题 2检查 myAuthentic
Spring安全权限管理(Spring Security
洋洋的专栏
10-12 1907
1.Spring Security简要介绍 Spring Security以前叫做acegi,是后来才成为Spring的一个子项目,也是目前最为流行的一个安全权限管理框架,它与Spring紧密结合在一起。 Spring Security关注的重点是在企业应用安全层为您提供服务,你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工
Spring_Security_多页面登录配置教程
10-20
### Spring Security 多页面登录配置教程 #### 一、引言 在开发Web应用程序时,安全性和用户体验同样重要。Spring Security作为一个强大的框架,为开发者提供了丰富的功能来保护Web应用的安全。其中,支持多页面...
spring security自定义登录页面
08-29
<form action="j_spring_security_check" method="post"> 用户名: <input type="text" name="j_username" /> 密码: <input type="password" name="j_password" /> 登录" /> ``` 问题解决 ...
细看spring security单点登陆源码的验证过程
哦绝影
12-15 566
分析得比较好的文章: http://blog.csdn.net/java_mr_zheng/article/details/52385071     https://www.cnblogs.com/drizzlewithwind/p/6196080.html 1.form表单请求被UsernamePasswordAuthenticationFilter拦截,先判断请求(请求必
Spring Security学习总结一
elimago的专栏
08-22 1450
Spring Security学习总结一在认识Spring Security之前,所有的权限验证逻辑都混杂在业务逻辑中,用户的每个操作以前可能都需要对用户是否有进行该项操作的权限进行判断,来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming)和Spring Security为我们的应用程序很好的解决了此
spring security
苹果超人|
07-27 232
j_spring_security_check这个是spring security里面的约定。 你看applicationContext-security.xml是否有 之类的代码,他会自动调用UserDetailsServiceImpl下的loadUserByUsername方法, 其中: public class UserDet...
Spring j_spring_security_check报404错误
sutonline的博客
09-17 2804
Spring j_spring_security_check报404错误j_spring_security_checkspring默认的请求,如果发生404,如果spring已经不对此进行拦截了。 原因有两种: 在spring-security.xml中指定了processing-url 在form login的时候默认带了namespace,导致最终访问的url并非是${website}/j_
spring-security】j_spring_security_check 404
MichaelJY1991的专栏
12-28 3443
场景: http://localhost:8080/j_spring_security_check 使用spring-security框架,自定义login页面时,发现上面的请求404 原因: spring-security的版本问题,spring-security4.x版本,若需要自定义login页面时,需要自定login-processing-url=“/j_spring_secu
Spring mvc+Spring Security集成,以及j_spring_security_check出现404问题的解决
技术杂货铺
02-27 3007
本文采用的是Spring 3.2.18.Release版本,SpringSecurity使用2.0.5.RELEASE,另本文使用的xml的形式配置Spring Security pom文件如下: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XML...
j_spring_security_check 404
答案是肯定的
12-11 1万+
最近在研究spring security的权限管理机制,自己试着搭了一个框架,可是在输入http:....../j_spring_security_check的时候,一直报404错误,在网上查了好多,都和我的不符,但是肯定是配置的问题,主要看spring.common.xml和spring.security.xml可是这两个的配置是正确的,一个一个字的和标准配置检查的, <form-logi
java7找不到uri_java – 在DispatcherServlet中找不到带有URI j_spring_security_check的HTTP请求的映射...
weixin_36457572的博客
02-24 207
这是我的春季安全Beanxmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.spr...
Spring Security中的j_spring_security_check等改名
Java Tang
09-02 1889
原文出处: http://www.javatang.com/archives/2010/09/02/4325457.html作者: Jet Mah from Java堂声明: 可以非商业性任意转载, 转载时请务必以超链接形式标明文章原始出处、作者信息及此声明!   默认情况下,Spring Security(SS)的登录验证提交的Servlet默认名称为j_spring_security...
spring_security安全框架详解
热门推荐
Benjamin
09-05 1万+
本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。 首先要在web.xml中配置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/applicationContext-security.xml <!--classpath*:/applicationC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值