在上一篇博客spring security起步二:自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题:
1.spring security如何对登录请求进行拦截
2.登录成功后如何跳转
3.登录失败后如何跳转
form-login属性详解
form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性:
1. login-page 自定义登录页url,默认为/login
2. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action
3. default-target-url 默认登录成功后跳转的url
4. always-use-default-target 是否总是使用默认的登录成功后跳转url
5. authentication-failure-url 登录失败后跳转的url
6. username-parameter 用户名的请求字段 默认为userName
7. password-parameter 密码的请求字段 默认为password
8. authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用
9. authentication-success-forward-url 用于authentication-failure-handler-ref
10. authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求
11. authentication-failure-forward-url 用于authentication-failure-handler-ref
12. authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用
spring security登录相关的过滤器
首先应注意的一点是,spring security 3.x 默认的登录拦截URL是/j_spring_security_check,而spring security 4.x默认拦截的URL是/login。在spring security中,具体处理表单登录验证的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一个过滤器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用于在没有指定登录页时动态生成一个默认登录页
登录配置
登录页面 login.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body onload='document.f.username.focus();'>
<h3>Login with Username and Password</h3>
<form name='f' action='${pageContext.request.contextPath }/login'
method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit"
value="Login" /></td>
</tr>
</table>
</form>
</body>
</html>
登录成功页面 index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
登录成功
</body>
</html>
登录失败页面 login-failure.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
登录失败
</body>
</html>
页面配置完成,剩下的就是映射url到具体的页面
登录成功页面映射 HelloController.java
@Controller
public class HelloController {
@RequestMapping(value={"/welcome","/"},method=RequestMethod.GET)
public String welcome(){
return "index";
}
}
登录页面及登录失败页面映射 LoginController.java
@Controller
public class LoginController {
@RequestMapping(value = "/login", method = RequestMethod.GET)
public String loginPage(@RequestParam(value = "error", required = false) String error, Model model) {
if (error != null) {
return "login-failure";
}
return "login";
}
}
spring security配置 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<http pattern="/login" security="none"></http>
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
<form-login login-page="/login" login-processing-url="/login" always-use-default-target="true"
default-target-url="/welcome" authentication-failure-url="/login?error=error" />
</http>
<authentication-manager alias="authenticationManager">
<authentication-provider>
<user-service>
<user authorities="ROLE_USER" name="guest" password="guest" />
</user-service>
</authentication-provider>
</authentication-manager>
</bean:beans>
现在,配置基本完成,启动项目后,在登录页面输入用户名和密码,不管正确与否都会有405错误Request method ‘POST’ not supported。为什么会出现这个错误呢?
登录请求405错误
在登录请求中出现405错误,其实是我们在配置过程中,spring mvc和spring security出现了一点冲突导致的。
首先,请注意下面这两个配置段
<http pattern="/login" security="none"></http>
<form-login login-page="/login" login-processing-url="/login" ......
第一个配置告诉spring security,类似于/login的url请求不做过滤处理,而第二个配置信息又告诉spring security url为/login的post请求登录请求处理。正是这种冲突导致了405错误的发生。
既然知道了错误原因,那么只要避免冲突就能解决这个问题:使登录页的请求和登录处理的请求不一致,然后只配置登录页的请求不做拦截处理.
我采用的方法是使用默认的登录URL /login,修改登录页面跳转url为/loginPage。请自行修改代码和配置信息
这样是不是就大工告成了呢?很遗憾,当你启动程序时,输出用户名和密码,不管正确与否,都会有404 Not Found等着你,这又是为什么呢?
登录请求404错误
首先,建议你看一下spring security自动生成的登录页源码,你会发现有如下代码
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
对于什么是csrf,请自行参考网上的资料。
spring security默认情况下csrf protection是开启的,由于我们的登录页没有配置csrf的相关信息,因此spring security内置的过滤器将此链接置为无效链接
解决办法就是配置csrf protection为不可用状态,在配置文件中增加
<csrf disabled="true"/>
附上完整的spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<http pattern="/loginPage" security="none"></http>
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
<form-login login-page="/loginPage" login-processing-url="/login" always-use-default-target="true"
default-target-url="/welcome" authentication-failure-url="/loginPage?error=error" />
<csrf disabled="true"/>
</http>
<authentication-manager alias="authenticationManager">
<authentication-provider>
<user-service>
<user authorities="ROLE_USER" name="guest" password="guest" />
</user-service>
</authentication-provider>
</authentication-manager>
</bean:beans>
到此为止,大功告成
源码下载
源码下载地址https://github.com/SmallBadFish/spring_security_demo/archive/0.1.1-customlogin.zip