**
**:
http://blog.csdn.net/df19900725/article/details/78085152
http://www.datalearner.com/blog/1051506310769424
在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于SpringMVC、SpringSecurity框架的网站系统。在这篇博客中,我们将继续描述如何使用Spring Security进行登录验证。 原文地址:http://www.datalearner.com/blog/1051506310769424 总结一下Spring Security的登录验证关键步骤: 1、在数据库中建好三张表,即users、authorities和persistent_logins三个。注意字段的定义,不能少,可以多,名字必须按规定来。 2、在Spring Security的配置文件中,配置好登录跳转的页面,登录处理的页面和加密情况。 3、在前台的jsp页面中,登录的字段必须和后台users表中的一致,一般都是username和password。 4、注册页面必须自己写,注册的处理也要自己写。 ### 一、创建数据表 使用Spring Security进行登录验证,需要我们在数据库中建好相应的表,并且字段要和Spring Security内置的字段一致。主要有3张表需要建立。一是users表,包含用户名和密码以及用户状态的表;第二个是authorities表,表明该用户角色的,方便做角色控制,比如是ROLE_USER还是ROLE_ADMIN(比如admin页面可能需要用户的ROLE_ADMIN权限,而ROLE_USER权限无法登录这个管理页面);最后一个是persistent_logins表,是登录状态的记录表,主要用来提供支持“记住我”功能的。三张表的创建语句如下:
#create users table
CREATE TABLE `users` (
`username` varchar(100) NOT NULL,
`password` varchar(100) NOT NULL,
`enabled` tinyint(1) NOT NULL DEFAULT '1',
UNIQUE KEY `account` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
#create authorities table
CREATE TABLE `authorities` (
`username` varchar(50) NOT NULL,
`authority` varchar(50) DEFAULT NULL,
PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
#create persistent_logins table
CREATE TABLE `persistent_logins` (
`username` varchar(64) NOT NULL,
`series` varchar(64) NOT NULL,
`token` varchar(64) NOT NULL,
`last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
记住,这三张表字段一定要至少包含以上字段。这样Spring Security才能识别。但是,我们也可以额外添加一些字段,比如在users中添加uid等。 ### 二、配置Spring Security的权限控制 配置Spring Security的控制信息就是配置哪些页面需要登录的用户才能访问,登录的页面是那一个,登陆成功跳转到哪里等。以如下配置为例:所有的js等在resources文件夹下的内容都不需要经过过滤器,因为这些都是静态资源。而首页(/),登录页(/signin)、注册页(/register)等不需要用户登录,但是需要经过过滤器(因为我们可能需要获取未登录用户的一些信息)。两种配置方式如下所示。最后我们使用
<form-login login-page="/signin" authentication-failure-url="/signin?login_error" default-target-url="/query"/>
这个配置来说明登录页面是”/signin”,即所有需要用户登录的页面,在用户未登录情况下需要跳转到这个页面,让用户登录。authentication-failure-url配置的是用户登录失败的页面,而default-target-url是配置用户登录成功后跳转的页面。
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:beans="http://www.springframework.org/schema/beans"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-4.0.xsd">
<http pattern="/resources/**" security="none" />
<http pattern="/sitemap.xml" security="none" />
<http pattern="/favicon.ico" security="none" />
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/" access="permitAll" />
<intercept-url pattern="/index*" access="permitAll" />
<intercept-url pattern="/signin*" access="permitAll" />
<intercept-url pattern="/login*" access="permitAll" />
<intercept-url pattern="/register*" access="permitAll" />
<intercept-url pattern="/invalidsession*" access="permitAll" />
<intercept-url pattern="/404*" access="none" />
<form-login login-page="/signin" authentication-failure-url="/signin?login_error" default-target-url="/query"/>
<logout logout-success-url="/query" delete-cookies="JSESSIONID" />
<intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')" />
<intercept-url pattern="/**" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />
<csrf disabled="true" />
<access-denied-handler error-page="/403" />
<remember-me data-source-ref="dataSource" token-validity-seconds="1209600" remember-me-parameter="remember-me" />
<session-management invalid-session-url="/">
<concurrency-control max-sessions="1"/>
session-management>
http>
<authentication-manager erase-credentials="false">
<authentication-provider>
<password-encoder ref="bcryptEncoder" />
<jdbc-user-service data-source-ref="dataSource" />
authentication-provider>
authentication-manager>
<beans:bean id="messageSource"
class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<beans:property name="basenames">
<beans:list>
<beans:value>classpath:myMessagesbeans:value>
beans:list>
beans:property>
beans:bean>
<beans:bean name="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
beans:beans>
,表明登录的时候会对密码进行加密,那么后面我们写注册页面的时候必须要对密码加密之后才能存入数据库。 ### 三、创建登录/注册的页面 这里属于前台的范畴,如果我们要使用Spring Security自带的验证方法,需要在前台也配置一样的信息来获取验证需要的字段,如用户名和密码。所以这里也是需要注意的地方。具体的页面核心代码如下(我们的页面使用了Bootstrap的前端工具,所以要引入bootrap和jquery等外部样式和脚本语言才会正常显示,但是这些显示不会影响功能,核心的字段不变即可):
<div class="container">
<ul class="nav nav-tabs" id="loginTab" role="tablist">
<li class="nav-item">
<a class="nav-link active" id="home-tab" data-toggle="tab" href="#login"
role="tab" aria-controls="home" aria-expanded="true">登录a>
li>
<li class="nav-item">
<a class="nav-link" id="home-tab" data-toggle="tab" href="#register"
role="tab" aria-controls="home" aria-expanded="true">注册a>
li>
ul>
<div class="tab-content" id="myTabContent">
<div id="login" class="tab-pane fade show active" role="tabpanel" aria-labelledby="login-tab">
<form class="form-signin" action="login" method="post">
<label for="username" class="sr-only">Email addresslabel>
<input type="email" name="username" id="username" class="form-control" placeholder="邮件地址">
<label for="password" class="sr-only">Passwordlabel>
<input type="password" name="password" id="password" class="form-control" placeholder="密码">
<button class="btn btn-lg btn-primary btn-block" type="submit">点击登录button>
form>
div>
<div id="register" class="tab-pane fade" role="tabpanel" aria-labelledby="register-tab">
<div id="register_attention_alert_reg">div>
<form class="form-signin" onsubmit="return register()" method="post">
<label for="registerEmail" class="sr-only">Email addresslabel>
<input type="email" id="registerEmail" name="registerEmail" class="form-control" placeholder="邮件地址">
<label for="registerPassword" class="sr-only">Passwordlabel>
<input type="password" name="password" id="registerPassword" class="form-control" placeholder="密码">
<label for="inputPassword2" class="sr-only">Passwordlabel>
<input type="password" id="inputPasswordForRegister2" class="form-control" placeholder="请再次输入密码">
<button class="btn btn-lg btn-primary btn-block" onclick="submit">点击注册button>
form>
div>
div>
div>
login
,即
action="login"
,用户名的ID和name应该是
username
,而密码的应该是
password
,即提交给登录验证的两个参数应当是username和password,处理的请求页是
login
。
具体详细介绍请看师兄的原文。