SpringSecurity学习四-自定义Login请求和返回的数据格式

最新推荐文章于 2024-03-14 11:30:00 发布
原创 最新推荐文章于 2024-03-14 11:30:00 发布 · 1.6w 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了如何在SpringSecurity中自定义登录请求格式,如JSON,并处理登录过程中的各种情况,包括验证验证码、权限错误、非法数据的JSON响应,以及实现单账号登录等。通过修改特定的过滤器和处理器,实现了详细的登录流程控制,并提供了配置文件和关键代码示例。

Author: Kagula
Date: 2016-10-09

环境
 [1]Spring 3.1.2
 [2]Tomcat 7.0.68
 
概要
    完美的解决了《学习三》中自定义login方法得绕过Spring Security部份class的缺陷。
最新的例子,解决以下问题
[1]如果login递交的数据,要求验证“验证码”怎么办。
[2]若访问页面没有权限,返回json形式的错误提示。
[3]若login递交的数据非法,返回json形式的错误提示。
[4]若login递交的数据合法,返回json形式的提示。
[5]同个帐号只能同时一次有效,若异地已经登录了这个帐号,会自动把它踢掉。
[6]如何查看登录到Web App的所有用户信息。


也能解决
[1]若已经在其它地方登录的帐户,可以提个醒,你已经把其它地方登录的这个帐号踢掉了。
通过修改MyAuthenticationFilter.java。
[2]若你已经在其它地方登录,不允许再登录。
通过修改spring-security.xml。

   正文中会介绍下主要类的功能,然后直接上代码。
   《学习二》中未动的代码,这里不重复贴了。

   本文的例子在Chrome和Firefox下测试通过。

  理解整个Demo建议从spring-security.xml文件开始。

 

正文
相对于《学习二》这里最重要的是五个java文件,一个配置文件,必须要深刻理解它们之间的关系和功能。

MyAuthenticationEntryPoint.java
当用户没有权限访问某个资源的时候,你可以在这里自定义返回内容。

MyAuthenticationFilter.java
自定义login请求的格式,比如你想上传json格式的请求,可以在这里处理。
并验证用户的请求是否合法,如果不合法你可以抛出继承自AuthenticationException的Exception

MyAuthenticationException.java
继承AuthenticationException,在MyAuthenticationFilter中抛出后,交给MyAuthenticationFailureHandler处理

MyAuthenticationFailureHandler.java
当login失败,这里可以自定义返回的错误信息。

MyAuthenticationSuccessHandler.java
如何登录成功,这里可以自定义返回的成功信息。

配置文件
web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="schedule-console" version="3.0">
  <display-name>Archetype Created Web Application</display-name>
  
  <!-- 配置字符集过滤器 -->
  <!-- 必须配置在所有过滤器的前面 -->
  <filter>
    <filter-name>encodingFilter</filter-name>
    <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
    <init-param>
      <param-name>encoding</param-name>
      <param-value>UTF-8</param-value>
    </init-param>
  </filter>
    
  <!-- 配置项目的编码mapping -->
  <filter-mapping>
    <filter-name>encodingFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  
  <!-- 如果同一个bean被定义两次,后面一个优先 -->
  <context-param>
  	<param-name>contextConfigLocation</param-name>  
    <param-value>/WEB-INF/spring-servlet.xml,/WEB-INF/spring-security.xml</param-value>
  </context-param>

  <!-- 启动spring容器用,容器用于管理Bean -->
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener> 
    
  <!-- Spring Security会话控制 -->  
  <listener>
    <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
  </listener>
  
  <!-- Spring security Filter -->  
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  
  <!-- DispatcherServlet 针对MVC上下文加载,即拦截请求,分发请求给Controller -->
  <!-- 《ContextLoaderListener初始化的前后文和DispatcherServlet初始化的上下文关系》    http://www.educity.cn/wenda/356953.html -->  
  <servlet>  
    <servlet-name>spring</servlet-name>  
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
    <load-on-startup>1</load-on-startup>  
  </servlet>
  
