Spring Security 自动登出机制详解

于 2024-09-05 22:15:52 发布
阅读量382 收藏 9
点赞数 3
文章标签: spring java 后端 编程开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62153576/article/details/141942092
版权

在现代Web应用中,安全性是一个不可忽视的重要方面。Spring Security作为Java平台的安全框架,提供了一套全面的安全服务,包括认证、授权、防止CSRF攻击等。本文将通过一个实例,详细讲解如何在Spring Security中实现自动登出功能。

配置自动登出

首先,我们需要配置Spring Security的自动登出机制。在默认的Spring Security配置中,访问’/logout’ URL 并通过POST请求即可实现登出。为了增强安全性,登出表单中还需要包含CSRF令牌,以防止跨站请求伪造攻击。

Java配置类
@Configuration
public class AppConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin();
    }

    @Override
    public void configure(AuthenticationManagerBuilder builder) throws Exception {
        builder
            .inMemoryAuthentication()
            .withUser("joe")
            .password("{noop}123") // 注意:实际开发中应使用加密密码
            .roles("ADMIN");
    }

    public ViewResolver viewResolver() {
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/views/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }
}

在上述配置中,我们重写了configure(HttpSecurity http)方法,省略了默认的基本认证机制,转而使用基于表单的认证。这是因为浏览器会积极缓存基本认证信息(在第一次成功登录后),而没有在当前会话中注销用户的方法。

控制器
@Controller
public class ExampleController {
    @RequestMapping("/")
    public String handleRequest2(ModelMap map) {
        map.addAttribute("time", LocalDateTime.now().toString());
        return "my-page";
    }
}
JSP页面
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<html lang="en">
<body>
    <h2>Spring Security Example</h2>
    <p>Time: ${time}</p>
    <form action="/logout" method="post">
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
        <input type="submit" value="Logout"/>
    </form>
</body>
</html>

运行示例

要尝试这些示例,可以在项目的pom.xml中配置嵌入式Tomcat并运行:

<plugin>
    <groupId>org.apache.tomcat.maven</groupId>
    <artifactId>tomcat7-maven-plugin</artifactId>
    <version>2.2</version>
    <configuration>
        <path>/</path>
    </configuration>
</plugin>

然后运行以下命令:

mvn tomcat7:run-war

输出结果

  1. 初次访问URI ‘/’ 会重定向到 ‘/login’。
  2. 提交用户名和密码(如我们在AppConfig类中设置的)。
  3. 点击“登出”按钮。

示例项目

依赖和技术
  • spring-security-web 4.2.3.RELEASE
  • spring-security-config 4.2.3.RELEASE
  • spring-webmvc 4.3.9.RELEASE
  • javax.servlet-api 3.1.0
  • JDK 1.8
  • Maven 3.3.9

通过这个示例,我们可以看到Spring Security如何轻松实现自动登出功能,同时保护应用免受CSRF攻击。在实际开发中,我们应始终关注安全性,确保用户数据的安全。

