自定义Spring Security身份验证
[英]Customize Spring Security Authentication
问题描述
我正在尝试将Spring安全性集成到我的登录表单中,并且我很难理解Spring Security如何验证数据库登录名:
所以我像这样配置了spring-security:
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/login" access="permitAll"/>
<intercept-url pattern="/logout" access="permitAll"/>
<intercept-url pattern="/denied" access="hasRole('ROLE_USER')"/>
<intercept-url pattern="/" access="hasRole('ROLE_USER')"/>
<intercept-url pattern="/user" access="hasRole('ROLE_USER')"/>
<intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')"/>
<form-login login-page="/login"
authentication-failure-url="/login/failure"
default-target-url="/"/>
<access-denied-handler error-page="/denied"/>
<logout invalidate-session="true"
logout-success-url="/logout/success"
logout-url="/logout"/>
</http>
<authentication-manager>
<authentication-provider user-service-ref="loginManager" >
<password-encoder hash="bcrypt" />
</authentication-provider>
</authentication-manager>
这是我的表格;
<c:url var="loginUrl" value="/login"/>
<form method="post" action="${loginUrl}">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
<div class="form_field">
<label for="login_name">Username / Email</label><br/>
<input class="field" id="login_name" type="text" name="username" autocomplete="off" />
</div>
<div class="form_field">
<label for="password">Password</label><br/>
<input class="field" id="password" type="password" name="password" />
</div>
</form>
这是我的控制器:
@RequestMapping("/login")
public String login(Model model, @RequestParam(required=false) String message) {
model.addAttribute("message", message);
LOGGER.info("Login");
return "/login";
}
@RequestMapping(value = "/denied")
public String denied() {
LOGGER.info("DENIE");
return "/login";
}
@RequestMapping(value = "/login/failure")
public String loginFailure() {
String message = "Login Failure!";
return "redirect:/login?message="+message;
}
@RequestMapping(value = "/logout/success")
public String logoutSuccess() {
String message = "Logout Success!";
return "redirect:/login?message="+message;
}
- 我不明白我们是否需要调用@RequestParam来获取用户名和密码的字符串,否则Spring会使用它,因为我已通知spring我的登录页面位于配置中?
这是我的服务实现的UserDetailsService:
@Override
@Transactional(readOnly=true)
public UserDetails loadUserByUsername(String name)
throws UsernameNotFoundException {
LOGGER.info("Verify Customer's Account");
Login login = loginDao.getLoginByName(name.toLowerCase());
return new User(login.getName(), login.getPassword(),
true, true, true, true, 'ROLE_USER')));
}
- 由于我的服务实现了UserDetailsService,因此我必须重写方法loadUserByUserName(name)。 我想知道如何也可以使用密码来验证该帐户,或者Spring也将为我代管该帐户(该帐户在内部如何使用?)?
感谢您的回应。
1 个解决方案
解决方案1
0 2014-10-20 09:39:03
您需要区分登录页面和登录处理URL 。 登录页面是您的登录表单。 登录处理URL接收来自用户的输入并验证用户身份。 Spring Security将为您做后面的工作,您应该将表单发布到的默认URL是/j_spring_security_check j_username ,并且您的字段应该命名为j_username和j_password (使用默认参数名称)。
您的UserDetailsService不应进行身份验证(即检查密码是否正确),Spring Security将为您执行此操作。
使用Spring Security在客户端身份验证上自定义OAuth2错误响应
[英]Customize OAuth2 error response on client authentication with Spring Security
使用 AuthenticationFailureHandler 在 Spring Security 中自定义身份验证失败响应
[英]Customize authentication failure response in Spring Security using AuthenticationFailureHandler
如何自定义 Spring-Security 中的 http 状态码以应对特殊情况认证失败?
[英]How can I customize the http status code in Spring-Security for a special case authentication failure?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何自定义 Spring 安全认证以使用 3 个参数?
使用Spring Security在客户端身份验证上自定义OAuth2错误响应
使用 AuthenticationFailureHandler 在 Spring Security 中自定义身份验证失败响应
定制春季安全
Spring Security 4自定义匹配器
spring security 自定义注销处理程序
自定义Spring Security OAuth 2响应
自定义Spring Security以获取受信任的空间
如何自定义 Spring-Security 中的 http 状态码以应对特殊情况认证失败?
Spring Security:数据库身份验证
相关标签