  <!-- url-pattern配置为/,不带文件后缀,会造成其它静态文件(js,css等)不能访问。如配为*.do,则不影响静态文件的访问 -->  
  <servlet-mapping>  
    <servlet-name>spring</servlet-name>  
    <url-pattern>*.do</url-pattern>  
  </servlet-mapping> 
    
  <welcome-file-list> 
    <welcome-file>index.jsp</welcome-file> 
  </welcome-file-list>
  
  <error-page>
     <error-code>404</error-code>
     <location>/My404.jsp</location>
  </error-page>
  
  <error-page>
     <exception-type>java.lang.Exception</exception-type>
     <location>/MyEception.jsp</location>
  </error-page>   
</web-app>



spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>  
<b:beans xmlns="http://www.springframework.org/schema/security"  
    xmlns:b="http://www.springframework.org/schema/beans"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
  
    <http pattern="/main/customLogin.do" security="none" />
    
    <http access-denied-page="/accessDenied.jsp"
          entry-point-ref="authenticationEntryPoint">
	    <logout logout-url="/j_spring_security_logout"
	    				 logout-success-url="/main/customLogin.do"
	    				 invalidate-session="true" />
          
        <intercept-url pattern="/main/welcome.do" access="ROLE_ADMIN" />

        <custom-filter  ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>
        
        <!-- 这里添加自己定义的AuthenticationFilter到FilterChain的FORM_LOGIN_FILTER位置 -->
        <!-- 所以上面不需要定义form-login属性了 -->
        <custom-filter ref="myAuthenticationFilter" position="FORM_LOGIN_FILTER"/>
        <custom-filter  ref="concurrencyFilter" position="CONCURRENT_SESSION_FILTER" />
        
        <session-management session-authentication-strategy-ref="sessionAuthenticationStrategy">
        </session-management>
    </http>
    
    <b:bean id="concurrencyFilter"
      class="org.springframework.security.web.session.ConcurrentSessionFilter">
      <b:property name="sessionRegistry" ref="sessionRegistry" />
      <b:property name="expiredUrl" value="/sessionExpired.jsp" />
    </b:bean>

    <!-- 在MyAuthenticationFilter中可以自定义数据的请求格式 -->    
    <b:bean id="myAuthenticationFilter"
       class="com.nuoke.MyAuthenticationFilter">
      <b:property name="authenticationManager" ref="authenticationManager" />
      <b:property name="sessionAuthenticationStrategy" ref="sessionAuthenticationStrategy" /> 
      <b:property name="usernameParameter" value="username"/>
      <b:property name="passwordParameter" value="password"/>
      <b:property name="filterProcessesUrl" value="/main/customLogin2.do" />
      <b:property name="authenticationSuccessHandler">  
        <b:bean class="com.nuoke.MyAuthenticationSuccessHandler">
            <!-- 不能设置/WEB-INF下的jsp,会访问不到,虽然服务端Console不会打印错误信息 -->
            <!-- 但是客户端也不会收到你指定的jsp信息 -->    
            <b:property name="defaultTargetUrl" value="/customLoginResponse.jsp"></b:property>
        </b:bean>  
      </b:property>  
      <b:property name="authenticationFailureHandler">  
        <b:bean class="com.nuoke.MyAuthenticationFailureHandler">
            <!-- 不能设置/WEB-INF下的jsp,会访问不到,虽然服务端Console不会打印错误信息 -->
            <!-- 但是客户端也不会收到你指定的jsp信息 -->  
            <b:property name="defaultFailureUrl" value="/customLoginResponse.jsp"></b:property>  
        </b:bean>  
      </b:property>  
    </b:bean>
    
    <!-- 若访问没有权限,自动跳到下面指定的页面 -->
    <b:bean id="authenticationEntryPoint" class="com.nuoke.MyAuthenticationEntryPoint">
      <b:property name="loginFormUrl" value="/main/customLogin.do" /> 
    </b:bean>  
    
    <!--一个自定义的filter,必须包含 authenticationManager,accessDecisionManager,securityMetadataSource三个属性,   
        我们的所有控制将在这三个类中实现,解释详见具体配置 -->  
    <b:bean id="myFilter"  
        class="com.nuoke.MyFilterSecurityInterceptor">  
        <b:property name="authenticationManager" ref="authenticationManager" />  
        <b:property name="accessDecisionManager" ref="myAccessDecisionManagerBean" />  
        <b:property name="securityMetadataSource" ref="securityMetadataSource" />
    </b:bean>  
    
