使用Spring Security进行登录验证

在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法中，我们描述了如何配置一个基于SpringMVC、SpringSecurity框架的网站系统。在这篇博客中，我们将继续描述如何使用Spring Security进行登录验证。

总结一下Spring Security的登录验证关键步骤： 1、在数据库中建好三张表，即users、authorities和persistent_logins三个。注意字段的定义，不能少，可以多，名字必须按规定来。 2、在Spring Security的配置文件中，配置好登录跳转的页面，登录处理的页面和加密情况。 3、在前台的jsp页面中，登录的字段必须和后台users表中的一致，一般都是username和password。 4、注册页面必须自己写，注册的处理也要自己写。

一、创建数据表

使用Spring Security进行登录验证，需要我们在数据库中建好相应的表，并且字段要和Spring Security内置的字段一致。主要有3张表需要建立。一是users表，包含用户名和密码以及用户状态的表；第二个是authorities表，表明该用户角色的，方便做角色控制，比如是ROLE_USER还是ROLE_ADMIN（比如admin页面可能需要用户的ROLE_ADMIN权限，而ROLE_USER权限无法登录这个管理页面）；最后一个是persistent_logins表，是登录状态的记录表，主要用来提供支持“记住我”功能的。三张表的创建语句如下：

#create users table
CREATE TABLE `users` (
  `username` varchar(100) NOT NULL,
  `password` () ,
  `enabled` tinyint()   ,
   KEY `account` (`username`)
) ENGINEInnoDB  CHARSETutf8;

# authorities 
 `authorities` (
  `username` () ,
  `authority` ()  ,
   (`username`)
) ENGINEInnoDB  CHARSETutf8;

# persistent_logins 
 `persistent_logins` (
  `username` () ,
  `series` () ,
  `token` () ,
  `last_used`       ,
   (`series`)
) ENGINEInnoDB  CHARSETutf8;

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:beans="http://www.springframework.org/schema/beans" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-4.0.xsd">  <http pattern="/resources/**" security="none" /> <http pattern="/sitemap.xml" security="none" /> <http pattern="/favicon.ico" security="none" />  <http auto-config="true" use-expressions="true"> <intercept-url pattern="/" access="permitAll" /> <intercept-url pattern="/index*" access="permitAll" /> <intercept-url pattern="/signin*" access="permitAll" /> <intercept-url pattern="/login*" access="permitAll" /> <intercept-url pattern="/register*" access="permitAll" /> <intercept-url pattern="/invalidsession*" access="permitAll" /> <intercept-url pattern="/404*" access="none" /> <form-login login-page="/signin" authentication-failure-url="/signin?login_error" default-target-url="/query"/> <logout logout-success-url="/query" delete-cookies="JSESSIONID" /> <intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')" /> <intercept-url pattern="/**" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" /> <csrf disabled="true" /> <access-denied-handler error-page="/403" /> <remember-me data-source-ref="dataSource" token-validity-seconds="1209600" remember-me-parameter="remember-me" /> <session-management invalid-session-url="/"> <concurrency-control max-sessions="1"/> </session-management> </http> <authentication-manager erase-credentials="false"> <authentication-provider> <password-encoder ref="bcryptEncoder" /> <jdbc-user-service data-source-ref="dataSource" /> </authentication-provider> </authentication-manager> <beans:bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource"> <beans:property name="basenames"> <beans:list> <beans:value>classpath:myMessages</beans:value> </beans:list> </beans:property> </beans:bean> <beans:bean name="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" /> </beans:beans>

<div class="container">  <ul class="nav nav-tabs" id="loginTab" role="tablist"> <li class="nav-item"> <a class="nav-link active" id="home-tab" data-toggle="tab" href="#login" role="tab" aria-controls="home" aria-expanded="true">登录</a> </li> <li class="nav-item"> <a class="nav-link" id="home-tab" data-toggle="tab" href="#register" role="tab" aria-controls="home" aria-expanded="true">注册</a> </li> </ul> <div class="tab-content" id="myTabContent">  <div id="login" class="tab-pane fade show active" role="tabpanel" aria-labelledby="login-tab"> <form class="form-signin" action="login" method="post"> <label for="username" class="sr-only">Email address</label> <input type="email" name="username" id="username" class="form-control" placeholder="邮件地址"> <label for="password" class="sr-only">Password</label> <input type="password" name="password" id="password" class="form-control" placeholder="密码"> <button class="btn btn-lg btn-primary btn-block" type="submit">点击登录</button> </form> </div>  <div id="register" class="tab-pane fade" role="tabpanel" aria-labelledby="register-tab"> <div id="register_attention_alert_reg"></div> <form class="form-signin" onsubmit="return register()" method="post"> <label for="registerEmail" class="sr-only">Email address</label> <input type="email" id="registerEmail" name="registerEmail" class="form-control" placeholder="邮件地址"> <label for="registerPassword" class="sr-only">Password</label> <input type="password" name="password" id="registerPassword" class="form-control" placeholder="密码"> <label for="inputPassword2" class="sr-only">Password</label> <input type="password" id="inputPasswordForRegister2" class="form-control" placeholder="请再次输入密码"> <button class="btn btn-lg btn-primary btn-block" onclick="submit">点击注册</button> </form> </div> </div> </div>

使用Spring Security进行登录验证

一、创建数据表

DataLearner 官方微信

二、配置Spring Security的权限控制

三、创建登录/注册的页面

四、创建注册后台，定义登录处理