在前面三个博客的例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果。

一 自定义页面

login.jsp:
<%@ page language="java" contentType="text/html; charset=utf-8"

	pageEncoding="utf-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>自定义登陆页面</title>

</head>

<body>

	<div class="error ${param.error == true ? '' : 'hide'}">

		登陆失败<br>

		${sessionScope['SPRING_SECURITY_LAST_EXCEPTION'].message}

	</div>

	<form method="post" action="${pageContext.request.contextPath}/j_spring_security_check" style="width:260px; text-align: center">

		<fieldset>

			<legend>登陆</legend>

			用户: <input type="text" name="j_username" style="width: 150px;"

				value="${sessionScope['SPRING_SECURITY_LAST_USERNAME']}" /><br />

			密码: <input type="password" name="j_password" style="width: 150px;" /><br />

			<input type="checkbox" name="_spring_security_remember_me" />两周之内不必登陆<br />

			<input type="submit" value="登陆" /> <input type="reset" value="重置" />

		</fieldset>

	</form>

</body>

</html>

  

说明:
1、特别要注意的是form表单的action是提交登陆信息的地址,这是security内部定义好的,同时自定义form时,要把form的action设置为/j_spring_security_check。注意这里要使用绝对路径,避免登陆页面存放的页面可能带来的问题。
2、j_username,输入登陆名的参数名称,j_password,输入密码的参数名称,这两个正常情况下也不会修改。

3、_spring_security_remember_me,选择是否允许自动登录的参数名称。可以直接把这个参数设置为一个checkbox,无需设置value,Spring Security会自行判断它是否被选中,这也是security内部提供的,只需要配置,不需要自己实现。

二 配置制定的页面

配置文件如下:

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

	xmlns:beans="http://www.springframework.org/schema/beans"

	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	xsi:schemaLocation="http://www.springframework.org/schema/beans

    					http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

    					http://www.springframework.org/schema/context

    					http://www.springframework.org/schema/context/spring-context-3.1.xsd

                		http://www.springframework.org/schema/tx

                		http://www.springframework.org/schema/tx/spring-tx-3.0.xsd

                		http://www.springframework.org/schema/security

                		http://www.springframework.org/schema/security/spring-security.xsd">

	<!-- <http pattern="/login.jsp" security="none"></http> -->

	<http auto-config="false">

	    <intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />

	    <intercept-url pattern="/adminPage.jsp" access="ROLE_ADMIN" />

	    <intercept-url pattern="/**" access="ROLE_USER" />

	    <form-login login-page="/login.jsp" default-target-url="/index.jsp"

	        authentication-failure-url="/login.jsp?error=true" />

	    <logout invalidate-session="true"

		      logout-success-url="/login.jsp"

		      logout-url="/j_spring_security_logout"/>

	</http>

	<!-- 数据源 -->

	<beans:bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"

		destroy-method="close">

		<!-- 此为c3p0在spring中直接配置datasource c3p0是一个开源的JDBC连接池 -->

		<beans:property name="driverClass" value="com.mysql.jdbc.Driver" />

		<beans:property name="jdbcUrl"

			value="jdbc:mysql://localhost:3306/springsecuritydemo?useUnicode=true&characterEncoding=UTF-8" />

		<beans:property name="user" value="root" />

		<beans:property name="password" value="" />

		<beans:property name="maxPoolSize" value="50"></beans:property>

		<beans:property name="minPoolSize" value="10"></beans:property>

		<beans:property name="initialPoolSize" value="10"></beans:property>

		<beans:property name="maxIdleTime" value="25000"></beans:property>

		<beans:property name="acquireIncrement" value="1"></beans:property>

		<beans:property name="acquireRetryAttempts" value="30"></beans:property>

		<beans:property name="acquireRetryDelay" value="1000"></beans:property>

		<beans:property name="testConnectionOnCheckin" value="true"></beans:property>

		<beans:property name="idleConnectionTestPeriod" value="18000"></beans:property>

		<beans:property name="checkoutTimeout" value="5000"></beans:property>

		<beans:property name="automaticTestTable" value="t_c3p0"></beans:property>

	</beans:bean>

	<authentication-manager>

	   	<authentication-provider>

	   	    <jdbc-user-service data-source-ref="dataSource"

	   	        users-by-username-query="select username,password,status as enabled from user where username = ?"