    <!--验证配置,认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->  
    <authentication-manager alias="authenticationManager">  
        <authentication-provider user-service-ref="myUserDetailService">  
        <!--如果用户的密码采用加密的话  -->
        <password-encoder hash="md5"/>  
        </authentication-provider>  
    </authentication-manager>
      
    <!--在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等 -->  
    <b:bean id="myUserDetailService" class="com.nuoke.MyUserDetailService" />
      
    <!--访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->  
    <b:bean id="myAccessDecisionManagerBean"  
        class="com.nuoke.MyAccessDecisionManager">  
    </b:bean>  
    
    <b:bean id="sessionAuthenticationStrategy" 
    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">  
      <b:constructor-arg name="sessionRegistry" ref="sessionRegistry" />  
      <b:property name="maximumSessions" value="1" />
      <b:property name="exceptionIfMaximumExceeded" value="false" />  
    </b:bean>  
    <b:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />  
    
    <!--资源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问 -->  
    <b:bean id="securityMetadataSource"  
        class="com.nuoke.MyInvocationSecurityMetadataSource" />  
 </b:beans>


 

java文件

MyAuthenticationEntryPoint.java

package com.nuoke;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;

public class MyAuthenticationEntryPoint extends LoginUrlAuthenticationEntryPoint{
	//当访问的资源没有权限,会调用这里
	@Override
	public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException)
	            throws IOException, ServletException {
	        //super.commence(request, response, authException);
		
		   //返回json形式的错误信息
	 	   response.setCharacterEncoding("UTF-8");
	 	   response.setContentType("application/json");
	 	         
	 	   response.getWriter().println("{\"ok\":0,\"msg\":\""+authException.getLocalizedMessage()+"\"}");
	 	   response.getWriter().flush(); 
	    }
}


MyAuthenticationException.java

package com.nuoke;

import org.springframework.security.core.AuthenticationException;

public class MyAuthenticationException extends AuthenticationException {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;

	public MyAuthenticationException(String msg) {
		super(msg);
		// TODO Auto-generated constructor stub
	}

}


MyAuthenticationFailureHandler.java

package com.nuoke;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.WebAttributes;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;

public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler{
	@Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
//		Example1(request,response,exception);
//		Example2(request,response,exception);
		Example3(request,response,exception);
	}
	
	private void Example1(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException
	{
 	   //例1:直接返回字符串
 	   response.setCharacterEncoding("UTF-8");
 	   response.setContentType("application/json");
 	         
 	   response.getWriter().println("{\"ok\":0,\"msg\":\""+exception.getLocalizedMessage()+"\"}");		
	}
	
	private void Example2(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException
	{
 	   String strUrl = request.getContextPath() + "/customLoginResponse.jsp";
 	   request.getSession().setAttribute("ok", 0);
 	   request.getSession().setAttribute("message", exception.getLocalizedMessage());
 	   request.getSession().setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception);
 	   super.onAuthenticationFailure(request, response, exception);
	}
	
	private void Example3(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException 
	{
	 	   //例3:自定义跳转到哪个URL
	 	   //假设login.jsp在webapp路径下
	       //注意:不能访问WEB-INF下的jsp。
	 	   String strUrl = request.getContextPath() + "/customLoginResponse.jsp";
	 	   request.getSession().setAttribute("ok", 0);
	 	   request.getSession().setAttribute("message", exception.getLocalizedMessage());
	 	   request.getSession().setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception);
	 	   //Error  request.getRequestDispatcher(strUrl).forward(request, response);
	       response.sendRedirect(strUrl);
	}
}


MyAuthenticationFilter.java

package com.nuoke;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/*
 * 说明:
 * UsernamePasswordAuthenticationFilter用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码,
 * 对应的参数名默认为j_username和j_password。
 * 如果不想使用默认的参数名,可以通过UsernamePasswordAuthenticationFilter的usernameParameter和passwordParameter进行指定。
 * 表单的提交路径默认是“j_spring_security_check”,可以通过UsernamePasswordAuthenticationFilter的filterProcessesUrl进行指定。
 * 通过属性postOnly可以指定只允许登录表单进行post请求,默认是true。
 */

public class MyAuthenticationFilter extends UsernamePasswordAuthenticationFilter{
    public Authentication attemptAuthentication(HttpServletRequest request,  
            HttpServletResponse response) throws AuthenticationException {    	
    	//这里可以抛出继承自AuthenticationException的exception
    	//然后会转到MyAuthenticationFailureHandler。    	
    	//比如说验证码什么的可以在这里验证,然后抛出异常。
    	//然后让MyAuthenticationFailureHandler去处理,并输出返回
    	
    	//下面的代码段是具体的示例
    	//当用户输入的用户名为“123”抛出自定义的AuthenticationException异常。
    	String username = request.getParameter("username");
    	if(username.equals("123"))
    	{        	
        	throw new MyAuthenticationException("测试异常被MyAuthenticationFailureHandler处理");
    		
    	}
          
        return super.attemptAuthentication(request, response);  
    }
}


MyAuthenticationSuccessHandler.java

package com.nuoke;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;


public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler{  
       @Override  
       public void onAuthenticationSuccess(HttpServletRequest request, 
    		   HttpServletResponse response,  
               Authentication authentication) throws ServletException, IOException 
       {
    	   //例1:不跳到XML设定的页面,而是直接返回json字符串
    	   response.setCharacterEncoding("UTF-8");
    	   response.setContentType("application/json");
    	         
    	   response.getWriter().println("{\"ok\":\"1\",\"msg\":\"登录成功\"}");
    	        
    	   //例2:跳转到XML中设定的URL。其实已经没有定义这个class的意义    	   
    	   //super.onAuthenticationSuccess(request, response, authentication);
    	   
    	   //例3:自定义跳转到哪个URL
    	   //http://cl315917525.iteye.com/blog/1768396
       }  
}


MyController.java

package com.nuoke.controller;

import java.util.ArrayList;
import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;

@Controller
@RequestMapping(value = "/main")
public class MyController {
	@Autowired
	@Qualifier("sessionRegistry")
	private SessionRegistry sessionRegistry;	
	
	@RequestMapping(value = "/admin.do")
	public ModelAndView adminPage() {
		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security Hello World");
		model.addObject("message", "这是一个安全被保护的页面!");
		//在MyInvocationSecurityMetadataSource类中指定了保护。
		model.setViewName("admin");

		return model;
	}
	
	@RequestMapping(value = "/welcome.do")
	public ModelAndView WelcomeAction() {
		this.PrintAllOnlineUser();
		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security Hello World");
		model.addObject("message", "这是一个欢迎页面!");
		model.setViewName("welcome");
		return model;
	}
	
	//打印在线用户
	void PrintAllOnlineUser()
	{
		List<Object> principals = sessionRegistry.getAllPrincipals();

		List<String> usersNamesList = new ArrayList<String>();

		for (Object principal: principals) {
		    if (principal instanceof User) {
		        usersNamesList.add(((User) principal).getUsername());
		    }
		}
		
		System.out.println("count:"+usersNamesList.size()+"=>"+usersNamesList.toString());
	}
	
	@RequestMapping(value="/customLogin.do")  
    public String customLoginAction(HttpServletRequest request){  
        return "customLogin";
	}
}//end class



jsp文件
webapp目录下的

customLoginResponse.jsp

<%@ page language="java" import="java.util.*,java.text.*" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
{"ok":${sessionScope.ok},"msg":"${sessionScope.message}","SPRING_SECURITY_LAST_EXCEPTION":"${sessionScope.SPRING_SECURITY_LAST_EXCEPTION}"}


MyException.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<% 
Exception ex = (Exception) request.getAttribute("Exception");
String strMsg = "未知错误";
if(ex!=null)
	strMsg = ex.getMessage();
%>
{"ok":"0","msg":"<%=strMsg%>"}


sessionExpired.jsp

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>  
<%
String path = request.getContextPath(); 
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";  
%>
{"ok":0,"msg":"你已经在其它地方登录!"}


