Spring-security с помощью пользовательской проверки подлинности формы не работает

Я пытаюсь реализовать пользовательский логин для аутентификации и автооризации с помощью Spring-Security 4.0.2.RELEASE. Я использую конфигурацию xml.

Это мой web.xml:

<web-app version="2.5" 
    
    xsi_schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

    <display-name>Authorization with Spring security</display-name>

    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <!-- Spring Security -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/spring-security.xml
        </param-value>
    </context-param>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <listener>
        <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
    </listener>

</web-app>

Это мой spring-security.xml:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans 
    
    
    xsi_schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">

    <http auto-config="true">
        <intercept-url pattern="/admin*" access="hasRole('ROLE_ADMIN')"/>
        <intercept-url pattern="/member*" access="hasAnyRole('ROLE_MEMBER','ROLE_ADMIN')" />

        <form-login 
        login-page="/login"
        authentication-failure-url="/login?error"/>

        <logout invalidate-session="true"/>
        <csrf/>
    </http>

    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin" password="admin" authorities="ROLE_ADMIN" />
                <user name="member" password="member" authorities="ROLE_MEMBER" />
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>

И это мой логин.jsp, построенный с помощью Bootstrap:

<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
    pageEncoding="ISO-8859-1"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>LOGIN - PAOLO</title>

<!-- Latest compiled and minified CSS -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">

<!-- Optional theme -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap-theme.min.css" integrity="sha384-rHyoN1iRsVXV4nD0JutlnGaslCJuC7uwjduW9SVrLvRYooPp2bWYgmgJQIXwl/Sp" crossorigin="anonymous">

<!-- Latest compiled and minified JavaScript -->
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js" integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" crossorigin="anonymous"></script>

</head>
<body>

    <form>
        <div class="form-group">
            <label for="username">Username</label> <input type="text" name='j_username'
                class="form-control" id="username" placeholder="Username">
        </div>
        <div class="form-group">
            <label for="exampleInputPassword1">Password</label> <input
                type="password" name='j_password' class="form-control" id="exampleInputPassword1"
                placeholder="Password">
        </div>
        <button type="submit" class="btn btn-default">Submit</button>
    </form>
</body>
</html>

Если я удаляю login-page="/login"изspring-security.xml, То есть с помощью формы входа по умолчанию, предоставленной spring security, аутентификация работает должным образом: только admin/admin и member/member имеют доступ. Если я использую свою пользовательскую форму при нажатии кнопки Отправить запрос GET для /login?j_username=<inserted_username>&j_password=<inserted_password>запуска.
Я не понимаю, почему моя аутентификация не работает с пользовательской формой.

1 ответ

  1. Во-первых, добавьте в тег формы атрибут действия с url-адресом входа в систему , в соответствии с конфигурацией безопасности xml это ‘/login’, и добавьте атрибут method с with POST value, потому что формы предназначены для публикации. Вроде этого:

    <form method="POST" action="/login" >
    

    Также рекомендуется использовать тег spring url внутри атрибута action, чтобы быть в безопасности и убедиться, что мы заполняем правильный URL.

    Во-вторых, в конфигурации безопасности отсутствует место для чтения имени пользователя и пароля.

    <form-login login-page="/login" login-processing-url="/login" 
        username-parameter="userNameLogin" password-parameter="passwordLogin"/>
    

    Необходимо добавить атрибуты username-parameter и password-parameter в форму login.

    В вашем случае их значениями будут j_username и j_password.