黑马程序员技术交流社区

标题: 【郑州校区】Java之品优购课程讲义_day04（2） [打印本页]

---

作者: 谷粒姐姐    时间: 2018-8-8 09:26
标题: 【郑州校区】Java之品优购课程讲义_day04（2）

（2）创建 web.xml

[AppleScript] 纯文本查看 复制代码

<?xml  version="1.0"  encoding="UTF-8"?>





<web-app  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee"

xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"



version="2.5">





<context-param>





<param-name>contextConfigLocation</param-name>





<param-value>classpath:spring-security.xml</param-value>





</context-param>





<listener>

<listener-class> org.springframework.web.context.ContextLoaderListener

</listener-class>





</listener>





<filter>





<filter-name>springSecurityFilterChain</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>





</filter>





<filter-mapping>





<filter-name>springSecurityFilterChain</filter-name>





<url-pattern>/*</url-pattern>





</filter-mapping>





</web-app>

（3）创建 index.html        内容略

（4）创建 spring 配置文件 spring-security.xml

[AppleScript] 纯文本查看 复制代码

<?xml  version="1.0"  encoding="UTF-8"?>

<beans:beans  xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"





xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd



http://www.springframework.org/schema/security http://www.springframework.org/s ... spring-security.xsd">







<!-- 页面拦截规则 -->



<http  use-expressions="false">





<intercept-url  pattern="/**"  access="ROLE_USER"  />

[AppleScript] 纯文本查看 复制代码

<form-login/>





</http>









<!-- 认证管理器 -->



<authentication-manager>





<authentication-provider>





<user-service>





<user  name="admin"  password="123456"  authorities="ROLE_USER"/>





</user-service>





</authentication-provider>





</authentication-manager>





</beans:beans>

此案例我们没有登录页，而是使用了系统自动生成的登陆页，效果如下：

配置说明：

intercept-url 表示拦截页面

/*        表示的是该目录下的资源，只包括本级目录不包括下级目录

/** 表示的是该目录以及该目录下所有级别子目录的资源

form-login        为开启表单登陆

use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），默认为 true ,如果开启，则

拦截的配置应该写成以下形式

[AppleScript] 纯文本查看 复制代码

<intercept-url  pattern="/**"  access="hasRole('ROLE_USER')"  />

1.1.1 用户自定义登录页

实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。

（1）构建登陆页：

[AppleScript] 纯文本查看 复制代码

<!DOCTYPE  html>



<html>



<head>



<meta  http-equiv="Content-Type"  content="text/html;  charset=UTF-8">



<title>登陆</title>



</head>



<body>



<form  action='/login'  method='POST'>



<table>



<tr>



<td>用户名:</td>



<td><input  type='text'  name='username'  value=''></td>



</tr>



<tr>



<td>密码:</td>



<td><input  type='password'  name='password'  /></td>



</tr>

<tr>



<td  colspan='2'><input  name="submit"  type="submit"



value="登陆"  /></td>



</tr>



</table>



</form>



</body>



</html>

（2）构建登陆失败页        login_error.html（内容略）

（3）修改 spring 配置文件 spring-security.xml

[AppleScript] 纯文本查看 复制代码

<!-- 以下页面不被拦截 -->



<http  pattern="/login.html"  security="none"></http>





<http  pattern="/login_error.html"  security="none"></http>



<!-- 页面拦截规则 -->



<http  use-expressions="false">





<intercept-url  pattern="/*"  access="ROLE_USER"  />





<form-login  login-page="/login.html"  default-target-url="/index.html" authentication-failure-url="/login_error.html"/>



<csrf  disabled="true"/>





</http>

security="none"        设置此资源不被拦截.

如果你没有设置登录页 security="none"        ，将会出现以下错误

因为登录页会被反复重定向。

login-page：指定登录页面。

authentication-failure-url：指定了身份验证失败时跳转到的页面。

default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。

csrf disabled="true"        关闭 csrf ,如果不加会出现错误

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者 Session

Riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。

---

欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)

黑马程序员IT技术论坛 X3.2