My404.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
{"ok":0,"msg":"404错误"}


WEB-INF/view目录下的

customLogin.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"	pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>自定义登录控制</title>

<link href="../common/bootstrap/css/bootstrap.min.css"       rel="stylesheet">
<link href="../common/bootstrap/css/bootstrap-theme.min.css" rel="stylesheet">

<script type="text/javascript"
	src="../common/bootstrap/js/bootstrap.min.js"></script>
<script type="text/javascript" 
	src="../common/jquery/jquery-2.1.1.min.js"></script>
<body>
	<div class="container">
		<div id="container_demo">
			<div id="wrapper">
				<div id="login" class="animate form">
					<h1>示例二 自定义login方法</h1>
					<form id='loginForm' method="POST">
						<p>
							<label for="" class="uname" data-icon="u"> 用户名 </label>
                            <input id="username" name="username" required="required" type="text" placeholder="myusername or mymail@mail.com">
						</p>
						<p>
							<label for="" class="youpasswd" data-icon="p"> 密码 </label>
							<input id="password" name="password" required="required" type="password" placeholder="eg. X8df!90EO">
						</p>
						<p class="login button">
							<input type="submit" id="submitId" value="登录">
						</p>
					</form>
				</div>
			</div>
		</div>
	</div>
</body>

<script type="text/javascript">
    $(function(){
      /////////////////登录提交////////////////////////////
      $("#loginForm").submit(function() {
        var username=$("#username").val();
        var password=$("#password").val();
        var data={username:username,password:password}; 
        var url="/testSpringSecurity2/main/customLogin2.do"; 
         $.ajax({
            type: "POST",
            url: url,
            data: data,
             // contentType: "application/json",
            dataType: "json",
            success:function (result) {
              if(result.ok){
                location.href="/testSpringSecurity2/main/admin.do";
              } else
              {
            	  alert(">>"+result.SPRING_SECURITY_LAST_EXCEPTION)
                  $(".error").remove();
                  $("#loginForm").prepend("<div class='error'><font color='red'>"+result.msg+"</font></div>");
              }              
            },
            error:function(XMLHttpRequest, textStatus, errorThrown){
                alert('读取超时,请检查网络连接...'); 
            }
          });
         return false;
      });
    });    
  </script>
</html>


 


总结
   太庞大复杂,不敢用在现有的项目当中,怕又出现新的坑,打算以后新的项目中尝试Spring Security框架。

 

常见问题

Q MyAuthenticationFilter不会被调用的问题

如果你使用了类似下面的语句

<http pattern="/public/**"   security="none"/>

排除哪些url  pattern spring security不检查权限,

则指定login路径的时候不能在public路径下,如下,下面用main代替了public

<beans:bean id="myAuthenticationFilter"   ...      ...

<beans:property name="filterProcessesUrl" value="/main/login.do" />

问题解决。


  
参考资料
[1]《Spring Security and JSON Authentication》
继承UsernamePasswordAuthenticationFilter实现json形式的登录
http://stackoverflow.com/questions/19500332/spring-security-and-json-authentication
[2]失败返回json字符串
http://blog.csdn.net/jmppok/article/details/44832641

 

