自定义Spring安全身份验证

时间:2014-10-17 16:19:52

标签: java spring-mvc spring-security

我正在尝试将Spring安全性集成到我的登录表单中,我很难理解spring security如何验证数据库登录:

所以我已经像这样配置了spring-security:

<http auto-config="true"  use-expressions="true">
        <intercept-url pattern="/login" access="permitAll"/>
        <intercept-url pattern="/logout" access="permitAll"/>
        <intercept-url pattern="/denied" access="hasRole('ROLE_USER')"/>
        <intercept-url pattern="/" access="hasRole('ROLE_USER')"/>
        <intercept-url pattern="/user" access="hasRole('ROLE_USER')"/>
        <intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')"/>

        <form-login login-page="/login" 
            authentication-failure-url="/login/failure" 
            default-target-url="/"/>

        <access-denied-handler error-page="/denied"/>

        <logout invalidate-session="true" 
            logout-success-url="/logout/success" 
            logout-url="/logout"/>
    </http>

    <authentication-manager>
        <authentication-provider user-service-ref="loginManager" >
            <password-encoder hash="bcrypt" />
        </authentication-provider>
    </authentication-manager>

这是我的表格; 

<c:url var="loginUrl" value="/login"/>
<form method="post" action="${loginUrl}">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <div class="form_field">
        <label for="login_name">Username / Email</label><br/>
        <input class="field" id="login_name" type="text" name="username" autocomplete="off" />
    </div>
    <div class="form_field">
        <label for="password">Password</label><br/>
        <input class="field" id="password" type="password" name="password" />
    </div>
</form>

这是我的控制者:

    @RequestMapping("/login")
    public String login(Model model, @RequestParam(required=false) String message) {
        model.addAttribute("message", message);
        LOGGER.info("Login");
        return "/login";
    }

    @RequestMapping(value = "/denied")
    public String denied() {
        LOGGER.info("DENIE");
        return "/login";
    }

    @RequestMapping(value = "/login/failure")
    public String loginFailure() {
        String message = "Login Failure!";
        return "redirect:/login?message="+message;
    }

    @RequestMapping(value = "/logout/success")
    public String logoutSuccess() {
        String message = "Logout Success!";
        return "redirect:/login?message="+message;
    }
  1. 我不明白我们是否需要调用@RequestParam来获取用户名和密码的字符串,或者Spring会将其用于使用,因为我已通知spring我的登录页面在配置中?

    2. 这是我的服务实现UserDetailsS​​ervice:

    @Override
@Transactional(readOnly=true)
public UserDetails loadUserByUsername(String name)
        throws UsernameNotFoundException {
    LOGGER.info("Verify Customer's Account");
    Login login = loginDao.getLoginByName(name.toLowerCase());

    return new User(login.getName(), login.getPassword(),
            true, true, true, true, 'ROLE_USER')));
}
    1. 由于我的服务实现了UserDetailsS​​ervice,我必须覆盖方法loadUserByUserName(name)。我想知道如何用密码验证帐户,或者Spring也会为我处理它(它将如何在内部工作?)?

      2. 感谢您的回复。

1 个答案:

答案 0 :(得分:0)

您需要区分登录页面登录处理URL 。登录页面是您的登录表单。登录处理URL接收来自用户的输入并验证用户。 Spring Security将为您执行更新操作,您应将表单发布到的默认网址为/j_spring_security_check,并且您的字段应命名为j_usernamej_password(使用默认参数名称)。

您的UserDetailsS​​ervice不应进行身份验证(即检查密码是否正确),Spring Security会为您执行此操作。

相关问题
最新问题