Spring Security学习(二)Spring Security Guides 定制登录界面

翻译自Creating a Custom Login Form

声明 转载请注明出处! Reprint please indicate the source!

Spring Security学习(二)Spring Security Guides 定制登录界面

本指南构建了Hello Spring MVC Security Java Config,以解释如何使用Spring Security Java Configuration配置和使用自定义登录表单。

启动示例

本节概述如何在Spring Tool Suite(STS)中设置工作区,以便您可以遵循本指南。下一节将介绍如何将Spring Security应用于现有应用程序的通用步骤。虽然您可以简单地将步骤应用于现有应用程序,但我们鼓励您遵循本指南,以减少复杂性。

获取示例项目

Spring Security Distribution解压缩到已知位置,并将其记为SPRING_SECURITY_HOME。

导入不安全的MVC示例应用程序

为了遵循,我们建议您将insecuremvc示例应用程序导入到IDE中。您可以使用任何您喜欢的IDE,但本指南中的说明将假设您正在使用Spring Tool Suite(STS)。

完整的示例应用程序可以在SPRING_SECURITY_HOME/samples/javaconfig/form中找到

  • 如果您没有安装STS,请从https://spring.io/tools下载STS
  • 启动STS并将示例应用程序导入STS,步骤如下:
    • File→Import
    • Existing Maven Projects
    • Click Next >
    • Click Browse…
    • Navigate to the samples (i.e. SPRING_SECURITY_HOME/samples/xml/insecure) and click OK
    • Click Finish

运行insecuremvc应用程序

在下面的练习中,我们将修改spring-security-samples-xml-insecuremvc应用程序。在进行任何更改之前,最好验证示例是否正常工作。执行以下步骤以确保spring-security-samples-javaconfig-hellomvc可以正常工作。

  • Right click on the spring-security-samples-javaconfig-hellomvc application
  • Select Run As→Run on Server
  • Select the latest tc Server
  • Click Finish

验证应用程序是否正常工作:

  • 一个用户收件箱的页面可以在http//localhost8080/sample/ 通过用户名和密码验证后显示。
  • 尝试点击撰写链接Compose 并创建一条消息。应显示消息详细信息。
  • 现在点击收件箱链接Inbox ,看到列出的消息。您可以点击摘要链接查看再次显示的详细信息。

复写默认配置(HttpSecurity)方法

正如我们在Hello Spring MVC Security Java Config中所看到的那样,Spring Security的WebSecurityConfigurerAdapter提供了一些方便的默认值,使我们的应用程序能够快速启动并运行。但是,我们的登录表单看起来不像我们的其他应用程序。让我们看看如何更新我们的配置以使用自定义窗体。

默认配置(HttpSecurity)

configure(HttpSecurity)方法的默认配置可以在下面看到:

该配置确保:

  • 每个请求都要求用户进行身份验证
  • 支持基于表单的身份验证
  • 支持HTTP基本身份验证

配置自定义登录页面

我们希望确保我们在更新中补偿这些默认值。打开SecurityConfig并插入configure方法,如下所示:

src/main/java/org/springframework/security/samples/config/SecurityConfig.java

loginPage(“/login”)那一行指示Spring Security

  • 当需要验证时,将浏览器重定向到 /login
  • 我们负责呈现登录页面,当/login被请求时
  • 当验证尝试失败时,将浏览器重定向到 /login?error(因为我们没有另外指定)
  • 我们负责呈现失败页面,当 /login?error被请求时
  • 当我们成功注销时,将浏览器重定向到 /login?logout(因为我们没有另外指定)
  • 我们负责在 /login?logout 请求时提交注销确认页面

继续并启动服务器,并尝试访问 http://localhost:8080/sample/ 查看我们的配置的更新。在许多浏览器中,您将看到类似于此网页的错误有一个重定向循环。发生什么事?请看下文。

授予访问未经身份验证的用户

问题是Spring Security正在保护对我们的自定义登录页面的访问。特别是以下情况发生:

  • 我们向我们的Web应用程序发出请求
  • Spring Security认为我们没有认证
  • 我们被重定向到/login
  • 浏览器请求/login
  • Spring Security认为我们没有认证
  • 我们被重定向到 /login

要解决这个问题,我们需要指示Spring Security允许任何人访问/login URL。我们可以轻松地做以下修正:

src/main/java/org/springframework/security/samples/config/SecurityConfig.java

方法formLogin().permitAll()语句指示Spring Security允许访问与formLogin()相关联的任何URL(例如 /login and /login?error)。

默认情况下,授予对 formLogin() URL的访问权限,因为Spring Security需要对允许的内容进行某些假设,哪些不允许。为了安全起见,最好确保授予对资源的访问是明确的。

启动服务器并尝试访问 http://localhost:8080/sample/以查看我们配置的更新。您现在应该收到一个500错误,指出Error resolving template “login”.

创建登录页面

在Spring Web MVC中,创建我们的登录页面有两个步骤:

  • 创建一个控制器
  • 创建视图

配置登录视图控制器

在Spring Web MVC中,第一步是确保我们有一个可以指向我们观点的控制器。由于我们的项目将javaconfig/messages项目添加为依赖关系,并且它包含用于/login的视图控制器,因此我们不需要在我们的应用程序中创建一个控制器。作为参考,您可以看到以下配置:

这里,我要注明,是在pom.xml中的依赖关系:

image

所以如果缺少依赖jar包,有必要进行把项目pom.xml编译生成jar。

创建登录视图

我们现有的配置意味着我们需要做的就是创建一个具有以下内容的login.html文件:

src/main/resources/views/login.html

  • 我们提交我们的用户名和密码的网址与我们的登录表单(即 /login)相同,但是方法是 POST 而不是 GET
  • 当认证失败时,浏览器被重定向到/login?error错误,因此我们可以通过检测参数错误是否为非空值来显示错误消息。
  • 当我们成功注销时,浏览器被重定向到/login?logout,所以我们可以通过检测参数注销是否为非空值来显示注销成功消息。
  • 用户名应该出现在HTTP参数username上
  • 密码应该出现在HTTP参数password上

不显示有关身份验证失败的详细信息。例如,我们不想显示用户不存在,因为这将告诉攻击者他们应该尝试不同的用户名。

我们使用Thymeleaf自动将CSRF令牌添加到我们的表单中。如果我们不使用Thymleaf或Spring MVC taglib,我们也可以使用<input type=”hidden” name=”${_csrf.parameterName}” value=”${_csrf.token}”/>手动添加CSRF令牌。

启动服务器并尝试访问 http://localhost:8080/sample/以查看我们配置的更新。我们现在看到我们的登录页面,但它看起来不太漂亮。问题是我们没有授权访问css文件。

授予对剩余资源的访问权

我们需要更新我们的配置,以允许任何人访问我们的资源和我们的注销页面。更新配置如下图所示:

src/main/java/org/springframework/security/samples/config/SecurityConfig.java

  • 这允许任何人访问以 /resources/开头的URL。因为这是我们的CSS,JavaScript和图像存储我们所有的静态资源是任何人都可以看到的。
  • 如你所料logout().permitAll()允许任何用户请求注销并查看注销成功URL。

重新启动服务器并尝试访问 http://localhost:8080/sample/以查看我们的配置的更新。我们现在看到一个自定义登录页面,看起来像我们的应用程序的其余部分。

  • 尝试输入无效的用户名和密码。您将看到我们的错误消息显示。
  • 尝试输入有效的用户名(用户)和密码(密码)。您将被成功验证。
  • 尝试点击注销按钮。您将看到我们的注销成功消息

您现在应该知道如何使用Spring Security的Java配置添加自定义登录表单了。

发布者

Jiaheng Tao

挖掘概念,创造工具

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据