	   	        authorities-by-username-query="select user.username,role.name from user,role,user_role

	   	        					where user.id=user_role.user_id and

	   	        					user_role.role_id=role.id and user.username=?"/>

	   	</authentication-provider>

	</authentication-manager>

</beans:beans>

  

说明:
1、form-login这个标签是配置登陆页面的,其中的属性login-page是配置登陆页面的,default-target-url配置登陆成功后跳转到的页面,authentication-failure-url配置认证失败后的跳转页面。
2、在上面的配置中,登陆页面肯定是不能拦截的,任何人都应该可以访问,<intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />配置表示允许匿名用户访问,就是不用身份都可以访问;还有另一种配置方式:<http pattern="/login.jsp" security="none"></http>,这种配置达到的目的都是一样的。
3、logout这个标签用来配置退出或者注销,其中的属性invalidate-session,配置否是要清除session,logout-success-url配置注销成功后的跳转页面,logout-url提交退出或者注销的地址,因此我们在配置退出或者注销的时候,只需要将url设置为/j_spring_security_logout即可,这个地址也是security内部实现了的。
4、form-login标签中还有一个特别要注意的属性use-expressions,如果设置为true,这配置access就要做相应的改变,否则项目启动的时候会报错,错误如下:

如果use-expressns="true"时,则表示改为 SpEL 表达式。 SpEL 允许使用特定的访问控制规则表达式语言。与简单的字符串如 ROLE_USER 不同,配置文件可以指明表达式语言触发方法调用、引用系统属性、计算机值等等。http标签中的配置改为如下:

<http auto-config="false" use-expressions="true">

	    <intercept-url pattern="/login.jsp" access="permitAll" />

	    <intercept-url pattern="/adminPage.jsp" access="hasRole('ROLE_ADMIN')" />

	    <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />

	    <form-login login-page="/login.jsp" default-target-url="/index.jsp"

	        authentication-failure-url="/login.jsp?error=true" />

	    <logout invalidate-session="true"

		      logout-success-url="/login.jsp"

		      logout-url="/j_spring_security_logout"/>

	</http>

  配置文件中的其他配置在前面几篇博客中都有详细的讲解,这里就不赘述了。

三 其他文件

index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"

	pageEncoding="UTF-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>Insert title here</title>

</head>

<body>

	<h1>this is a user page</h1>

	<a href="${pageContext.request.contextPath}/j_spring_security_logout">退出登陆</a>

</body>

</html>

  adminPage.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"

    pageEncoding="UTF-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>Insert title here</title>

</head>

<body>

	<h1>this is a admin page</h1>

	<a href="${pageContext.request.contextPath}/j_spring_security_logout">退出登陆</a>

</body>

</html>

  

这里定义了两个页面,index.jsp用户和管理员都可以访问,adminPage.jsp只有管理员可以访问,同时两个页面都有注销按钮,注销按钮提交的地址也就是上面配置文件中的地址/j_spring_security_logout。
pom.xml和前面的一样,这里就不贴了。

四 结果

当输入普通用户的用户名和密码,同时勾选2周不用登陆后,因为adminPage.jsp页面要有管理员权限才能访问,所以普通用户访问失败,index.jsp页面就可以访问;这时关闭页面后,再次访问资源,因为勾选了2周不用登陆,所以可以成功访问;但是当点击退出登录后,再次访问是就会跳转到登陆页面,要求登陆才能访问。

当输入管理员名和密码,同时勾选2周不用登陆,验证成功后,跳转到index.jsp,同时adminPage.jsp也可以访问,这时把一个页面关闭再重新访问资源时,因为勾选2周不用登陆,所以可以成功访问;然后注销,这是再访问资源时,就会跳转到登陆页面,要求登陆才能访问。

---------------------
作者:AirMario
来源:CSDN
原文:https://blog.csdn.net/AirMario/article/details/54022812

Spring Security教程(四)的更多相关文章

  1. Spring Security教程(四):自定义登录页

    在前面的例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果. ...

