Java之品优购课程讲义_day04（2）

（2）创建 web.xml

<?xml  version="1.0"  encoding="UTF-8"?>

<web-app  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee [url]http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd[/url]"

version="2.5">

<context-param>

<param-name>contextConfigLocation</param-name>

<param-value>classpath:spring-security.xml</param-value>

</context-param>

<listener>
<listener-class> org.springframework.web.context.ContextLoaderListener
</listener-class>

</listener>

<filter>

<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

<filter-name>springSecurityFilterChain</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

</web-app>

（3）创建 index.html 内容略
（4）创建 spring 配置文件 spring-security.xml

<?xml  version="1.0"  encoding="UTF-8"?>
<beans:beans  xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans [url]http://www.springframework.org/schema/beans/spring-beans.xsd[/url]

[url]http://www.springframework.org/schema/security[/url] [url]http://www.springframework.org/schema/security/spring-security.xsd[/url]">

<!-- 页面拦截规则 -->

<http  use-expressions="false">

<intercept-url  pattern="/**"  access="ROLE_USER"  />

<form-login/>

</http>

<!-- 认证管理器 -->

<authentication-manager>

<authentication-provider>

<user-service>

<user  name="admin"  password="123456"  authorities="ROLE_USER"/>

</user-service>

</authentication-provider>

</authentication-manager>

</beans:beans>
此案例我们没有登录页，而是使用了系统自动生成的登陆页，效果如下：
Java之品优购课程讲义_day04（2）
配置说明：
intercept-url 表示拦截页面
/* 表示的是该目录下的资源，只包括本级目录不包括下级目录
/** 表示的是该目录以及该目录下所有级别子目录的资源
form-login 为开启表单登陆
use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），默认为 true ,如果开启，则
拦截的配置应该写成以下形式

<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
1.1.1 用户自定义登录页
实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。
（1）构建登陆页：

<!DOCTYPE  html>

<html>

<head>

<meta  http-equiv="Content-Type"  content="text/html;  charset=UTF-8">

<title>登陆</title>

</head>

<body>

<form  action='/login'  method='POST'>

<table>

<tr>

<td>用户名:</td>

<td><input  type='text'  name='username'  value=''></td>

</tr>

<tr>

<td>密码:</td>

<td><input  type='password'  name='password'  /></td>

</tr>
<tr>

<td  colspan='2'><input  name="submit"  type="submit"

value="登陆"  /></td>

</tr>

</table>

</form>

</body>

</html>

（2）构建登陆失败页 login_error.html（内容略）
（3）修改 spring 配置文件 spring-security.xml

security="none" 设置此资源不被拦截. 如果你没有设置登录页 security="none" ，将会出现以下错误 ![](http://i2.51cto.com/images/blog/201808/08/ccee48335a9975fb890ea56cf9d13955.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 因为登录页会被反复重定向。 login-page：指定登录页面。 authentication-failure-url：指定了身份验证失败时跳转到的页面。 default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。 csrf disabled="true" 关闭 csrf ,如果不加会出现错误 ![](http://i2.51cto.com/images/blog/201808/08/4076d56a412aa93b3b20d9cf5b1f0093.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者 Session Riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。

Java之品优购课程讲义_day04（2）

猜你喜欢