0
議決如果AuthenticationProvider:春季安全 - 自定義登錄表單不調用提交
Spring Security的4似乎不再提供默認的登錄處理的URL。我們現在必須明確地按照以下形式提供它。
login-processing-url="/j_spring_security_check"
我有了我難倒行爲的一個奇怪的組合。發現了很多教程和類似的問題,但沒有一個完全像這樣。我希望有人能幫幫忙。
簡短版本:登錄頁面重新顯示 - 無論用戶名/密碼的好壞,以及AuthenticationProvider永遠不會被調用(斷點不會被觸發)。
長版:
第1步 - 成功
- 我能夠使用Spring Security使用默認的AuthenticationProvider和默認自動生成的登錄屏幕。好。
- 我能夠編寫一個自定義AuthenticationProvider和UserDetailsService。事情工作正常,使用默認的自動生成的登錄屏幕。好。
- ...所以上述規則排除了很多可能的問題。
第2步 - 問題 - 設置爲使用自定義登錄表單
1)我加的形式登錄:
<sec:form-login
login-processing-url="/j_spring_security_check"
login-page="/login.htm"
authentication-failure-url="/login.htm?error"
username-parameter="username"
password-parameter="password"
/>
<sec:logout logout-success-url="/login.htm?logout"/>
<sec:csrf/>
2)我確信,登錄URL會訪問:
<sec:intercept-url pattern="/login.htm" access="permitAll" />
3)I創建一個微不足道的LoginController:
@Controller
public class LoginController {
@RequestMapping(value="/login.htm")
public ModelAndView login(HttpServletRequest request,
@RequestParam(value="error", required=false) String error,
@RequestParam(value="logout",required=false) String logout) {
ModelAndView model = new ModelAndView();
if(error!=null) {
model.addObject("error", "Invalid username or password.");
}
if(logout!= null) {
model.addObject("msg", "Successfully logged out.");
}
model.setViewName("/login");
return model;
}
4)我創建了一個平凡的login.jsp:
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>Login</title>
</head>
<body onload="document.loginForm.username.focus()">
<h1>Login form</h1>
<div>
<h2>Username and Password</h2>
<c:if test="${not empty error}">
<div style="color: red">${error}</div>
</c:if>
<c:if test="${not empty msg}">
<div style="color: green">${msg}</div>
</c:if>
<form name="loginForm" action="<c:url value='j_spring_security_check' />" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value = '' /></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit" value="submit" /></td>
</tr>
<tr><td colspan='2'>[${not empty webUser}]</td></tr>
</table>
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
</form>
</div>
</body>
</html>
5)然後我建立在Eclipse一些斷點,看看它的表現。
- 登錄頁面顯示正常。
- 我輸入用戶名和密碼並點擊提交。
- 好或不好的用戶名和密碼都會導致相同的行爲,重新顯示登錄頁面。
- AuthenticationProvider中的斷點從不跳閘。
我的解釋是,由< c:url value ='j_spring_security_check'/>指定的操作不會觸發AuthenticationProvider。
請注意,當我使用內置的默認彈簧安全登錄表單時,完全相同的自定義AuthenticationProvider完美地工作。這告訴我這個問題與提供者本身無關,而是當我在login.jsp中提交時,「達到它」,特別是因爲我在它的第一行有一個斷點,並且它沒有被觸發。
我敢打賭,我的錯誤對於熟悉Spring Security的人來說是微不足道的。我先感謝任何能夠抓住它的人。