1.简介

本文将重点介绍使用Spring Security登录 。 我们将在前面的简单Spring MVC示例的基础上构建，因为这是设置Web应用程序和登录机制的必要部分。

2. Maven依赖

要将Maven依赖项添加到项目中，请参阅Spring Security with Maven文章 。 标准的spring-security-web和spring-security-config都是必需的。

3.

web.xml中的Spring Security配置很简单–仅向标准Spring MVC web.xml中添加了一个额外的过滤器：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0"><display-name>Spring Secured Application</display-name><!-- Spring MVC --><servlet><servlet-name>mvc</servlet-name><servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class><load-on-startup>1</load-on-startup></servlet><servlet-mapping><servlet-name>mvc</servlet-name><url-pattern>/</url-pattern></servlet-mapping><context-param><param-name>contextClass</param-name><param-value>org.springframework.web.context.support.AnnotationConfigWebApplicationContext</param-value></context-param><context-param><param-name>contextConfigLocation</param-name><param-value>org.baeldung.spring.web.config</param-value></context-param><listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener><!-- Spring Security --><filter><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern></filter-mapping></web-app>

过滤器-DelegatingFilterProxy-简单地委派给Spring托管的bean – FilterChainProxy-它本身可以从完整的Spring bean生命周期管理等中受益。

2. Spring Security配置

Spring配置大部分是用Java编写的，但是Spring Security配置尚不支持完整的Java，并且在大多数情况下仍需要为XML。 目前正在努力为Spring Security添加基于Java的配置 ，但这还不成熟。

整个项目使用的是Java配置，因此需要通过Java @Configuration类导入XML配置文件：

@Configuration
@ImportResource({ "classpath:webSecurityConfig.xml" })
public class SecSecurityConfig {public SecSecurityConfig() {super();}
}

Spring Security XML配置– webSecurityConfig.xml ：

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:beans="http://www.springframework.org/schema/beans"xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsdhttp://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"><http use-expressions="true"><intercept-url pattern="/login*" access="isAnonymous()" /><intercept-url pattern="/**" access="isAuthenticated()"/><form-login login-page='/login.html' default-target-url="/homepage.html" authentication-failure-url="/login.html?error=true" /><logout logout-success-url="/login.html" /></http><authentication-manager><authentication-provider><user-service><user name="user1" password="user1Pass" authorities="ROLE_USER" /></user-service></authentication-provider></authentication-manager>
</beans:beans>

2.1。 <intercept-url>

我们允许对/ login进行匿名访问，以便用户可以进行身份​​验证。 我们也在确保其他一切。

请注意， <intercept-url>元素的顺序很重要-首先需要制定更具体的规则，然后是更通用的规则。

2.2。 <表单登录>

• 登录页面 – 自定义登录页面
• default-target-url-成功登录后的登录页面
• authentication-failure-url –登录失败后的登录页面

2.3。 <身份验证管理器>

身份验证提供程序由简单的内存实现（特别是InMemoryUserDetailsManager ）支持，以纯文本配置。 它仅在Spring 3.1及更高版本中存在，并且在尚不需要完全持久性机制的情况下，可用于快速原型制作。

3.登录表单

登录表单页面将使用简单的机制向Spring MVC注册，该机制将视图名称映射到URL ，而无需在两者之间使用显式控制器：

registry.addViewController("/login.html");

当然，这对应于login.jsp ：

<html>
<head></head>
<body><h1>Login</h1><form name='f' action="j_spring_security_check" method='POST'><table><tr><td>User:</td><td><input type='text' name='j_username' value=''></td></tr><tr><td>Password:</td><td><input type='password' name='j_password' /></td></tr><tr><td><input name="submit" type="submit" value="submit" /></td></tr></table></form>
</body>
</html>

Spring登录表单具有以下相关工件：

• j_spring_security_check –表单在其中张贴以触发身份验证过程的URL
• j_username –用户名
• j_password –密码

4.进一步配置Spring登录

当我们在上面介绍了Spring Security XML Configuration时，我们简要讨论了登录机制的一些配置–现在让我们详细介绍一下。

覆盖Spring Security中大多数默认设置的原因之一是隐藏了应用程序受Spring Security保护的事实，并最大程度地减少了潜在的攻击者对应用程序的了解。

完全配置后， <form-login>元素如下所示：

<form-login login-page='/login.html' login-processing-url="/perform_login" default-target-url="/homepage.html"authentication-failure-url="/login.html?error=true" always-use-default-target="true"/>

4.1。 登录页面

通过登录页面属性o n <form-login>配置自定义登录页面：

login-page='/login.html'

如果未指定，则使用默认URL – spring_security_login –并且Spring Security将在该URL生成一个非常基本的登录表单。

4.2。 登录的POST URL

Spring Login将在其上触发触发身份验证过程的默认URL是/ j_spring_security_check 。

可以通过<form-login>上的login-processing-url属性覆盖此URL：

login-processing-url="/perform_login"

覆盖此默认URL的一个很好的理由是隐藏一个事实，即该应用程序实际上已通过Spring Security进行了保护-该信息不应在外部使用。

4.3。 成功登录页面

成功的登录过程之后，用户将被重定向到页面–默认情况下，页面是Web应用程序的根目录。

这可以通过<form-login>上的default-target-url属性来覆盖：

default-target-url="/homepage.html"

如果always-use-default-target设置为true，则始终将用户重定向到此页面。 如果该属性设置为false，则在升级用户进行身份验证之前，该用户将被重定向到他们要访问的上一页。

4.4。 登陆页面失败

与登录页面相同，登录失败页面默认由Spring Security在/ spring_security_login？login_error生成。

这可以通过<form-login>上的authentication-failure-url属性来覆盖：

authentication-failure-url="/login.html?error=true"

5.结论

在这个Spring登录示例中，我们配置了一个简单的身份验证过程–我们讨论了Spring Security登录表单，Security XML配置以及名称空间中可用的一些更高级的自定义。

可以在github项目中找到此Spring Login教程的实现–这是一个基于Eclipse的项目，因此应易于导入和运行。

当项目在本地运行时，可以在以下位置访问示例html：

• http：// localhost：8080 / spring-security-login / login.html

翻译自: https://www.javacodegeeks.com/2013/05/spring-security-login.html