• 01-Spring Security框架学习--入门(二)


    一、入门案例

    Spring Security 自定义登录界面

    通过之前的一节 01-Spring Security框架学习--入门(一)的简单演示,Spring security 使用框架自带的登录界面,下面的案例将使用自己定义的登录页面。

    基本步骤

    1. 添加如下页面:
    • 登录界面 src/main/webapp/login.html
       <!DOCTYPE html>
       <html>
       <head>
       <meta charset="UTF-8">
       <title>登录</title>
       </head>
       <body>
       <h3>自定义的登录界面</h3>
       	<form action="/login" method="post">
       		用户名: <input type="text" name="username"><br>
       		密码:     <input type="password" name="password"><br>
       		<input name="submit" type="submit" value="登陆">
       	</form>
       </body>
       </html>
    
    • 登录结果页面 src/main/webapp/login_error.html
        <!DOCTYPE html>
        <html>
        <head>
        <meta charset="UTF-8">
        <title>登录错误</title>
        </head>
        <body>
        	<span style="color:red">用户名或密码错误,无权访问!</span>
        </body>
        </html>
    
    1. 修改Spring-security.xml 配置
      src/main/resources/spring/spring-security.xml
        <?xml version="1.0" encoding="UTF-8"?>
        <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation="http://www.springframework.org/schema/beans
            http://www.springframework.org/schema/beans/spring-beans.xsd
            http://www.springframework.org/schema/security
            http://www.springframework.org/schema/security/spring-security.xsd">
        
          <!-- 设置不用不用登陆规则(注意:路径前'/'符号不可省略) -->
          <http pattern="/login.html" security="none"></http>
          <http pattern="/login_error.html" security="none"></http>
          
          <!-- 页面的链接规则 -->
          <http use-expressions="false">
            <intercept-url pattern="/**" access="ROLE_ADMIN" />
            <!-- 开启表单提交功能(注意:路径前'/'符号不可省略)-->
            <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>
            <!-- 关闭 csrf 拦截 -->
            <csrf disabled="true"/>
          </http>
          <!-- 认证管理器 -->
          <authentication-manager>
            <authentication-provider>
              <user-service>
                <user name="admin" password="admin" authorities="ROLE_ADMIN" />
              </user-service>
            </authentication-provider>
          </authentication-manager>
          </beans:beans>manager>
          </beans:beans>
    

    运行效果

    效果简介

    运行问题

    1. 如下错误:HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
      crsf导致访问错误
      这是由于Spring security 默认开启防范CSRF攻击导致,目前demo演示关闭即可。

    二、Spring security 的总结

    1. 通过路上的简单的配置,Spring security 为我们将我们很多的事情:
    • 在你的应用中每个URL都要求认证
    • 为你生成一个登陆表单
    • 允许用户在表单中提交 Username 用户名为user 以及 Password 密码为 password 来进行认证
    • 允许用户注销
    • 防范CSRF攻击
    • 防范Session Fixation
    • 集成Security Header
    1. spring security的基本原理

    spring 通过servlet的拦截器``拦截HTTP请求,在这个过滤链的作用下用户认证和授权。
    基本原理流程

    如果想深入了解原理流程【请移步】

  • 相关阅读:
    I/O流
    课堂测试
    1021课堂内容
    课堂jsp
    课堂动手动脑
    从小工到专家读后感
    课堂测试2
    回文课堂测试
    一周进度条博客
    Echart图表
  • 原文地址:https://www.cnblogs.com/weir110/p/9434354.html
Copyright © 2020-2023  润新知