logins登录项目
m0_59708269的博客
02-10 1735
用户登录 用户登录 1.数据库创建对应的用户表 tb_user(MySql) 2.前台页面 登录页面 login.jsp 用户登录 JS校验 登录表单校验验证 1.给登录按钮绑定点击事件 2.获取用户名和密码的值 3.判断姓名是否为空 如果姓名为空,提示用户(span标签赋值),并
关于前后端一体项目SpringSecurity框架登陆失效,HTTPS重定向登陆页面异常的问题
qq826303461的博客
04-26 876
这里看了部分的源码,发现SpringSecurtiy中有LoginUrlAuthenticationEntryPoint的内,有对应的配置。这里是配置登陆失败跳转的地方。场景:用户登陆,系统重启导致用户的session失效。但前端并没有跳转到对应的登录页,在HTTP的环境下可以正常跳转,但在生产环境跳转失败,并报以下错误。现有环境是基于SpringBoot 2.6.8,然后是前后台一体化的项目。安全框架使用的是内置版本的SpringSecurity。所以解决方案就是,重写这个类,将求强制改为HTTPS。
Spring Security——关闭未认证时重定向(302)到登录页面(loginPage)
无限迭代中......
07-28 8116
问题描述 当访问该web服务的一个求/test且该求需要用户认证,那么Spring Security会将求302到通过httpSecurity.formLogin().loginPage("/login")设定的页面里。 问题分析 暂无。 解决方案 httpSecurity.exceptionHandling() //没有认证时,在这里处理结果,不要重定向 .authenticationEnt...
Spring boot + thymeleaf + Security会话过期返回登录界面片段之解决方案
sun1021873926的博客
12-18 5423
解决方案的主导思想是:检测当会话过期时,判断是否为ajax求,若是ajax求,则将该url求结果的状态置为401,并且不保存此次访问求的url,当前端检测到访问结果为401时,跳转至登录界面,用户可顺利进行账户密码的输入并完成登录。 在此主导思想下将会遇到以下几个问题: 1.前端ajax求完成后的统一处理问题; 2.后端会话过期的检测问题; 3.对封装后的ajax进行求完成后的统一处理问题; 4.对临时添加的界面元素执行ajax求的统一处理问题; 5.在spring boot框架下
Spring Security教程(七)
码猿同学
01-14 2809
在之前的教程中一笔带过式的讲了下RememberMe记住密码的功能,那篇的Remember功能是最简易的配置,其功能和安全性都不强。这里就配置下security中RememberMe的各种方式。本人也是在学习中,若有错误,欢迎指正,一起学习。 一 概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一
前后端分离中,使用 JSON 格式登录原来这么简单!
江南一点雨的专栏
03-31 7459
做微人事的小伙伴(https://github.com/lenve/vhr),应该都发现了在微人事中有一个极为特殊的求,那就是登录。 登录求是一个 POST 求,但是数据传输格式是 key/value 的形式。整个项目里就只有这一个 POST 求是这样,其他 POST 求都是 JSON 格式的数据。 为什么做成这个样子呢?还是懒呗。 因为 Spring Security 中默认的登录数据...
vue.jsspringSecurity +jwt
weixin_43740982的博客
11-04 280
目录 vue,js跨域 修改后台springSecurity拦截器 需要修改传入的json 数据 vue,js跨域 很多时候前后端分离都需要跨越 vue怎么跨域勒 在vue.config.js加上如下代码 devServer: { proxy:{ '/api':{ target:"http://localhost:8080", changOrigin:true, pathRewrite:{
Spring Security 动态角色资源连接数据库
weixin_45189306的博客
03-19 588
一、实现FilterInvocationSecurityMetadataSource 读资源对应的权限,先进行一下筛选 //元数据,根据求的资源到资源表去找合适的角色 @Service public class WgcSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { @Autowi...
4,用户登录工程实现
weixin_44478828的博客
01-21 477
*** @Description 定义用户访问层*/@Autowired/*** 用户登录功能实现* @return*/return r;/*** @Description 用户服务*//*** 用户登录功能实现* @return*//*** @Description 定义服务接口实现*/@Autowired@Autowired@Override//根据用户名查询用户信息。
AuthenticationEntryPoint:实现自定义的未授权访问处理逻辑
wddblog的博客
03-14 4135
是一个接口,它用于定义当用户尝试访问受保护的资源但没有进行身份验证时应该执行的操作。当用户未通过身份验证就尝试访问安全资源时,Spring Security会调用。现在,当用户尝试访问需要身份验证的资源但未通过身份验证时,Spring Security将使用我们自定义的。方法被重写以设置响应的状态码为401,并附带一条错误消息"Unauthorized access"。的实现来启动身份验证过程或提供有关未授权访问的反馈。下面是一个简单的示例,展示了如何实现一个自定义的。的bean,并将其设置为。
