Spring安全性执行自定义登录表单的验证

时间:2012-10-17 13:16:22

标签: spring spring-mvc spring-security

在调用authenticationManager进行身份验证之前,我需要在登录表单上进行一些验证。已经能够在一个现有帖子How to make extra validation in Spring Security login form?

的帮助下实现它

有人可以建议我是否遵循正确的方法或错过了什么?特别是,我不清楚如何显示错误消息。 在过滤器中,我使用验证器在登录字段上执行验证,如果有错误,我抛出一个Exception(扩展AuthenticationException)并封装Errors对象。为异常类提供了一个getErrors()方法来检索错误。

因为在任何身份验证异常的情况下,故障处理程序将异常存储在会话中,所以在我的控制器中,我检查存储在会话中的异常,如果异常存在,请用errors对象填充绑定结果从我的自定义异常中检索(在检查AuthenticationException的运行时实例之后)

以下是我的代码片段 -

LoginFilter类

public class UsernamePasswordLoginAuthenticationFilter extends
        UsernamePasswordAuthenticationFilter {

    @Autowired
    private Validator loginValidator;

    /* (non-Javadoc)
     * @see org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse)
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request,
            HttpServletResponse response) throws AuthenticationException {

        Login login = new Login();
        login.setUserId(request.getParameter("userId"));
        login.setPassword(request.getParameter("password"));
        Errors errors = new BeanPropertyBindingResult(login, "login");
        loginValidator.validate(login, errors);
        if(errors.hasErrors()) {
            throw new LoginAuthenticationValidationException("Authentication Validation Failure", errors);
        }
        return super.attemptAuthentication(request, response);
    }
}

控制器

@Controller
public class LoginController {

    @RequestMapping(value="/login", method = RequestMethod.GET)
    public String loginPage(@ModelAttribute("login") Login login, BindingResult result,  HttpServletRequest request) {

        AuthenticationException excp = (AuthenticationException)
                request.getSession().getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
        if(excp != null) {
            if (excp instanceof LoginAuthenticationValidationException) {
                LoginAuthenticationValidationException loginExcp = (LoginAuthenticationValidationException) excp;
                result.addAllErrors(loginExcp.getErrors());
            }
        }
        return "login";
    }

    @ModelAttribute
    public void initializeForm(ModelMap map) {
        map.put("login", new Login());
    }

这部分在控制器中检查Exception的实例,然后取出Errors对象,看起来并不干净。我不确定这是否是处理它的唯一方法,或者有人以任何其他方式接近它?请提供您的建议。

谢谢!

1 个答案:

答案 0 :(得分:0)

@RequestMapping(value = "/login", method = RequestMethod.GET)
public ModelAndView signInPage(
    @RequestParam(value = "error", required = false) String error,
    @RequestParam(value = "logout", required = false) String logout) {
        ModelAndView mav = new ModelAndView();
        //Initially when you hit on login url then error and logout both null
        if (error != null) {
            mav.addObject("error", "Invalid username and password!");
        }

        if (logout != null) {
            mav.addObject("msg", "You've been logged out successfully.");
        }
        mav.setViewName("login/login.jsp");
}

现在,如果登录失败,那么它将再次点击此url并在其url中添加错误,因为在spring安全文件中设置了失败URL。      Spring安全文件:-authentication-failure-url="/login?error=1"     然后你的URl变成url/login?error=1     然后自动signInPage方法将调用并带有一些错误值。现在错误不是null,您可以设置对应于url的任何字符串,我们可以使用以下标记在jsp上显示: - 

<c:if test="${not empty error}">
   <div class="error">${error}</div>
</c:if>
相关问题
最新问题