如何使用自定义 JAAS 堆栈配置 Spring Security？

Question

我已关注this tutorial，以便为我的 spring mvcbasedweb 应用程序添加基本的 spring 安全性。

在添加 spring 安全层之前，我的应用程序使用在我的 web.xml 中配置的自定义 SSO 登录模块进行了保护：

 <login-config>
        <auth-method>MyLoginModule</auth-method>
    </login-config>

此登录模块负责重定向到登录表单、执行登录等，并且按预期工作。 添加基本​​的 spring 安全层后，应用程序将重定向到我的自定义登录页面，当我进行身份验证时，使用 spring 的标准“使用用户名和密码登录”表单通过另一个身份验证。

我的问题是如何将 spring 配置为仅使用我上面的 login-config 来执行身份验证并删除它自己多余的“内置”表单？

Answer 1

我在 Spring Security 参考中找到了我正在寻找的内容。具体来说，关于Java Authentication and Authorization Service (JAAS) Provider的章节。

Answer 2

抱歉，我之前没有理解您的情况。检查this 以执行您的身份验证。您应该将用户注册到 SecurityContextHolder。

也请访问oficial spring 3.1 security reference。

下面的例子是典型的表单web认证（一定要用spring j_username/password来识别）：

<form id="loginForm" name="loginForm"
action="<c:url value='my_security_check'/>" method="POST">
    ... 
<label for="user">The username</label><input type="text" name="j_username"/>
<label for="password">The password</label><input type='password'
      name='j_password'/>
    ...
<input name="submitButton" type="submit" value="submit"/>
    ...

你必须在你的 spring 安全文件中定义这个安全检查：

    <security:form-login login-page="/login"
        default-target-url="/welcome" 
        login-processing-url="/my_security_check" />
    <security:logout logout-url="/my_security_logout"
        logout-success-url="/login" />
 </security:http>

在我使用 Tiles 的情况下，我还必须将其添加到我的 mvc 配置文件中：

<mvc:view-controller path="/login" view-name="login" />

示例和源代码：mkyong.com/spring-security/spring-security-form-login-example/