1.简介
本文将重点介绍使用 Spring Security 登录。 本文将构建在之前简单的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。
2. Maven 依赖
要将Maven依赖项添加到项目中,请参阅Spring Security with Maven 一文。 标准的 spring-security-web 和 spring-security-config 都是必需的。
3. Spring Security Java配置
我们首先创建一个扩展 WebSecurityConfigurerAdapter 的 Spring Security 配置类。 通过添加 @EnableWebSecurity ,我们获得了Spring Security和MVC集成支持:
@Configuration
@EnableWebSecurity
public class SecSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(final AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user1").password(passwordEncoder().encode("user1Pass")).roles("USER")
.and()
.withUser("user2").password(passwordEncoder().encode("user2Pass")).roles("USER")
.and()
.withUser("admin").password(passwordEncoder().encode("adminPass")).roles("ADMIN");
}
@Override
protected void configure(final HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.antMatchers("/adminlogin*,以便用户可以进行身份验证,同时也是保护其他请求。请注意,*antMatchers()*元素的顺序很重要 - 首先需要填写具体的路径规则,然后是才是大致匹配的规则。
3.2. formLogin()
这有几种方法可以用来配置表单登录的行为:
loginPage() – 自定义登录页面
loginProcessingUrl() – 提交username和password的URL
defaultSuccessUrl() – 登录成功后跳转的URL
failureUrl() – 登录失败后跳转的URL
3.3. Authentication Manager
身份验证提供程序由一个简单的内存实现支持 - InMemoryUserDetailsManager 。 当尚不需要完整的持久性机制时,这对于进行快速原型设计很有用。
从Spring 5开始,我们还必须定义密码编码器。 在我们的例子中,我们使用了 BCryptPasswordEncoder 。
4. 添加Spring Security到Web应用
要使用上面定义的Spring Security配置,我们需要将其添加到Web应用程序。 在这种情况下,我们不需要任何 web.xml :
public class SpringApplicationInitializer
extends AbstractAnnotationConfigDispatcherServletInitializer {
protected Class[] getRootConfigClasses() {
return new Class[] {SecSecurityConfig.class};
}
}
注意,如果我们使用Spring Boot应用程序,则不需要此初始化程序。 有关如何在Spring Boot中加载安全性配置的更多详细信息,详情参阅 Spring Boot security auto-configuration
5. Spring Security XML配置
我们来看看相应的XML配置。整个项目使用Java配置,因此我们需要通过Java @Configuration 类导入XML配置文件:
@Configuration
@importResource({ "classpath:webSecurityConfig.xml" })
public class SecSecurityConfig {
public SecSecurityConfig() {
super();
}
}
以及Spring Security 的XML配置– webSecurityConfig.xml :
http.formLogin()
.loginProcessingUrl("/perform_login")
或者,使用XML配置:
login-processing-url="/perform_login"
覆盖此默认URL的一个很好的理由是:隐藏应用程序受 Spring Security 保护的事实 - 该信息不应在外部提供。
8.3. 登录成功页面
成功登录过程后,用户将被重定向到页面 - 默认情况下,该页面是Web应用程序的根目录。
我们可以通过*defaultSuccessUrl()*方法覆盖它:
http.formLogin()
.defaultSuccessUrl("/homepage.html")
或者,使用XML配置:
default-target-url="/homepage.html"
如果 always-use-default-target 设置为 true ,则用户始终会重定向到此页面。 如果该属性设置为 false ,则在提示进行身份验证之前,用户将被重定向到他们想要访问的上一页。
8.4. 登录失败页面
与登录页面相同,默认情况下, Spring Security 会在*/login?error*自动生成登录失败页面。
要覆盖它,我们可以使用*failureUrl()*方法:
http.formLogin()
.failureUrl("/login.html?error=true")
或者XML:
authentication-failure-url="/login.html?error=true"
9. 结论
在这个Spring登录示例中,我们配置了一个简单的身份验证过程 - 我们讨论了Spring安全登录表单,安全配置和一些可用的更高级的自定义。
这个Spring登录教程的实现可以在GitHub 项目中找到 - 这是一个基于Eclipse的项目,所以它应该很容易导入和运行。
当项目在本地运行时,可以在以下位置访问示例HTML:
http://localhost:8080/spring-security-mvc-login/login.html
总结
以上所述是小编给大家介绍的Spring Security 表单登录功能的实现方法,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对考高分网网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
