3

我正在尝试使用 spring security 将登录添加到我的 webapp。

这是我第一次尝试使用纯代码配置添加 spring-security 3.2(我之前已经多次使用它与 xml 配置和标准UserDetailsService实现)。

我还看到其他类似的问题围绕着迁移到 3.2,但都与 csrf 的东西有关——我目前禁用了这些问题,只是为了排除这些变化。

我的配置如下所示:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired private UserDetailsServiceImpl userDetailsServiceImpl;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .disable()
            .authorizeRequests()
                .antMatchers("/resources/**").permitAll()
                .antMatchers("/dashboard").permitAll()
                .antMatchers("/sign-up").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/")
                .loginProcessingUrl("/loginprocess")
                .failureUrl("/?loginFailure=true")
                .permitAll()
                .and()
            .logout()
                .logoutUrl("/logout")
                .permitAll();
    }

     @Override
     protected void registerAuthentication(AuthenticationManagerBuilder auth) throws Exception {
         auth
            .userDetailsService(userDetailsServiceImpl)
            .passwordEncoder(bCryptPasswordEncoder());
     }

     @Bean 
     public BCryptPasswordEncoder bCryptPasswordEncoder(){
         return new BCryptPasswordEncoder();
     }

我的登录表单如下所示:

<form class="form-signin" action="loginprocess" method="POST">
    <h3 class="form-signin-heading">Already Registered?</h3>
    <input type="text" class="form-control" name='j_username' placeholder="User name">
    <input type="password" class="form-control" name='j_password' placeholder="Password"><br/>
    <input class="btn btn-lg btn-primary" name="submit" type="submit" value='Sign in' >
    <a class="btn btn-lg btn-primary" href="#" >Sign up</a>
</form>

最后,在我的 UserDetailsS​​ervice 实现中,我尝试登录并调试和处理代码:

@Transactional(readOnly = true, propagation = Propagation.SUPPORTS)
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException {
    username = username.toLowerCase();

我看到这里传递的用户名字符串始终为空 - 因为这一切都被底层弹簧机制调用,所以我正在努力查看我提交的登录表单中的值发生了什么。

我之前看过并浏览了包含UsernamePasswordAuthenticationFilter类的spring代码,似乎obtainUsername(request)调用只是从请求中获取null。

任何人都可以建议可能出了什么问题或从哪里开始寻找的好地方?spring 在请求对象中的用户名/密码在哪里设置?

更新

我还尝试仅更改表单的操作 url 并将其发布到普通的 MVC 控制器 - 调试,已发布的数据在 parameterMap 中存在且正确 - 所以似乎安全链中的某些东西正在删除我发布的请求中的数据?

4

1 回答 1

3

该文档建议用户名/密码字段必须具有特定名称:-

http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/htmlsingle/#jc

用户名必须作为名为 username 的 HTTP 参数出现

密码必须以名为 password 的 HTTP 参数的形式出现

试试看它是否有效?

于 2013-11-08T14:52:37.533 回答