以下内容参考了 http://www.mkyong.com/spring-security/spring-security-form-login-example/

接上回,在前面的Hello World示例中,Spring Security为我们自动生成了默认登录页,对于大多数项目而言,如此简单的登录页并不能满足实际需求,接下来,我们看看如何自定义登录页

一、项目结构

前一个示例相比较,只是多了一个css样式以及登录页login.jsp,这二个文件具体的内容如下:

 @CHARSET "UTF-8";

 .error {

     padding: 15px;

     margin-bottom: 20px;

     border: 1px solid transparent;

     border-radius: 4px;

     color: #a94442;

     background-color: #f2dede;

     border-color: #ebccd1;

 }

 .msg {

     padding: 15px;

     margin-bottom: 20px;

     border: 1px solid transparent;

     border-radius: 4px;

     color: #31708f;

     background-color: #d9edf7;

     border-color: #bce8f1;

 }

 #login-box {

     width: 300px;

     padding: 20px;

     margin: 100px auto;

     background: #fff;

     -webkit-border-radius: 2px;

     -moz-border-radius: 2px;

     border: 1px solid #000;

 }

login.css

 <%@ page language="java" contentType="text/html; charset=UTF-8"

     pageEncoding="UTF-8"%>

 <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>

 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

 <html>

 <head>

 <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

 <title>Login Page</title>

 <link rel="Stylesheet" type="text/css" href="${pageContext.request.contextPath}/resources/css/login.css" />

 </head>

 <body onload='document.loginForm.username.focus();'>

     <h1>Spring Security Custom Login Form (XML)</h1>

     <div id="login-box">

         <h3>Login with Username and Password</h3>

         <c:if test="${not empty error}">

             <div class="error">${error}</div>

         </c:if>

         <c:if test="${not empty msg}">

             <div class="msg">${msg}</div>

         </c:if>

         <form name='loginForm'

             action="<c:url value='j_spring_security_check' />" method='POST'>

             <table>

                 <tr>

                     <td>User:</td>

                     <td><input type='text' name='username' value=''></td>

                 </tr>

                 <tr>

                     <td>Password:</td>

                     <td><input type='password' name='password' /></td>

                 </tr>

                 <tr>

                     <td colspan='2'><input name="submit" type="submit"

                         value="submit" /></td>

                 </tr>

             </table>

             <input type="hidden" name="${_csrf.parameterName}"

                 value="${_csrf.token}" />

         </form>

     </div>

 </body>

 </html>

login.jsp

有几个地方解释一下:

第9行,css静态资源的引用方式,如果对Spring MVC不熟悉的人,可借此示例学习一下

15-20行,用了一个if标签来判断登录验证是否有错,如果验证失败,则显示错误信息,其中error,msg这二个变量,是从Controller里返回的信息(后面马上会讲到)

23行form表单的action地址留意一下,这个不能改,这是Spring Security的约定

38-39行的隐藏域_csrf,这是用来防止跨站提交攻击的,如果看不懂,可暂时无视。

二、Controller

 package com.cnblogs.yjmyzz;

 import org.springframework.stereotype.Controller;

 import org.springframework.web.bind.annotation.RequestMapping;

 import org.springframework.web.bind.annotation.RequestMethod;

 import org.springframework.web.bind.annotation.RequestParam;

 import org.springframework.web.servlet.ModelAndView;

 @Controller

 public class HelloController {

     @RequestMapping(value = { "/", "/welcome" }, method = RequestMethod.GET)

     public ModelAndView welcome() {

         ModelAndView model = new ModelAndView();

         model.addObject("title", "Spring Security Custom Login Form");

         model.addObject("message", "This is welcome page!");

         model.setViewName("hello");

         return model;

     }

     @RequestMapping(value = "/admin", method = RequestMethod.GET)

     public ModelAndView admin() {

         ModelAndView model = new ModelAndView();

         model.addObject("title", "Spring Security Custom Login Form");

         model.addObject("message", "This is protected page!");

         model.setViewName("admin");

         return model;

     }

     //新增加的Action方法,映射到

     // 1. /login 登录页面的常规显示

     // 2. /login?error 登录验证失败的展示

     // 3. /login?logout 注销登录的处理

     @RequestMapping(value = "/login", method = RequestMethod.GET)

     public ModelAndView login(

             @RequestParam(value = "error", required = false) String error,

             @RequestParam(value = "logout", required = false) String logout) {

         ModelAndView model = new ModelAndView();

         if (error != null) {

             model.addObject("error", "Invalid username and password!");

         }

         if (logout != null) {

             model.addObject("msg", "You've been logged out successfully.");

         }

         model.setViewName("login");

         return model;

     }

 }

HelloController

增加了一个login方法,映射到登录的三种情况(常规显示,出错展示,注销登录)

三、spring-security.xml

 <beans:beans xmlns="http://www.springframework.org/schema/security"

     xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

     xsi:schemaLocation="http://www.springframework.org/schema/beans

     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

     http://www.springframework.org/schema/security

     http://www.springframework.org/schema/security/spring-security-3.2.xsd">

     <http auto-config="true">

         <intercept-url pattern="/admin" access="ROLE_USER" />

         <form-login login-page="/login" default-target-url="/welcome"

             authentication-failure-url="/login?error" username-parameter="username"

             password-parameter="password" />

         <logout logout-success-url="/login?logout" />

         <!-- enable csrf protection -->

         <csrf />

     </http>

     <authentication-manager>

         <authentication-provider>

             <user-service>

                 <user name="yjmyzz" password="123456" authorities="ROLE_USER" />

             </user-service>

         </authentication-provider>

     </authentication-manager>

 </beans:beans>

spring-security.xml

注意8-16行的变化,一看即懂,就不多做解释了

运行效果:

