02http元素自定义配置

最新推荐文章于 2021-09-10 17:55:36 发布
最新推荐文章于 2021-09-10 17:55:36 发布
阅读量1.4k 收藏
点赞数
分类专栏: security 文章标签: spring security
在上一篇的基础上进行修改.
一.配置自定义登录.

1.在http元素内加入

<form-login login-page="/login/form" 
            login-processing-url="/login" 
            username-parameter="username" 
            password-parameter="password" 
            authentication-failure-url="/login/form?error"/>
如果未通过身份验证的用户访问了受保护的页面,Spring Security将浏览器重定向到login-page属性指定的路径。
如果没有指定一个登录页面,Spring Security默认将用户重定向到/spring_security_login。
然后o.s.s.web.filter.FilterChainProxy会选择o.s.s.web.authentication.ui.DefaultLoginPageGeneratingFilter,
它来渲染默认的登录页面。既然我们选择了覆盖默认的URL,我们自己负责生成登录页面。
login-processing-url属性默认为/ j_spring_security_check,它指定登录表单(其中应包括用户名和密码)应提交时,使用的HTTP POST的URL。
当spring security处理此请求时,它会尝试对用户进行认证.
username-parameter和password-parameter参数属性默认为j_username和j_password,分别指定处理登录时,Spring Security将用来认证用户的HTTP参数。
如果用户名和密码提交到登录处理页面是无效的,authentication-failure-url属性指定Spring Security会重定向的URL

2.新建src/main/webapp/WEB-INF/views/login.jsp

<?xml version="1.0" encoding="ISO-8859-1" ?>
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<c:set var="pageTitle" value="Please Login" scope="request"/>
<jsp:include page="./includes/header.jsp"/>
<c:url value="/login" var="loginUrl"/>
<form action="${loginUrl}" method="post">
    <c:if test="${param.error != null}">
        <div class="alert alert-error">
            Failed to login.
            <c:if test="${SPRING_SECURITY_LAST_EXCEPTION != null}">
              Reason: <c:out value="${SPRING_SECURITY_LAST_EXCEPTION. 
              message}" />
            </c:if>
        </div>
    </c:if>
    <c:if test="${param.logout != null}">
        <div class="alert alert-success">
            You have been logged out.
        </div>
    </c:if>
    <label for="username">Username</label>
    <input type="text" id="username" name="username"/>
    <label for="password">Password</label>
    <input type="password" id="password" name="password"/>
    <div class="form-actions">
        <input id="submit" class="btn" name="submit" type="submit"  
        value="Login"/>
    </div>
</form>
<jsp:include page="./includes/footer.jsp"/>
表单的action要匹配上面的login-processing-url,并且请求方式是post.session属性SPRING_SECURITY_LAST_EXCEPTION包含了最新o.s.s.core.AuthenticationException异常.
用来显示失败登录原因.input names匹配上面的username-parameter和password-parameter


3.让spring mvc识别新的url请求,在src/main/java/com/packtpub/springsecurity/web/config/WebMvcConfig.
java添加如下代码: 
public void addViewControllers(ViewControllerRegistry registry){ 
    registry.addViewController("/login/form").setViewName("login"); 
}
二.不急着测试,连登出也做了.
1.在security.xml继续配置http元素,添加 
<logout logout-url="/logout" 
            logout-success-url="/login/form?logout"/>

logout-url指定登出的处理链接,默认是/j_spring_security_logout.实际上会被o.s.s.web.authentication.logout.LogoutFilter处理.
logout-success-url当然是成功登录后的跳转url


2.在src/main/webapp/WEB-INF/views/includes/header.jsp加上 

<c:url var="logoutUrl" value="/logout"/> 
<li>
   <a href="${logoutUrl}">Logout</a>
</li>

在src/main/webapp/WEB-INF/views/login.jsp加上 

<c:if test="${param.logout != null}"> 
    <div class="alert alert-success">
        You have been logged out. 
    </div> 
</c:if>
3.重启jetty,会发现输入的登录url好像处理,起初我也怀疑是不是jetty坏了,实际上是被<intercept-url pattern="/**" access="ROLE_USER"/>它拦了,
登录页也无情,一样被拦,所以我们要排除登录和登出的页面被这配置拦截.在 <intercept-url pattern="/**" access="ROLE_USER"/>前面加上(为什么是前面就不必问了), 
<intercept-url pattern="/" access="ROLE_ANONYMOUS,ROLE_USER"/> 
<intercept-url pattern="/login/*" 
            access="ROLE_ANONYMOUS,ROLE_USER"/> 
<intercept-url pattern="/logout" 
    access="ROLE_ANONYMOUS,ROLE_USER"/> 
<intercept-url pattern="/events/" access="ROLE_ADMIN"/>
顺便在这个http元素之前再配置一个http,security设为none意味着这样的请求不会做权限处理.直接忽略让过. 
<http pattern="/resources/**" security="none"/>
? 匹配单个字符
* 匹配0个或多个字符, 排除 /.
** 在一个路径匹配一个或多个目录.


