SpringSecurity使用自定义认证页面
- 4 SpringSecurity使用自定义认证页面
- 4.1 在SpringSecurity主配置文件中指定认证页面配置信息
- 4.1.1 配置springSecurity.xml配置文件
- 4.1.2 定义login.jsp
- 4.2 SpringSecurity的csrf防护机制
- 4.2.1 SpringSecurity中CsrfFilter过滤器说明
- 4.2.2 禁用csrf防护机制
- 4.2.3 在认证页面携带token请求
- 4.2.4 退出认证
- 4.2.4.1 禁用csrf过滤器
- 4.2.4.2 没有禁用csrf过滤器
4 SpringSecurity使用自定义认证页面
4.1 在SpringSecurity主配置文件中指定认证页面配置信息
4.1.1 配置springSecurity.xml配置文件
<?xmlversion="1.0"encoding="UTF-8"?>
<beansxmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--资源不过滤-->
<security:httpsecurity="none"pattern="/login.html"></security:http>
<security:httpsecurity="none"pattern="/failer.html"></security:http>
<!--
auto-config:true开启spring-security的自动配置
use-expressions="false"开启使用spring表达式的功能
-->
<security:httpauto-config="true"use-expressions="true">
<!--指定login.jsp页面可以被匿名访问-->
<security:intercept-urlpattern="/login.jsp"access="permitAll()"/>
<!--
intercept-url:拦截的请求资源/**所有的请求全部拦截
access:访问资源所需要的权限
-->
<security:intercept-urlpattern="/**"access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"></security:intercept-url>
<!--
配置自定义表单
login-page:自定义的登录页面
login-processing-url:表单提交之后,交给那么action去处理springSecurity默认提供了一个叫/login的逻辑处理
username-parameter:值必须和登录表单里面的控件名称保持一致。
password-parameter值必须和登录表单里面的控件名称保持一致。
authentication-failure-forward-url:认证失败之后,需要跳转的页面
default-target-url:认证成功之后,需要跳转的页面
-->
<security:form-loginlogin-page="/login.jsp"login-processing-url="/login"
username-parameter="username"password-parameter="password"
authentication-failure-forward-url="/failer.html"
default-target-url="/index.jsp"
/>
<!--指定退出登录后跳转的页面-->
<security:logoutlogout-url="/logout"
logout-success-url="/login.jsp"/>
</security:http>
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider>
<!--配置认证服务-->
<security:user-service>
<!--
配置认证者
name用户名
password密码
authorities权限资源
-->
<security:username="user"password="{noop}user"authorities="ROLE_USER"></security:user>
<security:username="admin"password="{noop}admin"authorities="ROLE_ADMIN"></security:user>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
4.1.2 定义login.jsp
<%@pagecontentType="text/html;charset=UTF-8"language="java"%>
<html>
<head>
<title>Title</title>
</head>
<body>
<formaction="/login"method="post">
<security:csrfInput/>
<%--<security:csrfMetaTags/>--%><%--ajax提交用这个--%>
用户名:<inputtype="text"name="username"><br>
密码:<inputtype="password"name="password"><br>
<inputtype="submit"value="提交">
</form>
</body>
</html>
再次启动项目后就可以看到自定义的酷炫认证页面了:
然后你开开心心的输入了用户名user,密码user,就出现了如下的界面:
403什么异常?这是SpringSecurity中的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码中的那个_csrf隐藏input吗?问题就在这了!
4.2 SpringSecurity的csrf防护机制
CSRF(Cross-siterequestforgery)跨站请求伪造,是一种难以防范的网络攻击方式。
4.2.1 SpringSecurity中CsrfFilter过滤器说明
打开CsrfFilter过滤器源码:
如何查看GET HEAD ERTRACE OPTIONS方法直接放行?点击if语句里面的matches方法。
查看其实现类DefaultRequiresCsrfMatcher
通过源码分析,我们明白了,自己的认证页面,请求方式为POST,但却没有携带token,所以才出现了403权限不足的异常。那么如何处理这个问题呢?
方式一:直接禁用csrf,不推荐。
方式二:在认证页面携带token请求。
4.2.2 禁用csrf防护机制
在SpringSecurity主配置文件中添加禁用crsf防护的配置。
但是这种方法一般不使用,禁用csrf过滤器,风险很大。
4.2.3 在认证页面携带token请求
先把禁用csrf过滤器的配置去掉。
再次请求,我们发现认证成功
4.2.4 退出认证
如何在主页上显示当前认证成功的用户呢?
在index.jsp页面上添加:
欢迎你,<security:authenticationproperty="principal.username"/>
4.2.4.1 禁用csrf过滤器
<!--关闭CSRF,默认是开启的允许我们使用自定义的表单-->
<security:csrfdisabled="true"/>
<ahref="${pageContext.request.contextPath}/logout">注销</a>
最后定义如下:
4.2.4.2 没有禁用csrf过滤器
如果没有禁用csrf过滤器,那么上面这种方法就不好使了。我们需要使用表单的post方法进行退出。
<formaction="${pageContext.request.contextPath}/logout"method="post">
<security:csrfInput/>
<inputtype="submit"value="注销">
</form>
最后定义如下:
