Spring Security自定義表單登錄實例

默認情況下,如果沒有指定登錄表單,Spring Security會自動創建一個默認的登錄表單。請參閱 - Spring Security Hello World實例。

在本教程中,我們將向您展示如何創建Spring Security(例如XML)定製登錄表單。注意:由於在這一系列教程中使用的是Maven來創建工程,如果不瞭解 Mave 如何使用的,可以參考:http://www.yiibai.com/maven/create-a-maven-web-project-with-eclipse.html

需要使用到的技術:

  1. Spring 3.2.8.RELEASE
  2. Spring Security 3.2.3.RELEASE
  3. Eclipse 4.2
  4. JDK 1.6
  5. Maven 3

注意

在這個例子中,之前 Spring Security hello world實例將重新使用,現在我們增強它以支持自定義登錄表單。

1. 目錄結構

我們來看看本教程的最終目錄結構,如下圖所示:
Spring

2. Spring Security配置

在Spring XML文件自定義登錄表單。請參見下面的解釋:

  1. login-page=」/login」 – 用於顯示自定義登錄表單的頁面
  2. authentication-failure-url=」/login?error」 – 如果驗證失敗,則將轉向URL:/login?error
  3. logout-success-url=」/login?logout」 –如果登錄成功,則將轉向URL:/logout
  4. username-parameter=」username」 – 請求包含「username」的名字。在HTML中,這是在輸入文本的名稱。
  5. – 啓用跨站請求僞造(CSRF)保護,請參閱此鏈接。在XML中,默認情況下CSRF保護被禁用。

通常情況下,我們並不像登錄或註銷處理認證,要讓Spring處理它,我們只需要在處理成功或失敗的頁面中顯示。

spring-security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">

<http auto-config="true">
    <intercept-url pattern="/admin\*\*" access="ROLE\_USER" />
    <form-login 
        login-page="/login" 
        default-target-url="/welcome" 
        authentication-failure-url="/login?error" 
        username-parameter="username"
        password-parameter="password" />
    <logout logout-success-url="/login?logout" />
    <!-- enable csrf protection -->
    <csrf/>
</http>

<authentication-manager>
    <authentication-provider>
      <user-service>
        <user name="yiibai" password="123456" authorities="ROLE\_USER" />
      </user-service>
    </authentication-provider>
</authentication-manager>

在上面顯示成功的配置中,/admin 及其子文件夾都被密碼保護。

跨站請求僞造(CSRF)保護

如果啓用了CSRF,那麼在登錄或註銷頁面中必須包括_csrf.token。請參閱下面 login.jsp和admin.jsp(註銷表單)。否則登錄和註銷功能將失敗。

密碼明文?

在過去,您應該大部分時候都在使用哈希算法SHA來加密密碼,本教程教學習如何使用 Spring Security 中的密碼哈希例子。

3. 定義登錄表單

自定義登錄表單,以匹配上面(步驟3)Spring Security 的登錄成功顯示。它應該是很容易就能理解的。

login.jsp

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>

Login Page

<h1>Spring Security Custom Login Form (XML)</h1>

<div id="login-box">

    <h2>Login with Username and Password</h2>

    <c:if test="${not empty error}">
        <div class="error">${error}</div>
    </c:if>
    <c:if test="${not empty msg}">
        <div class="msg">${msg}</div>
    </c:if>

    <form name='loginForm'
      action="<c:url value='j\_spring\_security\_check' />" method='POST'>

      <table>
        <tr>
            <td>User:</td>
            <td><input type='text' name='username' value=''></td>
        </tr>
        <tr>
            <td>Password:</td>
            <td><input type='password' name='password' /></td>
        </tr>
        <tr>
            <td colspan='2'><input name="submit" type="submit"
                value="submit" /></td>
        </tr>
      </table>

      <input type="hidden" name="${\_csrf.parameterName}"
        value="${\_csrf.token}" />

    </form>
</div>

而另外兩個JSP頁面,admin.jsp中的密碼已經被 Spring 安全保護。

hello.jsp

<%@page session="false"%>

Title : ${title}

Message : ${message}

admin.jsp + logout

<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>

Title : ${title}

Message : ${message}

<c:url value="/j\_spring\_security\_logout" var="logoutUrl" />

<!-- csrt for log out-->
<form action="${logoutUrl}" method="post" id="logoutForm">
  <input type="hidden" 
    name="${\_csrf.parameterName}"
    value="${\_csrf.token}" />
</form>

<script>
    function formSubmit() {
        document.getElementById("logoutForm").submit();
    }
</script>

<c:if test="${pageContext.request.userPrincipal.name != null}">
    <h2>
        Welcome : ${pageContext.request.userPrincipal.name} | <a
            href="javascript:formSubmit()"> Logout</a>
    </h2>
</c:if>

4. Spring MVC控制器

一個簡單的控制器,如下代碼所示 - 

HelloController.java

package com.yiibai.web.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;

@Controller
public class HelloController {

@RequestMapping(value = { "/", "/welcome\*\*" }, method = RequestMethod.GET)
public ModelAndView welcomePage() {

    ModelAndView model = new ModelAndView();
    model.addObject("title", "Spring Security Custom Login Form");
    model.addObject("message", "This is welcome page!");
    model.setViewName("hello");
    return model;

}

@RequestMapping(value = "/admin\*\*", method = RequestMethod.GET)
public ModelAndView adminPage() {

    ModelAndView model = new ModelAndView();
    model.addObject("title", "Spring Security Custom Login Form");
    model.addObject("message", "This is protected page!");
    model.setViewName("admin");

    return model;

}

//Spring Security see this :
@RequestMapping(value = "/login", method = RequestMethod.GET)
public ModelAndView login(
    @RequestParam(value = "error", required = false) String error,
    @RequestParam(value = "logout", required = false) String logout) {

    ModelAndView model = new ModelAndView();
    if (error != null) {
        model.addObject("error", "Invalid username and password!");
    }

    if (logout != null) {
        model.addObject("msg", "You've been logged out successfully.");
    }
    model.setViewName("login");

    return model;

}

}

5. 示例

5.1. 歡迎頁面 – http://localhost:8080/spsecurity-custom-login-form-xml/welcome ,結果如下圖中所示 - 
Spring

5.2 嘗試訪問:http://localhost:8080/spsecurity-custom-login-form-xml/admin 頁面,Spring Security將截取請求並重定向到 /login ,並顯示您的自定義登錄表單。
Spring

5.3. 如果用戶名和密碼不正確,將顯示錯誤信息,並且Spring將重定向到網址: http://localhost:8080/spsecurity-custom-login-form-xml/login?error.
Spring

5.4. 如果用戶名和密碼都正確,Spring將重定向到原請求的URL並顯示該網頁信息。
Spring

5.5. 嘗試註銷,它會重定向到   http://localhost:8080/spsecurity-custom-login-form-xml/login?logout 頁面。
Spring

下載源代碼


下載本實例中的代碼 –  spring-security-custom-login-form-xml.zip