4.重启jetty,发现可以正常登录了.


三.基于表达式的授权.使用了use-expressions设为true后,access配置就只能使用表达式语法了.permitAll还是一样能使用的.
例如像下面: 
<http auto-config="true"  use-expressions="true"> 
    <intercept-url pattern="/" access="permitAll"/> 
    <intercept-url pattern="/login/*"  access="permitAll"/> 
    <intercept-url pattern="/logout"  access="permitAll"/> 
    <intercept-url pattern="/events/"  access="hasRole('ROLE_ADMIN')"/> 
    <intercept-url pattern="/**"  access="hasRole('ROLE_USER')"/>
    <form-login ../> 
    ... 
</http>
可以重启jetty测试.
四.有条件地显示认证信息(指的是在jsp页面使用sec标签)
1.加入新依赖 
<dependency> 
	<groupId>org.springframework.security</groupId> 
	<artifactId>spring-security-taglibs</artifactId> 
	<version>3.1.0.RELEASE</version> 
</dependency>
2.jsp引入标签就可以使用了 
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

<sec:authorize access="authenticated" var="authenticated"/>
<c:choose>
<c:when test="${authenticated}">
  <li id="greeting">
    <div>
      Welcome 
      <sec:authentication property="name" />
    </div>
  </li>
<c:url var="logoutUrl" value="/logout"/>
  <li>
    <a id="navLogoutLink" href="${logoutUrl}">Logout</a>
  </li>
</c:when>
<c:otherwise>
  <c:url var="loginUrl" value="/login/form"/>
  <li>
    <a id="navLoginLink" href="${loginUrl}">Login</a>
  </li>
</c:otherwise>
</c:choose>

可再次重启jetty测试了
五.登录后再想做些事情...即定义登录后的行为.
通过form-login元素的default-target-url属性,再在controller定义一个处理方法就OK了