登录页正常显示的截图

登录失败的截图

有兴趣的还可以看下对应的html源代码

防跨站提交攻击的_csrf隐藏域,会生成一个随机的类似guid字符串来做校验,以确定本次http post确实是从本页面发起的,这跟asp.net里mac ViewState的思路一致。

最后附示例源代码下载:SpringSecurity-CustomLoginForm-XML(0717).zip

Spring Security笔记:自定义登录页的更多相关文章

  1. spring security采用自定义登录页和退出功能

    更新... 首先采用的是XML配置方式,请先查看  初识Spring security-添加security 在之前的示例中进行代码修改 项目结构如下: 一.修改spring-security.xml ...

  2. spring security之 默认登录页源码跟踪

    spring security之 默认登录页源码跟踪 ​ 2021年的最后2个月,立个flag,要把Spring Security和Spring Security OAuth2的应用及主流程源码研究透 ...

  3. spring security使用自定义登录界面后,不能返回到之前的请求界面的问题

    昨天因为集成spring security oauth2,所以对之前spring security的配置进行了一些修改,然后就导致登录后不能正确跳转回被拦截的页面,而是返回到localhost根目录. ...

  4. Spring Security笔记:登录尝试次数限制

    今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次 ...

  5. spring security 之自定义表单登录源码跟踪

    ​ 上一节我们跟踪了security的默认登录页的源码,可以参考这里:https://www.cnblogs.com/process-h/p/15522267.html 这节我们来看看如何自定义单表认 ...

  6. Spring Security笔记:使用数据库进行用户认证(form login using database)

    在前一节,学习了如何自定义登录页,但是用户名.密码仍然是配置在xml中的,这样显然太非主流,本节将学习如何把用户名/密码/角色存储在db中,通过db来实现用户认证 一.项目结构 与前面的示例相比,因为 ...

  7. Spring-Security自定义登录页&inMemoryAuthentication验证

    Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架.框架下内容比较多,可以做到按照角色权限对请求路径进行限制.今天主要验证自定义登录页,在内存用户存储中进行请求 ...

  8. Spring Security 的注册登录流程

    Spring Security 的注册登录流程 数据库字段设计 主要数据库字段要有: 用户的 ID 用户名称 联系电话 登录密码(非明文) UserDTO对象 需要一个数据传输对象来将所有注册信息发送 ...

  9. Spring Security笔记:HTTP Basic 认证

    在第一节 Spring Security笔记:Hello World 的基础上,只要把Spring-Security.xml里改一个位置 <http auto-config="true ...

随机推荐

  1. 心理控制方法——阅读Notes

    1.自助式情感手术 祛除自我意象中的伤疤的要点 2. 你制造错误,但是错误不应造就你    你身上的缺点不是你的错  3. 不仅要原谅别人,也要原谅自己 4. 怨恨是一条通向失败的道路 5. 注意来 ...

  2. django中tinymce添加图片上传功能

    主要参考以下: https://pixabay.com/en/blog/posts/direct-image-uploads-in-tinymce-4-42/ http://blog.csdn.net ...

  3. 安卓普通类通过classloader访问资源文件

    Android studio不知道怎么设置,才可以在生成APK时把一些文件打包进去. 但是不管怎么样,放在res文件夹下的东西是一定得打包的.所以把一些资源文件放在res/raw这个文件夹里是科学的. ...

  4. BIEE11G常用函数及使用说明

    BIEE常用函数使用手册 1.AGGREGATE AT 此函数根据指定的级别聚合列.使用AGGREGATE AT 可确保始终在关键字AT 之后指定的级别执行度量聚合,而无论WHERE 子句如何. 语法 ...

  5. 【Windows 10 IoT - 1】Window 10系统安装(树莓派 Pi2)

    一.硬件准备 (1).树莓派Pi2 (2).8G 10速Micro SD卡 (3).LCD显示器(如果是VGA接口,需要加一个HDMI转VGA模块) (4).鼠标 (5).安装Windows 10的P ...

  6. Managed DirectX中的DirectShow应用(简单Demo及源码)

    阅读目录 介绍 准备工作 环境搭建 简单Demo 显示效果 其他 Demo下载 介绍 DirectX是Microsoft开发的基于Windows平台的一组API,它是为高速的实时动画渲染.交互式音乐和 ...

  7. LINUX运维实战案例之文件已删除但空间不释放问题的分析与解决办法

    1.错误现象 运维的监控系统发来通知,报告一台服务器空间满了,登陆服务器查看,根分区确实没有空间了,如下图所示: 这里首先说明一下服务器的一些删除策略,由于Linux没有回收站功能,我们的线上服务器所 ...

  8. SVN Unable to connect to a repository at UR

    背景: 1.         SVN服务器:VisualSVN-Server-2.5.5: 2.         SVN客户端:TortoiseSVN-1.7.6.22632-x64-svn-1.7. ...

  9. Linux 解压缩命令

    gzip 文件 压缩文件 gzip -d 文件 解压文件 zcat  查看以结尾为zip 文件 bzip2 压缩文件 bzip2 -d 文件 解压文件 bzcat 查看以结尾为zip2 文件 zip ...

  10. oracle--trunc与to_char的区别

    trunc取得是天(可比较),而to_char取得是数值(可计算): 但trunc(date) 具有与to_char(date) 相似的功能,但有区别:   trunc(sysdate,'cc')  ...