  2. Spring Security教程(八):用户认证流程源码详解

    本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一.用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求 ...

  3. Spring Security教程(五):自定义过滤器从数据库从获取资源信息

    在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资 ...

  4. Spring Security教程(二):通过数据库获得用户权限信息

    上一篇博客中,Spring Security教程(一):初识Spring Security,我把用户信息和权限信息放到了xml文件中,这是为了演示如何使用最小的配置就可以使用Spring Securi ...

  5. Spring Security教程(二)

    上一篇博客中,Spring Security教程(一),我把用户信息和权限信息放到了xml文件中,这是为了演示如何使用最小的配置就可以使用Spring Security,而实际开发中,用户信息和权限信 ...

  6. Spring Security教程(三):自定义表结构

    在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项 ...

  7. 临远的spring security教程

    为啥选择Spring Security 欢迎阅读咱们写的Spring Security教程,咱们既不想写一个简单的入门教程,也不想翻译已有的国外教程.咱们这个教程就是建立在咱们自己做的OA的基础上,一 ...

  8. Spring Security 教程 大牛的教程

    https://www.iteye.com/blog/elim-2247073 Spring Security 教程 Spring Security(20)——整合Cas Spring Securit ...

  9. Spring Security教程(三)

    在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项 ...

随机推荐

  1. CDR镂空字踩坑记录

    做个成品,看似没毛病 坑1 但是对整体上个色就会发现,白框部分一片漆黑(字黑色,框子黑色) 然后根据大牛的作品染色后没毛病推出 ==> 字体要做镂空字 坑1解决 先把框内元素全部选择(字.矢量图 ...

  2. MySQL 分库分表及其平滑扩容方案

    转自:https://kefeng.wang/2018/07/22/mysql-sharding/ 众所周知,数据库很容易成为应用系统的瓶颈.单机数据库的资源和处理能力有限,在高并发的分布式系统中,可 ...

  3. 获取post传输参数

    1.获取post参数可以用 传输参数为 a=aa&b=bb这种 public static SortedDictionary<string, string> GetRequestP ...

  4. Springboot 项目源码 vue.js html 跨域 前后分离 shiro权限

    官网:www.fhadmin.org 特别注意: Springboot 工作流  前后分离 + 跨域 版本 (权限控制到菜单和按钮) 后台框架:springboot2.1.2+ activiti6.0 ...

  5. CTF-代码审计(2)

    1.bugku 备份是个好习惯 网址:http://123.206.87.240:8002/web16/ 进去什么都没有,题目说备份想到备份文件,所以直接再后面加个    .bak 拿到源码: < ...

  6. Python的字符串与字节码转换

    一张图弄懂python的字符串与字节码转换  

  7. Slf4j 打日志的问题 Exception 没有堆栈信息

    Slf4j 打日志的问题 Exception 没有堆栈信息 发现线上环境有的Exception堆栈信息没打出来,只有异常信息没有堆栈信息,难以定位 一般情况下日志这么打 log.info(" ...

  8. 201871010123-吴丽丽《面向对象程序设计(Java)》第四周学习总结

    201871010123-吴丽丽<面向对象程序设计(Java)>第四周学习总结 项目 内容 这个作业属于哪个课程 https://www.cnblogs.com/nwnu-daizh/ 这 ...

  9. CSP 201903-2 24点

    这是上一次考csp时遇到的一道简单的问题,但是当时太菜了没有写出来. 问题描述: 直接上图 解决思路: 标准的表达式求解,可以用符号栈和数值栈来存放运算符和数值,需要注意的是从左到右扫描的时候 遇到 ...

  10. 洛谷P4549 裴蜀定理 / Min

    原题链接 题目描述 给出n个数(A1...An)现求一组整数序列(X1...Xn)使得S=A1X1+...AnXn>0,且S的值最小 输入输出格式 输入格式: 第一行给出数字N,代表有N个数 下 ...