|
(2)创建 web.xml [AppleScript] 纯文本查看 复制代码 <?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee [url]http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd[/url]"
version="2.5">
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class> org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app> (3)创建 index.html 内容略 (4)创建 spring 配置文件 spring-security.xml [AppleScript] 纯文本查看 复制代码 <?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans [url]http://www.springframework.org/schema/beans/spring-beans.xsd[/url]
[url]http://www.springframework.org/schema/security[/url] [url]http://www.springframework.org/schema/security/spring-security.xsd[/url]">
<!-- 页面拦截规则 -->
<http use-expressions="false">
<intercept-url pattern="/**" access="ROLE_USER" /> [AppleScript] 纯文本查看 复制代码 <form-login/>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="123456" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans> 此案例我们没有登录页,而是使用了系统自动生成的登陆页,效果如下: 配置说明: intercept-url 表示拦截页面 /* 表示的是该目录下的资源,只包括本级目录不包括下级目录 /** 表示的是该目录以及该目录下所有级别子目录的资源 form-login 为开启表单登陆 use-expressions 为是否使用使用 Spring 表达式语言( SpEL ),默认为 true ,如果开启,则 拦截的配置应该写成以下形式 [AppleScript] 纯文本查看 复制代码 <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />1.1.1 用户自定义登录页 实际开发中,我们不可能使用系统生成的登录页,而是使用我们自己的登录页。 (1)构建登陆页: [AppleScript] 纯文本查看 复制代码 <!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登陆</title>
</head>
<body>
<form action='/login' method='POST'>
<table>
<tr>
<td>用户名:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>密码:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit"
value="登陆" /></td>
</tr>
</table>
</form>
</body>
</html> (2)构建登陆失败页 login_error.html(内容略) (3)修改 spring 配置文件 spring-security.xml [AppleScript] 纯文本查看 复制代码 <!-- 以下页面不被拦截 -->
<http pattern="/login.html" security="none"></http>
<http pattern="/login_error.html" security="none"></http>
<!-- 页面拦截规则 -->
<http use-expressions="false">
<intercept-url pattern="/*" access="ROLE_USER" />
<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>
<csrf disabled="true"/>
</http> security="none" 设置此资源不被拦截. 如果你没有设置登录页 security="none" ,将会出现以下错误 因为登录页会被反复重定向。 login-page:指定登录页面。 authentication-failure-url:指定了身份验证失败时跳转到的页面。 default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。 csrf disabled="true" 关闭 csrf ,如果不加会出现错误 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。
| 
收藏
淘帖
踩
