以下内容参考了 http://www.mkyong.com/spring-security/spring-security-form-login-example/

接上回,在前面的Hello World示例中,Spring Security为我们自动生成了默认登录页,对于大多数项目而言,如此简单的登录页并不能满足实际需求,接下来,我们看看如何自定义登录页

一、项目结构

前一个示例相比较,只是多了一个css样式以及登录页login.jsp,这二个文件具体的内容如下:

 @CHARSET "UTF-8";

 .error {

     padding: 15px;

     margin-bottom: 20px;

     border: 1px solid transparent;

     border-radius: 4px;

     color: #a94442;

     background-color: #f2dede;

     border-color: #ebccd1;

 }

 .msg {

     padding: 15px;

     margin-bottom: 20px;

     border: 1px solid transparent;

     border-radius: 4px;

     color: #31708f;

     background-color: #d9edf7;

     border-color: #bce8f1;

 }

 #login-box {

     width: 300px;

     padding: 20px;

     margin: 100px auto;

     background: #fff;

     -webkit-border-radius: 2px;

     -moz-border-radius: 2px;

     border: 1px solid #000;

 }

login.css

 <%@ page language="java" contentType="text/html; charset=UTF-8"

     pageEncoding="UTF-8"%>

 <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>

 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

 <html>

 <head>

 <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

 <title>Login Page</title>

 <link rel="Stylesheet" type="text/css" href="${pageContext.request.contextPath}/resources/css/login.css" />

 </head>

 <body onload='document.loginForm.username.focus();'>

     <h1>Spring Security Custom Login Form (XML)</h1>

     <div id="login-box">

         <h3>Login with Username and Password</h3>

         <c:if test="${not empty error}">

             <div class="error">${error}</div>

         </c:if>

         <c:if test="${not empty msg}">

             <div class="msg">${msg}</div>

         </c:if>

         <form name='loginForm'

             action="<c:url value='j_spring_security_check' />" method='POST'>

             <table>

                 <tr>

                     <td>User:</td>

                     <td><input type='text' name='username' value=''></td>

                 </tr>

                 <tr>

                     <td>Password:</td>

                     <td><input type='password' name='password' /></td>

                 </tr>

                 <tr>

                     <td colspan='2'><input name="submit" type="submit"

                         value="submit" /></td>

                 </tr>

             </table>

             <input type="hidden" name="${_csrf.parameterName}"

                 value="${_csrf.token}" />

         </form>

     </div>

 </body>

 </html>

login.jsp

有几个地方解释一下:

第9行,css静态资源的引用方式,如果对Spring MVC不熟悉的人,可借此示例学习一下

15-20行,用了一个if标签来判断登录验证是否有错,如果验证失败,则显示错误信息,其中error,msg这二个变量,是从Controller里返回的信息(后面马上会讲到)

23行form表单的action地址留意一下,这个不能改,这是Spring Security的约定

38-39行的隐藏域_csrf,这是用来防止跨站提交攻击的,如果看不懂,可暂时无视。

二、Controller

 package com.cnblogs.yjmyzz;

 import org.springframework.stereotype.Controller;

 import org.springframework.web.bind.annotation.RequestMapping;

 import org.springframework.web.bind.annotation.RequestMethod;

 import org.springframework.web.bind.annotation.RequestParam;

 import org.springframework.web.servlet.ModelAndView;

 @Controller

 public class HelloController {

     @RequestMapping(value = { "/", "/welcome" }, method = RequestMethod.GET)

     public ModelAndView welcome() {

         ModelAndView model = new ModelAndView();

         model.addObject("title", "Spring Security Custom Login Form");

         model.addObject("message", "This is welcome page!");

         model.setViewName("hello");

         return model;

     }

     @RequestMapping(value = "/admin", method = RequestMethod.GET)

     public ModelAndView admin() {

         ModelAndView model = new ModelAndView();

         model.addObject("title", "Spring Security Custom Login Form");

         model.addObject("message", "This is protected page!");

         model.setViewName("admin");

         return model;

     }

     //新增加的Action方法,映射到

     // 1. /login 登录页面的常规显示

     // 2. /login?error 登录验证失败的展示

     // 3. /login?logout 注销登录的处理

     @RequestMapping(value = "/login", method = RequestMethod.GET)

     public ModelAndView login(

             @RequestParam(value = "error", required = false) String error,

             @RequestParam(value = "logout", required = false) String logout) {

         ModelAndView model = new ModelAndView();

         if (error != null) {

             model.addObject("error", "Invalid username and password!");

         }

         if (logout != null) {

             model.addObject("msg", "You've been logged out successfully.");

         }

         model.setViewName("login");

         return model;

     }

 }

HelloController

增加了一个login方法,映射到登录的三种情况(常规显示,出错展示,注销登录)

三、spring-security.xml

 <beans:beans xmlns="http://www.springframework.org/schema/security"

     xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

     xsi:schemaLocation="http://www.springframework.org/schema/beans

     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

     http://www.springframework.org/schema/security

     http://www.springframework.org/schema/security/spring-security-3.2.xsd">

     <http auto-config="true">

         <intercept-url pattern="/admin" access="ROLE_USER" />

         <form-login login-page="/login" default-target-url="/welcome"

             authentication-failure-url="/login?error" username-parameter="username"

             password-parameter="password" />

         <logout logout-success-url="/login?logout" />

         <!-- enable csrf protection -->

         <csrf />

     </http>

     <authentication-manager>

         <authentication-provider>

             <user-service>

                 <user name="yjmyzz" password="123456" authorities="ROLE_USER" />

             </user-service>

         </authentication-provider>

     </authentication-manager>

 </beans:beans>

spring-security.xml

注意8-16行的变化,一看即懂,就不多做解释了

运行效果:

登录页正常显示的截图

登录失败的截图

有兴趣的还可以看下对应的html源代码

防跨站提交攻击的_csrf隐藏域,会生成一个随机的类似guid字符串来做校验,以确定本次http post确实是从本页面发起的,这跟asp.net里mac ViewState的思路一致。

最后附示例源代码下载:SpringSecurity-CustomLoginForm-XML(0717).zip

Spring Security笔记:自定义登录页的更多相关文章

  1. spring security采用自定义登录页和退出功能

    更新... 首先采用的是XML配置方式,请先查看  初识Spring security-添加security 在之前的示例中进行代码修改 项目结构如下: 一.修改spring-security.xml ...

  2. spring security之 默认登录页源码跟踪

    spring security之 默认登录页源码跟踪 ​ 2021年的最后2个月,立个flag,要把Spring Security和Spring Security OAuth2的应用及主流程源码研究透 ...

  3. spring security使用自定义登录界面后,不能返回到之前的请求界面的问题

    昨天因为集成spring security oauth2,所以对之前spring security的配置进行了一些修改,然后就导致登录后不能正确跳转回被拦截的页面,而是返回到localhost根目录. ...

  4. Spring Security笔记:登录尝试次数限制

    今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次 ...

  5. spring security 之自定义表单登录源码跟踪

    ​ 上一节我们跟踪了security的默认登录页的源码,可以参考这里:https://www.cnblogs.com/process-h/p/15522267.html 这节我们来看看如何自定义单表认 ...

  6. Spring Security笔记:使用数据库进行用户认证(form login using database)

    在前一节,学习了如何自定义登录页,但是用户名.密码仍然是配置在xml中的,这样显然太非主流,本节将学习如何把用户名/密码/角色存储在db中,通过db来实现用户认证 一.项目结构 与前面的示例相比,因为 ...

  7. Spring-Security自定义登录页&inMemoryAuthentication验证

    Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架.框架下内容比较多,可以做到按照角色权限对请求路径进行限制.今天主要验证自定义登录页,在内存用户存储中进行请求 ...

  8. Spring Security 的注册登录流程

    Spring Security 的注册登录流程 数据库字段设计 主要数据库字段要有: 用户的 ID 用户名称 联系电话 登录密码(非明文) UserDTO对象 需要一个数据传输对象来将所有注册信息发送 ...

  9. Spring Security笔记:HTTP Basic 认证

    在第一节 Spring Security笔记:Hello World 的基础上,只要把Spring-Security.xml里改一个位置 <http auto-config="true ...

随机推荐

  1. go的环境变量设置

    GOROOT go的安装路劲 如:D:\Program Files\Go GOPATH go的工作路径 GOPATH可以设置多个.存放包文件.比如你引入 "xxx"包.那么go会去 ...

  2. [转]listview加载性能优化ViewHolder

    当listview有大量的数据需要加载的时候,会占据大量内存,影响性能,这时候就需要按需填充并重新使用view来减少对象的创建. ListView加载数据都是在public View getView( ...

  3. 判断字符串的首字母 ---------startsWith

    列: {                                            xtype : 'gridcolumn',                                ...

  4. Windows Phone Studio-任何人都能开发Windows Phone App的在线工具

    在一段时间的内测以后,微软于今天早些时候发布了其Windows Phone应用开发的在线工具,名字叫做Windows Phone Studio.其意义在于,通过简单的内容添加和样式选择,实现Windo ...

  5. jenkins打包成功,部署失败

    环境一直正常,更新了tomcat版本后自动部署报错 ERROR: Publisher hudson.plugins.deploy.DeployPublisher aborted due to exce ...

  6. spring hibernate摘记

    一.spring 1.ContextLoaderListener    它作用就是启动Web容器时,自动装配ApplicationContext的配置信息.因为它实现了ServletContextLi ...

  7. 0001 Oracle数据库安装

    从这个月初开始学习Oracle,因为完全是零起步,就从Oracle的下载安装开始一点一点学起,今天把系统重新做了,就再安装了一遍Oracle11gR2,把安装过程记录一下: 一.安装Oracle数据库 ...

  8. json字符串的拼接,并转换为json对象

    <html> <head> <script> var qianzhui = "cc"; var test1=""; func ...

  9. jmeter 如何将上一个请求的结果作为下一个请求的参数——使用正则提取器

    1.简介 Apache JMeter是Apache组织开发的基于Java的压力测试工具.用于对软件做压力测试,它最初被设计用于Web应用测试但后来扩展到其他测试领域. 它可以用于测试静态和动态资源例如 ...

  10. java 生产者消费者问题 并发问题的解决

    引言 生产者和消费者问题是线程模型中的经典问题:生产者和消费者在同一时间段内共用同一个存储空间,如下图所示,生产者向空间里存放数据,而消费者取用数据,如果不加以协调可能会出现以下情况: 生产者消费者图 ...