spring security3.x学习(11)_退出

最新推荐文章于 2024-07-06 18:40:28 发布
最新推荐文章于 2024-07-06 18:40:28 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: spring security 文章标签: java spring security 安全 权限框架 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dsundsun/article/details/11826949
版权
如果我们想要在用户登陆后退出怎么办?
前边我们已经介绍过了,直接访问"/j_spring_security_logout"这个就可以被LogoutFilter类拦截,然后完成注销操作.那如果我们想做一个自定义的退出要怎么做呢?
<http auto-config="true" use-expressions="true">
  <logout invalidate-session="true" 
      logout-success-url="/" 
      logout-url="/j_spring_security_logout"/>
</http>
基于这个基本配置,系统将会寻找在logout-url属性配置的URL并实现用户的退出。使得用户退出系统将会涉及如下的三个步骤:
1.  使得HTTP session失效(如果invalidate-session属性被设置为true);
2.  清除SecurityContex(真正使得用户退出);
3.  将页面重定向至logout-success-url指明的URL。 

注意:如果我们改掉logout-url值,那么我们退出的值将会改成我们自己的logout-url值


从这个图中我们可以看出来,其实真正清理对象和资源的是LogoutHandler,我们看看她的源码会发现
public  abstract  interface  LogoutHandler
{
   public  abstract  void  logout(HttpServletRequest paramHttpServletRequest, HttpServletResponse paramHttpServletResponse, Authentication paramAuthentication);
}
其实他只有这么一个方法,如果有必要的话,我们可以实现这个接口(但是尽量不这么做),当清理完资源以后,又通过LogoutSuccessHandler这个可以重定向一个成功的url页面。就是我们刚刚提到logout标签中的logout-success-url属性值
看看书中给我们的重要信息:
"
值得注意的是,退出的处理不应该抛出异常,因为很重要的一点是要在用户的安全session中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录
"
那么,关于logout的属性还有相关的一些说明:

这是书中提到的,其实通过查看官方文档,我们会发现。其实还有一个属性 delete-cookies, 这是用来删除cookies的


lrwin_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security(四)重写默认配置
学习不止境的博客
09-26 1904
通过之前的学习,我们已经知道了第一个项目的默认配置,接下来我们就来尝试替换它们。在本节中,我们将介绍.这两个组件参与身份验证的处理,大多数应用程序都会根据其 需求对它们进行自定义,但是关于这两个组件的细节我们仍然是放到后面细讲,目前我们只需了解如何插入自定义实现。
springSecurity自定义认证逻辑,重写登陆,token过滤,退出
Rosen's
09-13 3189
可以看到,使用123456分别执行两次encode后的输入是不一致的,因为BCryptPasswordEncoder会随机生成盐,加盐后的密文就不一样了,但这不影响BCryptPasswordEncoder解密,PasswordEncoder提供了matches方法用于比较密码原文与加密后的密文是否match。在测试的时候,我发现如果是有些参数如果写错,如把userName写成了username,则服务端收到的userName为null,后续逻辑中会有异常,没有配置全局异常处理可能导致位置异常,不太友好。
SpringSecurity(02)——自定义登录和退出处理器
peng_gx的博客
01-13 1161
SpringSecurity自定义登录和退出处理器
Spring——Security安全框架退出设置
专注写bug
02-23 2503
文章目录前言创建登录成功页面修改配置文件代码下载 前言 security框架默认就有退出操作请求接口:/logout。但是直接调用时,会出现一个页面,让请求者确定是否需要退出。 如何自定义退出操作呢? 加下来本篇博客做详细介绍。 创建登录成功页面 创建一个登录成功后,跳转的页面,需要其具有一个退出操作的入口。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> &lt
spring security起步四:退出登录配置以及logout属性详解
热门推荐
小鱼儿的专栏
07-15 5万+
用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.用户退出功能实现增加hader.jsp<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="htt
SpringSecurity6.x使用教程
最新发布
wsb_2526的博客
07-06 869
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
spring-security5.x+jwt
qq_67832732的博客
04-26 372
创建过滤器@Component@Autowired@Override//获取tokenif (!//放行return;//解析tokentry {throw new RuntimeException("token非法");//从redis中获取用户信息throw new RuntimeException("用户未登录");//存入SecurityContextHolder。
Spring Security6.x的登录验证
xiamua_123的博客
09-01 523
版本为:SpringBoot3.1.2, Spring Security 6.1.2。
SpringSecurity5.7.x整合JWT
俊逸的博客
08-11 2841
这一章节主要是简介SpringSecurity如何整合JWT实现无状态的登录操作。更多有关最新版SpringSecurity5.7.x的使用,请查看文章中博客
spring security3.x学习(24)_拒绝访问异常处理(AccessDeniedException)
杜雷的技术博客
09-23 2万+
咱们看一下spring security是如何处理AccessDeniedException的。 “ 因为缺少GrantedAuthority或其它需要的权限被拒绝的时候,他们看到的是servlet容器的默认HTTP 403(访问拒绝)页面。这 个 页 面 是 o.s.s.web.access.AccessDeniedHandler 默 认 行 为 的 结 果 , 它 被ExceptionTr
spring security3.x学习(16)_JdbcUserDetailManager的使用
杜雷的技术博客
09-20 3453
我们看一看UserDetailsService为我们提供了那些实现类。 里边还提供了一个名为JdbcuserDetailsManager的JdbcDaoImpl(UserDetailsService的子类)的实现类。那他究竟是如何扩展jdbcDaoImpl的呢? 他的类中,又定义了很多的SQL语句,而且添加了很多方法,很明显,他对JdbcDaoImp
spring security3.x学习(23)_session管理和session监听
杜雷的技术博客
09-23 3265
在看一下session的管理 我们只需要在http中配置session-management就可以了。那我们仔细看一下这个标签吧 session-fixation-protection是为了防止固化攻击的. 一般来说我们会配置成migrateSession的。 这个比较保险而且好用。 在看一下spring security是如何对sessio
spring security3.x学习(18)_salt以及Bcrypt加密
杜雷的技术博客
09-20 3034
其实,对于基本的权限基础操作我们已经学的差不多了,接下来应该都是一堆复杂或深入的知识了,。呵呵。不过越学越有点意思了。这3天假期也没有浪费啊。  这次看一下登录的加密: 这里在authentication-provider中配置了一个password-encoder标签,其中有个属性叫做hash,就是要加密密码所用的加密方法。看看都
spring security3.x学习(10)_自定义的登录页面
杜雷的技术博客
09-19 2985
终于等到3天假期了,中秋快乐! 上次,我们已经把项目运行起来了,这次开始我们就好好研究一下这个项目。 还记得上个项目中,我们使用的登陆页面都是系统提供的页面,那么这次我们就要改动一下,变成我们自己的自定义页面。 说到这里我们又要谈起以前那个auto-config="true"这个标签了。 里边自动配置了一个标签 那么我们看一下标签是如何进行配置的吧。看下面这段代码:  
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值