最近在研究sPRing security。之前搭建了一個簡單的spring security3項目��,成功運行后�����,想試試spring security4.想來應該不用多麻煩����,結果在準備不足的情況下,發現security4的框架搭建起來,也沒問題,但是就是登陸不上����。這個問題困擾了我3天����,于是上網查資料�,發現4和3還是有很多不一樣的地方。在這里將升級到security4的時候遇到的問題記錄下來。
1�、call refresh...之類的問題
這個是很低級的問題�。我出現這種問題有兩個原因����。一個是schema和xsd沒有升級。由于配置是拷貝原來的3的,用正在4里schema自然要換成對應的版本����。
還有一個原因是里面有中文注釋。去掉中文注釋就好。如果一定要加注釋�����,英文好的人用英文表述�����,英文不要的就用品音吧��。
2、md5鹽加密�。
密碼自然不可能明文存放���。MD5+salt現在已經是很多人在用的情況了�。但是spring security的UserDetail類不含salt這個屬性�,解決方法有幾種:
1、使用username作為鹽��。這種方式其實不推薦����,因為UserDetail自帶的屬性不多,而且相對固定的更少���。
2、編寫org.springframework.security.core.userdetails.User 的子類�����。我就是采取這種方式,多加了一個salt屬性����。這樣可以在自己的UserDetailService實現類中將salt封裝進去并返回�。在配置文件中的saltSource中寫salt這個屬性完全沒問題�。
3��、關于csrf
CSRF是用于防止跨域攻擊的�,在security3中是默認關閉的�,但是在security4中默認開啟。開啟之后在登陸時候的form中要加一個input放csrf的token<input type="text" name="${_csrf.parameterName}" id="" value="${_csrf.token}"/>這樣表單提交之后才能正常驗證���。不加的話會一直返回403,顯示access Denied��。我這個對網站安全沒研究的人就是這個原因被困了幾天�����。其他發現再更新���。
