SpringSecurity实现自定义登录界面

简介: 前面通过入门案例介绍,我们发现在SpringSecurity中如果我们没有使用自定义的登录界面,那么SpringSecurity会给我们提供一个系统登录界面。但真实项目中我们一般都会使用自定义的登录界面,本文我们就来介绍下如何实现该操作。注意:本文是在入门案例代码的基础上演示的!

前面通过入门案例介绍,我们发现在SpringSecurity中如果我们没有使用自定义的登录界面,那么SpringSecurity会给我们提供一个系统登录界面。但真实项目中我们一般都会使用自定义的登录界面,本文我们就来介绍下如何实现该操作。

注意:本文是在入门案例代码的基础上演示的!


一、页面准备


我们准备如下相关的jsp页面


1.login.jsp页面

<%--
  Created by IntelliJ IDEA.
  User: dengp
  Date: 2019/12/1
  Time: 20:40
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
    <h1>登录管理</h1>
    <form>
        账号:<input type="text" name="username"><br>
        密码:<input type="password" name="password"><br>
        <input type="submit" value="登录"><br>
    </form>
    <img src="img/a1.jpg">
</body>
</html>


2.home.jsp页面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
    <h1>home界面</h1>
</body>
</html>


3.其他页面


20191205115333767.png


二、SpringSecurity相关配置


1.配置认证信息


配置登录和注销相关的信息

<security:http auto-config="true" use-expressions="true">
    <!--
        拦截资源
        pattern="/**" 拦截所有的资源
        access="hasanyrole('role1')" 表示只有role1这个角色可以访问资源
     -->
    <security:intercept-url pattern="/**" access="hasanyrole('role_user')"></security:intercept-url>
    <!--
        配置认证信息
     login-page="/login.jsp"  自定义的登录页面
     login-processing-url="/login" security中处理登录的请求
     default-target-url="/home.jsp" 默认的跳转地址
     authentication-failure-url="/failure.jsp" 登录失败的跳转地址
     -->
    <security:form-login login-page="/login.jsp"
                        login-processing-url="/login"
                         default-target-url="/home.jsp"
                         authentication-failure-url="/failure.jsp"
    />
    <!-- 配置退出的登录信息 -->
    <security:logout logout-url="/logout"
                     logout-success-url="/login.jsp"
    />
</security:http>


2.认证界面匿名访问


前面配置的

<security:intercept-url pattern="/**" access="hasanyrole('role_user')"></security:intercept-url>


会使登录界面不可访问,所以我们需要方法

20191205115425406.png


3.放过静态资源


同样的系统的 js css 等静态资源文件也会被对应的过滤器拦截,所以也需要方法


20191205115441801.png

4.登录测试


启动服务我们访问登录试试


20191205115458383.png

可以访问到,然后提交登录看看

注意表单设置

20191205115512188.png

然后访问出现了403错误

20191205115527419.png



三、关闭csrf拦截


 上面我们在账号和角色都正确的情况下,登录后出现了 403错误,原因是因为 csrf过滤器拦截了,那为什么系统提供的登录界面没问题呢?原因是如下

20191205115545678.png

在系统提供的登录表单中隐藏的有csrf相关的信息。这时我们可以关闭csrf过滤器,来实现登录工作

20191205115557861.png

重启服务再测试就可以了

20191205115612540.png


四、csrf防护


 上面我们通过关闭csrf过滤器实现了认证功能,但是系统将面临csrf攻击的风险,所以我们需要放开服务,同时也要能够完成认证。首先我们来看下CsrfFilter的源码


1.CsrfFilter源码查看


20191205115635547.png


this.requireCsrfProtectionMatcher.matches(request)方法


20191205115649461.png

通过 GET HEAD TRACE OPTIONS 提交的数据不会 csrf 验证


2.放开过滤器


前面关闭的我们需要放开

20191205115709705.png


3.页面动态token


导入security标签


20191205115730717.png

security:csrfInput/ 在表单中使用,作用和下面的一致

20191205115745639.png


security:csrfMetaTags/:ajax方式提交的时候使用


五、注销功能


在home.jsp中添加注销链接


20191205115802666.png

点击后出现了404错误原因是:自定义的注销功能必须通过post方式提交才行,所以如下



20191205115820283.png20191205115825776.png



出现这个原因是 csrf的原因,加标签即可


20191205115838640.png


搞定~


相关文章
|
26天前
|
JSON 安全 Java
什么是JWT?如何使用Spring Boot Security实现它?
什么是JWT?如何使用Spring Boot Security实现它?
109 5
|
5月前
|
安全 Java 数据安全/隐私保护
使用Spring Security实现细粒度的权限控制
使用Spring Security实现细粒度的权限控制
|
5月前
|
安全 Java 数据库
实现基于Spring Security的权限管理系统
实现基于Spring Security的权限管理系统
|
5月前
|
安全 Java 数据安全/隐私保护
解析Spring Security中的权限控制策略
解析Spring Security中的权限控制策略
|
6月前
|
JSON 安全 Java
Spring Security 6.x 微信公众平台OAuth2授权实战
上一篇介绍了OAuth2协议的基本原理,以及Spring Security框架中自带的OAuth2客户端GitHub的实现细节,本篇以微信公众号网页授权登录为目的,介绍如何在原框架基础上定制开发OAuth2客户端。
238 4
Spring Security 6.x 微信公众平台OAuth2授权实战
|
6月前
|
存储 安全 Java
Spring Security 6.x OAuth2登录认证源码分析
上一篇介绍了Spring Security框架中身份认证的架构设计,本篇就OAuth2客户端登录认证的实现源码做一些分析。
277 2
Spring Security 6.x OAuth2登录认证源码分析
|
6月前
|
安全 Java 数据安全/隐私保护
Spring Security 6.x 一文快速搞懂配置原理
本文主要对整个Spring Security配置过程做一定的剖析,希望可以对学习Spring Sercurity框架的同学所有帮助。
327 5
Spring Security 6.x 一文快速搞懂配置原理
|
6月前
|
安全 Java API
Spring Security 6.x 图解身份认证的架构设计
【6月更文挑战第1天】本文主要介绍了Spring Security在身份认证方面的架构设计,以及主要业务流程,及核心代码的实现
99 1
Spring Security 6.x 图解身份认证的架构设计
|
5月前
|
安全 Java 数据安全/隐私保护
使用Spring Security实现细粒度的权限控制
使用Spring Security实现细粒度的权限控制
|
5月前
|
安全 Java 数据安全/隐私保护
使用Java和Spring Security实现身份验证与授权
使用Java和Spring Security实现身份验证与授权