Java之品优购课程讲义_day04（2）-白红宇

Java之品优购课程讲义_day04（2）

阅读量：6832 次

发布时间：2019-06-26

本文共 1859 字，大约阅读时间需要 6 分钟。

（2）创建 web.xml


    
    
     
      
       contextConfigLocation
      
      
       classpath:spring-security.xml
      
     
     
      
        org.springframework.web.context.ContextLoaderListener
      
     
     
      
       springSecurityFilterChain
      
      
       org.springframework.web.filter.DelegatingFilterProxy
      
     
     
      
       springSecurityFilterChain
      
      
       /*

（3）创建 index.html 内容略

（4）创建 spring 配置文件 spring-security.xml

</beans:beans>

此案例我们没有登录页，而是使用了系统自动生成的登陆页，效果如下：

配置说明：

intercept-url 表示拦截页面

/* 表示的是该目录下的资源，只包括本级目录不包括下级目录

/** 表示的是该目录以及该目录下所有级别子目录的资源

form-login 为开启表单登陆

use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），默认为 true ,如果开启，则

拦截的配置应该写成以下形式

<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />

1.1.1 用户自定义登录页

实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。

（1）构建登陆页：

（2）构建登陆失败页 login_error.html（内容略）

（3）修改 spring 配置文件 spring-security.xml

<intercept-url pattern="/*" access="ROLE_USER" />

<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>

</http>

security="none" 设置此资源不被拦截.

如果你没有设置登录页 security="none" ，将会出现以下错误

因为登录页会被反复重定向。

authentication-failure-url：指定了身份验证失败时跳转到的页面。

default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。

csrf disabled="true" 关闭 csrf ,如果不加会出现错误

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者 Session

Riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。

转载于:https://blog.51cto.com/13517854/2156392

你可能感兴趣的文章

使用博客园时，如何在自己的博客上显示头像？

关于createTextRange和createRange的一些用法【转】

查看>>

关于jquery的serialize方法转换空格为+号的解决方法

查看>>

微信发一个网址打开后自动调用手机自带默认浏览器或提示选择浏览器打开如何实现？...