Java之品优购课程讲义-原创手记-慕课网

（2）创建 web.xml

<?xml  version="1.0"  encoding="UTF-8"?><web-app  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee"xsi:schemaLocation="http://java.sun.com/xml/ns/javaee [url]http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd[/url]"version="2.5"><context-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-security.xml</param-value></context-param><listener><listener-class> org.springframework.web.context.ContextLoaderListener</listener-class></listener><filter><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern></filter-mapping></web-app>

（3）创建 index.html 内容略
（4）创建 spring 配置文件 spring-security.xml

<?xml  version="1.0"  encoding="UTF-8"?><beans:beans  xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beans [url]http://www.springframework.org/schema/beans/spring-beans.xsd[/url][url]http://www.springframework.org/schema/security[/url] [url]http://www.springframework.org/schema/security/spring-security.xsd[/url]"><!-- 页面拦截规则 --><http  use-expressions="false"><intercept-url  pattern="/**"  access="ROLE_USER"  />

<form-login/></http><!-- 认证管理器 --><authentication-manager><authentication-provider><user-service><user  name="admin"  password="123456"  authorities="ROLE_USER"/></user-service></authentication-provider></authentication-manager>

</beans:beans>
此案例我们没有登录页，而是使用了系统自动生成的登陆页，效果如下：

配置说明：
intercept-url 表示拦截页面
/* 表示的是该目录下的资源，只包括本级目录不包括下级目录
/** 表示的是该目录以及该目录下所有级别子目录的资源
form-login 为开启表单登陆
use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），默认为 true ,如果开启，则
拦截的配置应该写成以下形式

<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
1.1.1 用户自定义登录页
实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。
（1）构建登陆页：

<!DOCTYPE  html><html><head><meta  http-equiv="Content-Type"  content="text/html;  charset=UTF-8"><title>登陆</title></head><body><form  action='/login'  method='POST'><table><tr><td>用户名:</td><td><input  type='text'  name='username'  value=''></td></tr><tr><td>密码:</td><td><input  type='password'  name='password'  /></td></tr><tr><td  colspan='2'><input  name="submit"  type="submit"value="登陆"  /></td></tr></table></form></body></html>

（2）构建登陆失败页 login_error.html（内容略）
（3）修改 spring 配置文件 spring-security.xml

security="none" 设置此资源不被拦截.如果你没有设置登录页 security="none" ，将会出现以下错误 ![](http://i2.51cto.com/images/blog/201808/08/ccee48335a9975fb890ea56cf9d13955.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)因为登录页会被反复重定向。login-page：指定登录页面。authentication-failure-url：指定了身份验证失败时跳转到的页面。default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。csrf disabled="true" 关闭 csrf ,如果不加会出现错误![](http://i2.51cto.com/images/blog/201808/08/4076d56a412aa93b3b20d9cf5b1f0093.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者 SessionRiding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。