t0_54coder
关注
SpringSecurity自动登录详解
congge
12-05 2万+
前言 使用SpringSecurity管理用户的登录退出功能时,其底层就会按照SpringSecurity机制进行会话的管理,有这么一种场景,登录的用户信息需要保留10天,这样的需求该怎么实现呢? 1、SpringSecurity登出功能 沿用之前的案例演示工程,只需要在config方法中做如下配置即可 @Override protected void configure(HttpSecurity http) throws Exception { //登出配置
Spring Security详解
qq_42337039的博客
11-10 1020
认识Spring Security 基于SpringAOP和Servlet过滤器,除了常规的认证和授权外,还提供了ACLs,LDAP,JAAS,CAS等高级特性以满足复杂环境下的安全需求 Spring Security的三个核心概念 Principle:代表用户的对象Princple(User) 不仅指人类,还包括一切可以用于验证的设备 Authority:代表用户的角色Authority(Role),每个用户都应该有一种角色,如管理员或会员 Permission:代表授权,复杂的应用环境需要对角色的权限
Spring Security 强制退出指定用户的方法
08-27
本篇文章主要介绍了Spring Security 强制退出指定用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security logout(spring security登出示例)
u012156496的博客
12-01 1万+
**spring security logout(spring security登出示例)** 在学习实现spring security登出的时候发现了一篇外文,感觉写的挺好,这里斗胆尝试翻译出来,原文链接:http://websystique.com/spring-security/spring-security-4-logout-example/翻译如下: 这篇文章的是展示如何通过编码的方式
spring security登出问题
wzq1915414095的博客
11-24 386
配置代码如下 http.formLogin() .loginPage("/admin/login") .defaultSuccessUrl("/admin",true) .permitAll() // 开启表单登录并配置登录接口 .and().logout() .logoutUrl("/admin/account/logout")//配置拦截登出
SpringSecurity登出实现
qq_58137891的博客
05-09 494
1.未登录状态,发出的请求会被拦截。2.已登录状态下,每次发送请求都会在请求头中携带token,然后将用户信息存入SecurityContextHolder中,这是仅只需要将userId从中取出,并通过userId输出存在redis中的User信息便完成。再次用相同的token访问请求时会显示用户未登录。
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2882
SpringSecurity实现登录登出
20个SpringSecurity框架核心组件详解
最新发布
威哥爱编程,CSDN 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1141
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息和权限信息。
SpringSecurity_day03.pdf
05-09
### Spring SecuritySpring Boot集成详解 #### 一、Spring Security简介 Spring Security 是一个功能强大的安全框架,它为基于 Java 的应用程序提供了身份验证(authentication)、授权(authorization)、CSRF ...
Spring Security 3 中文详解
Spring Security 提供了多种认证机制,如基于表单的登录、基于 token 的认证等。开发者可以通过自定义认证提供者来实现特定的认证逻辑。 2. **授权(Authorization)**:授权是指确定已认证的用户是否有权执行某个...
Spring Security 3多用户登录实现之十一 退出
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1729288
spring-security--基础--4.1--案例:简单登陆登出
zhou920786312的博客
10-26 731
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 四、简单登陆登出案例 通过SpringSecurity实现以下功能: 用户访问资源页面,未登陆跳转登陆页面。 登陆失败给出提示,并还在登陆页面。 登陆成功跳转资源页面。 结构 4.1、 依赖 <!--security begin--> <dependency> <groupId>org.springframework.boot</g
Spring Security 单点登出
weixin_42555971的博客
11-09 1426
单点登出
SpringSecurity退出登陆
Leon_Jinhai_Sun的博客
06-06 932
SpringSecurity退出登陆
Spring Security(十):登出Logout
热门推荐
人不风流枉少年
05-26 1万+
退出处理逻辑 使当前session失效 清楚与当前用户相关的remember-me记录 清空当前的SecurityContext 重定向到登录页 http.csrf().disable() .antMatchers("/login", "/session/invalid", "/logout", "/signOut").permitAll() .logout() .logoutUrl(...
Spring Security 退出登录
zongzhibin117的博客
09-15 916
配置: httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler); @Configuration public class LogoutSuccessHandlerImpl implements LogoutSuccessHandler { @Autowired private TokenService tokenService; /** ..
spring-Security(四):退出
liyu121的博客
05-12 1336
退出原理清除Cookie清除当前用户的remember-me记录使当前session失效清空当前的SecurityContext重定向到登录界面退出的实现1.主页中添加退出链接&lt;a href="/signOut"&gt;退出&lt;/a&gt;2.配置WebSecurityConfig http .and() .logout()...
Spring Security-/logout 退出404
BugMaker
06-14 1000
Spring Security 默认退出链接“/logout”请求 后,回复 404
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

t0_54coder

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值