(一)关于spring security的简要介绍以及相关配置和jar包认识
weixin_30824277的博客
08-07 921
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明...
【深入浅出Spring Security(三)】默认登录认证的实现原理
qq_63691275的博客
05-30 4306
思考:发送求的登录界面是如何来的?用户名和密码为什么是user和一个UUID字符串呢?它又是如何进行用户名和密码验证的呢?得知道 DaoAuthenticationProvider retrieveUser 方法和 additionalAuthenticationChecks 方法(这俩方法分别应用了UserDetailsService和PasswordEncoder对象)。UsernamePasswordAuthenticationFilter 最后也是去通过 ProviderManager 中的 au
Login登录页面点了登录求之后是如何发送出去的?与项目架构图?
weixin_48837605的博客
08-07 594
1.点击了登录会进行validator校验,校验的规则在validaMobile中,符合正则要求会通过,不符合会提示不符合手机号的要求 2.调用了Login接口,找到axios实例,设置了基地址,基地址是环境变量,分别在开发环境和生产环境中设置了基地址,开发环境中是/api,执行不同的命令会使用不同环境的基地址 3.login接口地址/sys/login会找到环境变量的基地址/api/,在找到vue.config.js中的api中的target地址进行拼接 4.发送求会经过r...
Spring Security-自定义登录求路径
oPeiJie1的博客
02-14 3199
Spring Security-自定义登录求路径
security,Oauth2登录后302重定向Location参数错误,Oauth2授权码模式直接获取access_token
热门推荐
weixin_44530390的博客
08-06 1万+
首先我是通过zuul网关(9001)进行访问登录,auth认证服务器(9002)进行原生框架认证 网上给的常规测试都是通过下面的url http://192.168.2.18:9002/oauth/authorize?client_id=client&response_type=code, 然后会自动跳转到 /login 方法。 输入用户名和密码然后进行登录,在登录过程中会有一个响应头为:Location。如图: 但是当我们直接输入***http://192.168.2.18:9002
登录验证操作login_action.jsp
huangcaiyan
07-25 5806
2、登录验证操作login_action.jsp 接下来开发登录提交时的相应处理页面login_action.jsp。该页面不用于显示,其作用是检验用户的用户名和密码是否合法。按照顺序需要编写以下的代码: ①由于要进行数据库查询,因此首先使用include指令包含数据库配置文件inc.jsp; ②取得login.jsp页面中用户输入的用户名和密码的参数变量username和pas...
权限框架SpringSecurity(一)——自定义登录
m0_67402564的博客
07-31 2038
提供的默认表单登录页面有点简单,如果想使用自己的登录页该怎么办?继续关注类,继续重写它的和@Override}@Override.and().and()}用来配置忽略掉的URL地址,一般对于静态文件采用此操作and方法表示结束当前标签,上下文回到,开启新一轮的配置formLogin表示开启表单登录loginPage指定自定义登录页面permitAll表示登录相关的页面/接口不要被拦截关闭csrf当自定义了登录页面为时,也会自动注册一个接口,这个接口是POST项目的时,POST为。...
Spring Security实现前后端分离Login登录功能,返回JSON提示,核心代码不到100行!
m0_59562547的博客
10-25 2167
#前后端分离登录设计思路和流程图 前后端分离是企业级应用开发的主流,登录功能同样采用前后端分离模式。 用户信息存在数据库中。 Spring Security提供身份认证。 前后端交互通过JSON进行。 登录成功不是页面跳转,而是一段JSON提示。 #第一步:前期准备工作 项目架构: 开发环境Spring-boot 2.5.5 Maven 数据库MySQL8.0+,存放用户、角色、用户角色对照表 持久层Mybatis 数据库及表设计;MAVEN依赖;application.pro...
springsecurity ajax login 与普通longin求并存
chhcong的博客
08-17 1614
spring security ——仅作记录,以后备用 正常的配置流程就不从头开始说了,网上都有,现在把我遇到的几个问题说一下。 第一个就是当系统进行api调用的时候,或者说Ajax求时,后台通过判断返回一个json串而不是直接返回一个页面(login.html,403.jsp)。 下面是直接返回页面配置的代码: &amp;amp;amp;amp;lt;security:http use-expressions=&amp;amp;amp;quot;tr...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kagula086

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值