如何檢查FORM領域驗證是否失敗？

Question

我使用FORM身份驗證。

<login-config> 
    <auth-method>FORM</auth-method> 
    <form-login-config> 
     <form-login-page>/loginPage.jsp</form-login-page> 
     <form-error-page>/loginPage.jsp</form-error-page> 
    </form-login-config>     
</login-config> 

我想爲我的form-login-page和form-error-page使用相同的JSP，以便重用代碼。我使用Realm（org.apache.catalina.realm.JDBCRealm）。

在我的JSP中，如果身份驗證失敗，我想顯示錯誤消息。 Realm在請求中存儲了什麼，我可以檢查嗎？

Answer 1

我這樣做是通過讓錯誤頁面通過http頭重定向到登錄頁面，並通過讓錯誤頁面包含javascript來打開錯誤下面的iframe中的登錄。

Answer 2

參數添加到URL的錯誤頁面：

<form-login-config> 
    <form-login-page>/login.jsp</form-login-page> 
    <form-error-page>/login.jsp?error=true</form-error-page> 
</form-login-config> 

在你的login.jsp，檢查是否發生錯誤，如果它沒有顯示錯誤消息：

<c:if test="${not empty error}"> 
    <p class="error">Login failed. Please try again.</p> 
</c:if> 

這表單不會讓您輸出登錄失敗的任何具體原因。但是，安全考慮已經使其成爲不正確的做法，所以這不應該成爲問題。例如。你不應該想要輸出詳細的消息，如「沒有用戶註冊該名稱」。或者「用戶X的密碼錯誤」，因爲這有助於攻擊者入侵系統。

只要告訴他們登錄失敗。簡單和良好的安全實踐，你想要什麼？ :)