カスタムフォームを使用したスプリングセキュリティ - 認証が機能しません

Question

Spring-Security 4.0.2.RELEASEを使用して認証と自動承認のカスタムログインを実装しようとしています。私はXML設定を使用しています。

これは私のweb.xmlです：

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> 

    <display-name>Authorization with Spring security</display-name> 

    <servlet> 
     <servlet-name>dispatcher</servlet-name> 
     <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> 
     <load-on-startup>1</load-on-startup> 
    </servlet> 

    <servlet-mapping> 
     <servlet-name>dispatcher</servlet-name> 
     <url-pattern>/</url-pattern> 
    </servlet-mapping> 

    <!-- Spring Security --> 
    <context-param> 
     <param-name>contextConfigLocation</param-name> 
     <param-value> 
      /WEB-INF/spring-security.xml 
     </param-value> 
    </context-param> 

    <filter> 
     <filter-name>springSecurityFilterChain</filter-name> 
     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
    </filter> 

    <filter-mapping> 
     <filter-name>springSecurityFilterChain</filter-name> 
     <url-pattern>/*</url-pattern> 
    </filter-mapping> 

    <listener> 
     <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> 
    </listener> 

    <listener> 
     <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class> 
    </listener> 

</web-app> 

これは私のspring-security.xmlです：

<?xml version="1.0" encoding="UTF-8"?> 
<beans:beans xmlns="http://www.springframework.org/schema/security" 
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
     http://www.springframework.org/schema/security 
     http://www.springframework.org/schema/security/spring-security.xsd"> 

    <http auto-config="true"> 
     <intercept-url pattern="/admin*" access="hasRole('ROLE_ADMIN')"/> 
     <intercept-url pattern="/member*" access="hasAnyRole('ROLE_MEMBER','ROLE_ADMIN')" /> 

     <form-login 
     login-page="/login" 
     authentication-failure-url="/login?error"/> 

     <logout invalidate-session="true"/> 
     <csrf/> 
    </http> 

    <authentication-manager> 
     <authentication-provider> 
      <user-service> 
       <user name="admin" password="admin" authorities="ROLE_ADMIN" /> 
       <user name="member" password="member" authorities="ROLE_MEMBER" /> 
      </user-service> 
     </authentication-provider> 
    </authentication-manager> 
</beans:beans> 

とブートストラップ使用して構築された、これは私のlogin.jspです：私はlogin-page="/login"を削除した場合

<%@ page language="java" contentType="text/html; charset=ISO-8859-1" 
    pageEncoding="ISO-8859-1"%> 
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> 
<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"> 
<title>LOGIN - PAOLO</title> 

<!-- Latest compiled and minified CSS --> 
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous"> 

<!-- Optional theme --> 
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap-theme.min.css" integrity="sha384-rHyoN1iRsVXV4nD0JutlnGaslCJuC7uwjduW9SVrLvRYooPp2bWYgmgJQIXwl/Sp" crossorigin="anonymous"> 

<!-- Latest compiled and minified JavaScript --> 
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js" integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" crossorigin="anonymous"></script> 

</head> 
<body> 

    <form> 
     <div class="form-group"> 
      <label for="username">Username</label> <input type="text" name='j_username' 
       class="form-control" id="username" placeholder="Username"> 
     </div> 
     <div class="form-group"> 
      <label for="exampleInputPassword1">Password</label> <input 
       type="password" name='j_password' class="form-control" id="exampleInputPassword1" 
       placeholder="Password"> 
     </div> 
     <button type="submit" class="btn btn-default">Submit</button> 
    </form> 
</body> 
</html> 

をspring-security.xmlから、それはdefaを使用しています春のセキュリティで提供される最終ログインフォームでは、認証が正しく機能します。admin/adminとmember/memberだけがアクセスできます。送信ボタンを押したときにカスタムフォームを使用すると、/login?j_username=<inserted_username>&j_password=<inserted_password>へのGETリクエストが開始されます。 私の認証がカスタムフォームで動作しない理由を理解できません。

Answer 1

最初にフォームのタグに「login」という名前のaction属性を「/ login」というセキュリティxmlの設定に従って追加し、POST属性のメソッド属性をフォームに追加するようにします。このように：

<form method="POST" action="/login" > 

また、念のために、私たちは正しいURLを移入だろうことを確認するために、action属性内部のスプリングのURLのタグを使用することをお勧めします。

第2に、セキュリティ設定でユーザー名とパスワードの読み取り場所が不足しています。

<form-login login-page="/login" login-processing-url="/login" 
    username-parameter="userNameLogin" password-parameter="passwordLogin"/> 

username-parameter属性とpassword-parameter属性をフォームログインに追加する必要があります。

この場合、値はj_usernameとj_passwordになります。