【重要提示,该种做法纯属技术理解和技术探索,禁止用于生产环境!因为违背了oauth2.0自动认证的宗旨!会导致无法自动登录问题】
【禁止用于生产环境】
【禁止用于生产环境】
【禁止用于生产环境】
【禁止用于生产环境】
【禁止用于生产环境】
子系统前后端分离时,退出并不能正确的清除SSO的login的用户信息,因为它是存在服务器上的,前端无法清除,用后端清除但因为是前后端分离,注销并不能正确携带request给服务器来清空用户登录信息,所以会出现,注销登录再次访问authorize授权接口会默认使用cookie导致登录成功跳过登录页面
解决方案:做AOP切入authorize接口,在使用authorize获取code之前,做一次清除用户信息的操作,使得每次获取code都是未登录状态,避免跳过登录页面
### 代码直接粘就完了!!!
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.validation.BindingResult;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.Enumeration;
import java.util.List;
/**
* 清除authorize用户信息
* <p>
*/
@Component
@Aspect
@Order(4)
public class ManagerProjectAOP {
/**
* 切入点,切入oauth2.0中的授权码授权的方法
*/
@Pointcut("execution(* org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint.authorize(..)) ")
public void check() {
}
/**
* 前置通知,
* 主要作用是,子系统前后端分离时,退出并不能正确的清除SSO的login的用户信息,因为它是存在服务器上的,前端无法清除,用后端清除但因为是前后端分离,
* 注销并不能正确携带request给服务器来清空用户登录信息,所以会出现,注销登录再次访问authorize授权接口会默认使用cookie导致登录成功跳过登录页面
* 功能:切入authorize接口,在使用authorize获取code之前,做一次清除用户信息的操作,使得每次获取code都是未登录状态
* @param
* @return Object
* @throws Throwable
*/
@Before(("check()"))
public void beforeMethod(JoinPoint joinPoint) {
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
//清除用户信息
request.getSession().invalidate();
}
}