デフォルトでは、ログインフォームが指定されていない場合、Spring Securityはデフォルトのログインフォームを自動的に作成します。このリンクを参照してください://spring-security/spring-security-hello-world-example/[Spring Security hello worldの例]
このチュートリアルでは、Spring Security用のカスタム・ログイン・フォーム(XMLの例)を作成する方法を説明します。
使用される技術:
-
Spring 3.2.8.RELEASE
-
春のセキュリティ3.2.3.RELEASE
-
Eclipse 4.2
-
JDK 1.6
-
Maven 3
1.プロジェクトデモ
2.ディレクトリ構造
このチュートリアルの最終的なディレクトリ構造を確認してください。
3.春のセキュリティ設定
Spring XMLファイルでカスタムログインフォームを定義しました。以下の説明を参照してください。
-
login-page = “/login” – カスタムログインフォームを表示するページ
-
authentication-failure-url = “/login?error” – 認証に失敗した場合、
`/login?error`ページに転送します
。 logout-success-url = “/login?logout” – ログアウトに成功した場合は、
ビュー
/logout
。 username-parameter = “username” – 含まれているリクエストの名前
ユーザー名”。 HTMLでは、これは入力テキストの名前です。
-
<csrf/> – CSRF(Cross Site Request Forgery)保護を有効にし、
このhttp://spring.io/blog/2013/08/21/spring-security-3-2-0-rc1-highlights-csrf-protection/[link]を参照してください。
XMLでは、デフォルトでCSRF保護が無効になっています。
通常、ログインやログアウト処理のような認証には関与せず、Springが処理するようにします。成功または失敗したページを表示するだけです。
spring-security.xml
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<http auto-config="true">
<intercept-url pattern="/admin** ** " access="ROLE__USER"/>
<form-login
login-page="/login"
default-target-url="/welcome"
authentication-failure-url="/login?error"
username-parameter="username"
password-parameter="password"/>
<logout logout-success-url="/login?logout"/>
<!-- enable csrf protection -->
<csrf/>
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="mkyong" password="123456" authorities="ROLE__USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
上記のお祝いでは、 `/admin`とそのサブフォルダはすべてパスワードで保護されています。
-
クロスサイトリクエスト偽造(CSRF)保護** CSRFが有効な場合は、ログインまたはログアウトしたいページに
__csrf.token`を含める必要があります。 `login.jsp`と
admin.jsp`(ログアウトフォーム)の下を参照してください。そうしないと、ログインとログアウトの両方の機能が失敗します。 -
クリアテキストのパスワード?** かなり悪い考えでは、SHAアルゴリズムでパスワードをハッシュする必要があります。このチュートリアルでは、Spring Securityのパスワードハッシュの例を示します。
4.カスタムログインフォーム
上記の(ステップ3)に合致するカスタムログインフォームがSpring Securityのお祝いになります。それは自明でなければなりません。
login.jsp
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>Login Page</title>
<style>
.error {
padding: 15px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
color: #a94442;
background-color: #f2dede;
border-color: #ebccd1;
}
.msg {
padding: 15px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
color: #31708f;
background-color: #d9edf7;
border-color: #bce8f1;
}
#login-box {
width: 300px;
padding: 20px;
margin: 100px auto;
background: #fff;
-webkit-border-radius: 2px;
-moz-border-radius: 2px;
border: 1px solid #000;
}
</style>
</head>
<body onload='document.loginForm.username.focus();'>
<h1>Spring Security Custom Login Form (XML)</h1>
<div id="login-box">
<h2>Login with Username and Password</h2>
<c:if test="${not empty error}">
<div class="error">${error}</div>
</c:if>
<c:if test="${not empty msg}">
<div class="msg">${msg}</div>
</c:if>
<form name='loginForm'
action="<c:url value='j__spring__security__check'/>" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password'/></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit"
value="submit"/></td>
</tr>
</table>
<input type="hidden" name="${__csrf.parameterName}"
value="${__csrf.token}"/>
</form>
</div>
</body>
</html>
そして、他の2つのJSPページ、btw `admin.jsp`はSpring Securityによってパスワードで保護されています。
hello.jsp
<%@page session="false"%>
<html>
<body>
<h1>Title : ${title}</h1>
<h1>Message : ${message}</h1>
</body>
</html>
admin.jsp + logout
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
<h1>Title : ${title}</h1>
<h1>Message : ${message}</h1>
<c:url value="/j__spring__security__logout" var="logoutUrl"/>
<!-- csrt for log out-->
<form action="${logoutUrl}" method="post" id="logoutForm">
<input type="hidden"
name="${__csrf.parameterName}"
value="${__csrf.token}"/>
</form>
<script>
function formSubmit() {
document.getElementById("logoutForm").submit();
}
</script>
<c:if test="${pageContext.request.userPrincipal.name != null}">
<h2>
Welcome : ${pageContext.request.userPrincipal.name} | <a
href="javascript:formSubmit()"> Logout</a>
</h2>
</c:if>
</body>
</html>
5. Spring MVCコントローラ
シンプルなコントローラ。
HelloController.java
package com.mkyong.web.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;
@Controller
public class HelloController {
@RequestMapping(value = { "/", "/welcome** ** " }, method = RequestMethod.GET)
public ModelAndView welcomePage() {
ModelAndView model = new ModelAndView();
model.addObject("title", "Spring Security Custom Login Form");
model.addObject("message", "This is welcome page!");
model.setViewName("hello");
return model;
}
@RequestMapping(value = "/admin** ** ", method = RequestMethod.GET)
public ModelAndView adminPage() {
ModelAndView model = new ModelAndView();
model.addObject("title", "Spring Security Custom Login Form");
model.addObject("message", "This is protected page!");
model.setViewName("admin");
return model;
}
//Spring Security see this :
@RequestMapping(value = "/login", method = RequestMethod.GET)
public ModelAndView login(
@RequestParam(value = "error", required = false) String error,
@RequestParam(value = "logout", required = false) String logout) {
ModelAndView model = new ModelAndView();
if (error != null) {
model.addObject("error", "Invalid username and password!");
}
if (logout != null) {
model.addObject("msg", "You've been logged out successfully.");
}
model.setViewName("login");
return model;
}
}
6.デモ
6.1。ようこそページ –
http://localhost:8080/spring-security-loginform-xml/
6.2
/admin`ページにアクセスしようとすると、Spring Securityはリクエストを傍受して
/login`にリダイレクトし、カスタムログインフォームが表示されます。
6.3。ユーザー名とパスワードが間違っていると、エラーメッセージが表示され、SpringはこのURLに `/login?error`をリダイレクトします。
6.4。ユーザー名とパスワードが正しい場合、Springは元の要求されたURLにリダイレクトし、ページを表示します。
6.5。ログアウトすると、 `/login?logout`ページにリダイレクトされます。
ソースコードをダウンロードする
ダウンロードする – リンク://wp-content/uploads/2011/08/spring-security-custom-login-form-xml-1.zip[spring-security-custom-login-form-xml.zip](15 KB )
参考文献
-
リンク://spring-security/spring-security-hello-world-example/[Spring
セキュリティHello World XMLの例]。
http://docs.spring.io/spring-security/site/docs/3.2.0.RELEASE/guides/form.html
[Creating
カスタムログインフォーム]。
http://spring.io/blog/2013/08/21/spring-security-3-2-0-rc1-highlights-csrf-protection/
[Spring
セキュリティ3.2.0.RC1ハイライト:CSRF保護]
