无法在 Spring Boot Security 中登录到我的自定义登录页面

Posted 2023-02-27

【中文标题】无法在 Spring Boot Security 中登录到我的自定义登录页面

【英文标题】：Can't login to my custom login page in spring boot security

【发布时间】：2015-04-25 09:29:19

【问题描述】：

我的问题是：当我尝试在我的自定义登录页面上登录时，它会再次将我重定向到登录页面（我输入正确或错误的凭据都没有关系）。我在调试中没有达到我的自定义 UserDetailService 也很奇怪，我认为这意味着 spring 甚至不检查用户的凭据。

我有自定义登录表单/WEB-INF/jsp/login.jsp:

...    
<form name='loginForm' action="<c:url value='j_spring_security_check' />" method='POST'>

        <table>
            <tr>
                <td>User:</td>
                <td><input type='text' name='j_username' value=''></td>
            </tr>
            <tr>
                <td>Password:</td>
                <td><input type='password' name='j_password' /></td>
            </tr>
            <tr>
                <td colspan='2'><input name="submit" type="submit"
                                       value="submit" /></td>
            </tr>
        </table>

        <input type="hidden" name="$_csrf.parameterName"
               value="$_csrf.token" />

    </form>
...

这是配置：

@Configuration
@EnableWebMvcSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter 

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        http
                .authorizeRequests().antMatchers("/", "/welcome", "/resources/**").permitAll()
                .anyRequest().authenticated().and()
                .formLogin().loginPage("/login").failureUrl("/login?error").permitAll().and()
                .logout().logoutUrl("/login?logout").permitAll();
    

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception 
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    

    @Bean
    public PasswordEncoder passwordEncoder() 
        return new BCryptPasswordEncoder();
    

这是在控制器内部：

@RequestMapping(value = "/login", method = RequestMethod.GET)
public ModelAndView login(
        @RequestParam(value = "error", required = false) String error,
        @RequestParam(value = "logout", required = false) String logout) 

    ModelAndView model = new ModelAndView();
    if (error != null) 
        model.addObject("error", "Invalid username and password!");
    

    if (logout != null) 
        model.addObject("msg", "You've been logged out successfully.");
    
    model.setViewName("login");

    return model;

在src/main/resources/application.properties 我有：

spring.view.prefix: /WEB-INF/jsp/
spring.view.suffix: .jsp

【参考方案1】：

我通过在 HttpSecurity 配置中禁用 CSRF 解决了类似的问题：

.csrf().disable() 

如果您想启用 CSRF，则必须在所有表单中包含令牌

<input type="hidden" name="$_csrf.parameterName" value="$_csrf.token"/>

详解：http://www.baeldung.com/spring-security-csrf

【参考方案2】：

那些j_spring_security_check、j_username、j_password 名称都是旧的默认值（Spring Security 3.2 之前）。

现在的默认值为：login、username 和 password。