xiejx618
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷歌浏览器审查元素http头部分析
u012966026的专栏
12-09 2239
浏览器端向服务器端发送的请求Header如下: Host zhiqiang.org 请求的域名 User-Agent Mozilla/5.0... 浏览器端浏览器型号和版本 Accept text/xml,application/xml ... 可接受的内容类型 Accept-Language zh-cn,zh;q=0.5 语言
HTTP核心模块配置静态web服务器 7-文件操作的优化
走在悬崖的边上
10-27 310
7,文件操作的优化 7-1,sendfile系统调用 语法:sendfile on|off; 默认:sendfile off; 配置块:http,server,location 可以启动linux上的sendfile系统调用来发送文件,它减少了内核态与用户态之间的两次内存复制,这样就会从磁盘中读取文件后直接在内核态发送到网卡设备,提高了发送文件的效率 7-2,A
Http常用标签分析以及行内元素和块级元素分析/以及语义化HTML
weixin_44181180的博客
09-10 685
文章目录前言一、常用标签二、行内元素和块级元素总结 前言 上次写的代码,导师一看就直呼不行了~~~,满屏的div和span,妈呀~~虽然不是不行,但是对于内容的可读行,和美观就很不好啦,对于美的追求,我们当然要熟悉的根据场景使用HTTP中的标签 一、常用标签 二、行内元素和块级元素 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。 ...
html <meta http-equiv="refresh" content="0; url=">什么意思?
苦艾文艺
10-14 3485
页面定期刷新,如果加url的,则会重新定向到指定的网页,content后面跟的是时间(单位秒),把这句话加到指定网页的里 一般也用在实时性很强的应用中,需要定期刷新的 如新闻页面,论坛等,不过一般不会用这个,都用新的技术比如ajax等 ’经过一段时间转到另外某个页面 content=”0;URL=”,这里0表示没有延时,直接跳转到后面的URL;把0改成1,则延时1秒后跳转。网页自动计时
验证码
lasifangjia的博客
10-25 171
------verifycode.java package cn.e3testmall.controller; import java.awt.BasicStroke; import java.awt.Color; import java.awt.Font; import java.awt.Graphics2D; import java.awt.image.Buffer
Jsp自定义标签和方法详解
01-20
- `tag` 元素用于定义自定义标签,包括标签的名字、类、属性等。 - `function` 元素定义自定义函数,指定函数名和实现类。 3. **使用自定义标签** 在JSP页面中,可以通过以下方式引入自定义标签库: ```jsp ...
spring security自定义登录页面
08-29
在上面的配置中,我们使用了 `<sec:form-login>` 元素来指定我们的登录页面。其中,`login-page` 属性指定了我们的登录页面的 URL,`authentication-failure-url` 属性指定了登录失败后跳转的页面,而 `default-...
pasronavenue:用于 http自定义 WordPress 主题
06-24
"pasronavenue" 是一个专门针对 HTTP 服务设计的自定义 WordPress 主题,它旨在为网站提供独特的外观和交互体验。这个主题可能是由开发者或设计师为了满足特定需求或者个性化定制而创建的,区别于WordPress官方提供...
自定义titleLayout
03-29
-- 添加其他自定义按钮或元素 --> ``` 2. **集成到Activity**:在每个需要使用自定义标题栏的Activity中,可以通过设置`setSupportActionBar()`或者`setCustomView()`方法来使用这个自定义布局。例如: ```java ...
Android 自定义View步骤
09-02
在`res/values/attrs.xml`文件中,通过`<declare-styleable>`元素定义自定义的属性。例如,对于一个饼状图(PieChart)View,你可能需要定义`showText`(是否显示文本)和`labelPosition`(标签位置)两个属性。...
Spring Security学习笔记三
DingZuoHeng的博客
02-23 461
intercept-url配置指定拦截的 url通过 pattern 指定当前 intercept-url 定义应当作用于哪些 url。可以通过 access 属性来指定 intercept-url 对应 URL 访问所应当具有的权限。access 的值是一个字符串,其可以直接是一个权限的定义,也可以是一个表达式。常用的类型有简单的角色名称定义,多个名称之间用逗号分隔,如&lt;security:...
5. Spring Security 5.1 之身份验证相关配置
极客星云-CSDN博客
04-14 918
Spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?
2.HTTP协议(Requset、Response)
xyc1211的博客
08-22 8355
目录 http协议 http报文解析: Http请求(浏览器->服务器) HttpServletRequest对象: Http响应(服务器->浏览器) HttpServletResponse对象: http协议 对浏览器客户端 和 服务器端 之间数据传输的格式规范。 基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等) 无状态, 但是...
HTTP协议基础学习
静静是我女朋友
06-08 818
理解Web请求流程 web请求流程概述 B/S网络架构和请求流程概述 理解HTTP协议的相关元素 HTTP协议 HTTP消息头 HTTP请求 OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。 HEAD:向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在...
Spring Security4.0 中配置自定义的login页面
SamuelQ的博客
05-20 5135
最近在研究Spring mvc 4的应用,Security 部分无疑是重要的一块。
[转]HTTP请求模型和头信息参考
heiyeluren的blog(黑夜路人的开源世界)
04-14 3950
 [转]HTTP请求模型和头信息参考参考: http://blog.csdn.net/baggio785/archive/2006/04/13/661410.aspx模型: http://blog.csdn.net/baggio785/archive/2006/04/13/661412.aspxHTTP请求模型一、连接至Web服务器一个客户端应用(如Web浏览器)打开到Web服
元素 ‘tx:advice‘ 中不允许出现属性 ‘transaction-manager‘
Dream_6666的博客
08-05 400
元素 ‘tx:advice’ 中不允许出现属性 ‘transaction-manager’ IDEA自动生成的关于’tx引用的xml约束不全面,,特此奉上全面的一版 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:cont
一些有用的HTML5 pattern属性
weixin_33819479的博客
11-27 410
最近在做手机页面时,遇到数字输入的键盘的问题,之前的做法只是一刀切的使用 type="tel",不过一直觉得九宫格的电话号码键盘上的英文字母太碍事了。于是想要尝试其它的实现方案,最终的结论却令人沮丧。不过也趁机详细了解了下pattern这个属性。 type="tel" 和 type="number" 的区别 这里还是先那么先交代一下最初遇到的问题。其实无论是tel还是number都不是完美的:...
情人节表白html代码.txt
最新发布
08-11
七夕情人节html代码
mediapipe-0.8.10.1-cp39-cp39-manylinux2014_x86_64.whl
08-11
mediapipe-0.8.10.1-cp39-cp39-manylinux2014_x86_64.whl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值