#java #spring #spring-mvc #authentication #spring-security
#java #spring #spring-mvc #аутентификация #spring-безопасность
Вопрос:
Я пытаюсь реализовать пользовательский логин для аутентификации и автоматической авторизации с использованием Spring-Security 4.0.2.RELEASE . Я использую конфигурацию xml.
Это мой web.xml :
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<display-name>Authorization with Spring security</display-name>
<servlet>
<servlet-name>dispatcher</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>dispatcher</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<!-- Spring Security -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/spring-security.xml
</param-value>
</context-param>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<listener>
<listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
</listener>
</web-app>
Это мой spring-security.xml :
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<http auto-config="true">
<intercept-url pattern="/admin*" access="hasRole('ROLE_ADMIN')"/>
<intercept-url pattern="/member*" access="hasAnyRole('ROLE_MEMBER','ROLE_ADMIN')" />
<form-login
login-page="/login"
authentication-failure-url="/login?error"/>
<logout invalidate-session="true"/>
<csrf/>
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="admin" authorities="ROLE_ADMIN" />
<user name="member" password="member" authorities="ROLE_MEMBER" />
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
И это мой login.jsp, созданный с использованием Bootstrap:
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
pageEncoding="ISO-8859-1"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>LOGIN - PAOLO</title>
<!-- Latest compiled and minified CSS -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
<!-- Optional theme -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap-theme.min.css" integrity="sha384-rHyoN1iRsVXV4nD0JutlnGaslCJuC7uwjduW9SVrLvRYooPp2bWYgmgJQIXwl/Sp" crossorigin="anonymous">
<!-- Latest compiled and minified JavaScript -->
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js" integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" crossorigin="anonymous"></script>
</head>
<body>
<form>
<div class="form-group">
<label for="username">Username</label> <input type="text" name='j_username'
class="form-control" id="username" placeholder="Username">
</div>
<div class="form-group">
<label for="exampleInputPassword1">Password</label> <input
type="password" name='j_password' class="form-control" id="exampleInputPassword1"
placeholder="Password">
</div>
<button type="submit" class="btn btn-default">Submit</button>
</form>
</body>
</html>
Если я удаляю login-page="/login" из spring-security.xml , то есть использую форму входа по умолчанию, предоставляемую spring security, аутентификация работает должным образом: доступ разрешен только администратору / администратору и участнику / участнику. Если я использую свою пользовательскую форму при нажатии кнопки отправки, запускается запрос GET на /login?j_username=<inserted_username>amp;j_password=<inserted_password> запуск.
Я не понимаю, почему моя аутентификация не работает с пользовательской формой.
Ответ №1:
Во-первых, добавьте в свой тег формы атрибут action с URL-адресом входа, в соответствии с вашей конфигурацией безопасности xml это ‘/ login’, и добавьте атрибут метода со значением POST, поскольку формы предназначены для публикации. Вот так:
<form method="POST" action="/login" >
Также рекомендуется использовать тег spring url внутри атрибута action, просто на всякий случай, и чтобы убедиться, что мы заполним правильный URL.
Во-вторых, вам не хватает в конфигурации безопасности, откуда можно прочитать имя пользователя и пароль.
<form-login login-page="/login" login-processing-url="/login"
username-parameter="userNameLogin" password-parameter="passwordLogin"/>
Вы должны добавить атрибуты username-parameter и password-parameter в свой form-login.
В вашем случае их значениями будут j_username и j_password.