Spring 安全 - 自定义登录表单在提交时不调用 AuthenticationProvider
Spring Security - Custom login form not calling the AuthenticationProvider on submit
已解决:
Spring Security 4 似乎不再提供默认的登录处理-url。我们现在必须在表单登录中明确提供它,如下所示。
login-processing-url="/j_spring_security_check"
我有一种奇怪的行为组合,这让我很困惑。找到了很多教程和类似的问题,但 none 完全像这样。希望有人能帮忙。
简短版:重新显示登录页面 - 无论好坏 username/password 并且永远不会调用 AuthenticationProvider(断点未触发)。
长版:
第 1 步 - 成功
- 我能够通过默认的 AuthenticationProvider 和默认的自动生成的登录屏幕使用 spring 安全性。好
- 我能够编写自定义 AuthenticationProvider 和 UserDetailsService。使用默认的自动生成的登录屏幕,一切正常。好
- ...所以上面排除了很多可能的问题。
第 2 步 - 问题 - 设置使用自定义登录表单
1) 我添加了表单登录:
<sec:form-login
login-processing-url="/j_spring_security_check"
login-page="/login.htm"
authentication-failure-url="/login.htm?error"
username-parameter="username"
password-parameter="password"
/>
<sec:logout logout-success-url="/login.htm?logout"/>
<sec:csrf/>
2) 我确保可以访问登录 URL:
<sec:intercept-url pattern="/login.htm" access="permitAll" />
3) 我创建了一个简单的 LoginController:
@Controller
public class LoginController {
@RequestMapping(value="/login.htm")
public ModelAndView login(HttpServletRequest request,
@RequestParam(value="error", required=false) String error,
@RequestParam(value="logout",required=false) String logout) {
ModelAndView model = new ModelAndView();
if(error!=null) {
model.addObject("error", "Invalid username or password.");
}
if(logout!= null) {
model.addObject("msg", "Successfully logged out.");
}
model.setViewName("/login");
return model;
}
4) 我创建了一个简单的 login.jsp:
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>Login</title>
</head>
<body onload="document.loginForm.username.focus()">
<h1>Login form</h1>
<div>
<h2>Username and Password</h2>
<c:if test="${not empty error}">
<div style="color: red">${error}</div>
</c:if>
<c:if test="${not empty msg}">
<div style="color: green">${msg}</div>
</c:if>
<form name="loginForm" action="<c:url value='j_spring_security_check' />" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value = '' /></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit" value="submit" /></td>
</tr>
<tr><td colspan='2'>[${not empty webUser}]</td></tr>
</table>
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
</form>
</div>
</body>
</html>
5) 然后我在 Eclipse 中设置了一些断点以查看它的行为。
- 登录页面显示正常
- 我输入用户名和密码并点击提交。
- 用户名和密码的好坏都会导致相同的行为,重新显示登录页面。
- AuthenticationProvider 中的断点从未触发。
我的解释是 < c : url value='j_spring_security_check' /> 指定的操作不会触发 AuthenticationProvider。
请注意,当我使用内置默认 spring 安全登录表单时,相同的自定义 AuthenticationProvider 工作完美无缺。这告诉我问题与提供者本身无关,而是与 "reaching it" 当我在 login.jsp 中点击提交时,特别是因为我在它的第一行有一个断点并且它不是绊倒了。
我敢打赌我的错误对于熟悉 Spring 安全性的人来说是微不足道且显而易见的。提前感谢任何抓住它的人。
此问题已解决。
Spring Security 4 似乎不再提供默认登录处理-url。我们现在必须在表单登录中明确提供它,如下所示。
登录处理-url="/j_spring_security_check"
在用头撞墙好几个小时后,我偶然发现了解决方案。希望对遇到同样情况的其他人有所帮助。
已解决:
Spring Security 4 似乎不再提供默认的登录处理-url。我们现在必须在表单登录中明确提供它,如下所示。
login-processing-url="/j_spring_security_check"
我有一种奇怪的行为组合,这让我很困惑。找到了很多教程和类似的问题,但 none 完全像这样。希望有人能帮忙。
简短版:重新显示登录页面 - 无论好坏 username/password 并且永远不会调用 AuthenticationProvider(断点未触发)。
长版:
第 1 步 - 成功
- 我能够通过默认的 AuthenticationProvider 和默认的自动生成的登录屏幕使用 spring 安全性。好
- 我能够编写自定义 AuthenticationProvider 和 UserDetailsService。使用默认的自动生成的登录屏幕,一切正常。好
- ...所以上面排除了很多可能的问题。
第 2 步 - 问题 - 设置使用自定义登录表单
1) 我添加了表单登录:
<sec:form-login
login-processing-url="/j_spring_security_check"
login-page="/login.htm"
authentication-failure-url="/login.htm?error"
username-parameter="username"
password-parameter="password"
/>
<sec:logout logout-success-url="/login.htm?logout"/>
<sec:csrf/>
2) 我确保可以访问登录 URL:
<sec:intercept-url pattern="/login.htm" access="permitAll" />
3) 我创建了一个简单的 LoginController:
@Controller
public class LoginController {
@RequestMapping(value="/login.htm")
public ModelAndView login(HttpServletRequest request,
@RequestParam(value="error", required=false) String error,
@RequestParam(value="logout",required=false) String logout) {
ModelAndView model = new ModelAndView();
if(error!=null) {
model.addObject("error", "Invalid username or password.");
}
if(logout!= null) {
model.addObject("msg", "Successfully logged out.");
}
model.setViewName("/login");
return model;
}
4) 我创建了一个简单的 login.jsp:
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>Login</title>
</head>
<body onload="document.loginForm.username.focus()">
<h1>Login form</h1>
<div>
<h2>Username and Password</h2>
<c:if test="${not empty error}">
<div style="color: red">${error}</div>
</c:if>
<c:if test="${not empty msg}">
<div style="color: green">${msg}</div>
</c:if>
<form name="loginForm" action="<c:url value='j_spring_security_check' />" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value = '' /></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit" value="submit" /></td>
</tr>
<tr><td colspan='2'>[${not empty webUser}]</td></tr>
</table>
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
</form>
</div>
</body>
</html>
5) 然后我在 Eclipse 中设置了一些断点以查看它的行为。
- 登录页面显示正常
- 我输入用户名和密码并点击提交。
- 用户名和密码的好坏都会导致相同的行为,重新显示登录页面。
- AuthenticationProvider 中的断点从未触发。
我的解释是 < c : url value='j_spring_security_check' /> 指定的操作不会触发 AuthenticationProvider。
请注意,当我使用内置默认 spring 安全登录表单时,相同的自定义 AuthenticationProvider 工作完美无缺。这告诉我问题与提供者本身无关,而是与 "reaching it" 当我在 login.jsp 中点击提交时,特别是因为我在它的第一行有一个断点并且它不是绊倒了。
我敢打赌我的错误对于熟悉 Spring 安全性的人来说是微不足道且显而易见的。提前感谢任何抓住它的人。
此问题已解决。
Spring Security 4 似乎不再提供默认登录处理-url。我们现在必须在表单登录中明确提供它,如下所示。
登录处理-url="/j_spring_security_check"
在用头撞墙好几个小时后,我偶然发现了解决方案。希望对遇到同样情况的其他人有所帮助。