Spring Security学习笔记之LogoutFilter

最新推荐文章于 2022-12-05 16:36:16 发布
最新推荐文章于 2022-12-05 16:36:16 发布
阅读量9k 收藏
点赞数
文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_xin/article/details/52634880
版权

处理logout方法比较简单, 只需要在<http>标签里配置<logout>标签即可:

<sec:http entry-point-ref="myAuthenticationEntryPoint">
	...
	<sec:logout logout-url="/logout" logout-success-url="/login"/>
	...
</sec:http>
这里配置了当logout成功后跳转到login页面.


也可以指定自定义的LogoutSuccessHandler, 在logout成功后做一些其他操作, 如记录日志, 更新数据库等等.

<sec:http entry-point-ref="myAuthenticationEntryPoint">
	...
	<sec:logout logout-url="/logout" success-handler-ref="myLogoutHandler"/>
	...
</sec:http>

<bean id="myLogoutHandler" class="com.demo.security.MyLogoutHandler"></bean>
这里注意两点:

1) <logout>标签里的logout-success-url和success-handler-ref只能指定其中一个, 不能两个都指定.

2) 自定义的LogoutHandler一定要实现LogoutSuccessHandler接口. logout成功后的具体操作写在onLogoutSuccess()方法里.


那么Spring Security是怎么处理logout操作的呢?

Spring Security把logout操作交给了LogoutFilter处理.

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;

	if (requiresLogout(request, response)) {
		Authentication auth = SecurityContextHolder.getContext().getAuthentication();

		if (logger.isDebugEnabled()) {
			logger.debug("Logging out user '" + auth + "' and transferring to logout destination");
		}

		// 此处的handler是一个SecurityContextLogoutHandler的实例
		for (LogoutHandler handler : handlers) {
			handler.logout(request, response, auth);
		}

		// logoutSuccessHandler就是在<logout>标签里指定的自定义handler
		logoutSuccessHandler.onLogoutSuccess(request, response, auth);

		return;
	}

	chain.doFilter(request, response);
}

可以看到LogoutFilter首先把请求交给SecurityContextLogoutHandler来处理, 而SecurityContextLogoutHandler只做了两件事, 1) 把当前session无效化, 2) 从SecurityContext里注销当前授权用户. 

public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
	Assert.notNull(request, "HttpServletRequest required");
	if (invalidateHttpSession) {
		HttpSession session = request.getSession(false);
		if (session != null) {
			logger.debug("Invalidating session: " + session.getId());
			session.invalidate();
		}
	}

	if(clearAuthentication) {
		SecurityContext context = SecurityContextHolder.getContext();
		context.setAuthentication(null);
	}

	SecurityContextHolder.clearContext();
}

然后再交给我们自定义的logoutSuccessHandler来处理.


py_xin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 由一堆 Filter 实现,包括 LogoutFilter、UsernamePasswordAuthenticationFilter 等。这些 Filter 负责拦截请求,并将其交由其他组件完成细分的功能。其中,UsernamePasswordAuthenticationFilter ...
Spring-shiro-Boot-7 shiro中的自定义过滤器-LogoutFilter
良之才的专栏
03-17 1526
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFilter。 shiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
SpringSecurity默认过滤器链解析之LogoutFilter(十)
欢谷悠扬
07-09 838
1.LogoutFilter 退出登录处理器 这个其实就是个专门处理退出登录请求的处理器, 默认的退出登录请求是/logout 。当然你也能自定义的。在继承WebSecurityConfigurerAdapter后重写configure(HttpSecurity http)方法,在这个方法里可以配置。 至于如何配置,网上很多,我这里就不讲了~ 源码解析: public void doFilter(ServletRequest req, ServletResponse res, FilterChain c
[5] LogoutFilter
热门推荐
既无风雨也无晴
03-11 2万+
LogoutFilter 介绍 LogoutFilter是一个登出过滤器,当请求经过LogoutFilter时,过滤器会请判断当前请求的URL是否是登出URL,如果匹配,就执行遍历执行登出handlers。默认情况下,会清空SecurityContextHolder的身份认证信息,以及发送一个登出成功的事件。 代码分析 我们首先看一下LogoutFilter的构造器,代码如下: public ...
Spring Boot整合Shiro + JSP教程(用户认证,权限管理,图片验证码)
Coding for freedom
11-02 1011
在此首先感谢**编程不良人**up主提供的视频教程 代码都是跟着up的视频敲的,遇到的一些问题也是通过CSDN博主提供的教程解决的,在此也感谢那些提供bug解决方案的前辈们~ 项目完整代码已经发布到github上面,有需要的朋友可以自取 1.权限管理 1.1 什么是权限管理 ​ 涉及到用户参与的系统都要涉及权限管理,权限管理属于系统安全范畴。权限管理实现的是对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 ​ 权限管理包括 用户身份认证 和 授权 两部分.
spring security logout(spring security登出示例)
u012156496的博客
12-01 1万+
**spring security logout(spring security登出示例)** 在学习实现spring security登出的时候发现了一篇外文,感觉写的挺好,这里斗胆尝试翻译出来,原文链接:http://websystique.com/spring-security/spring-security-4-logout-example/翻译如下: 这篇文章的是展示如何通过编码的方式
详解spring security安全防护
08-27
详解Spring Security安全防护 Spring Security是一个广泛使用的Java安全框架,提供了 Comprehensive和灵活的安全解决方案。下面将详细介绍Spring Security中的安全防护机制,主要包括XSS攻击防护、CSRF攻击防护、...
SpringSecurity安全框架基础Demo
01-02
综上所述,"SpringSecurity安全框架基础Demo"涵盖了Spring Security的基础概念和关键功能,是学习和实践Spring Security的宝贵资源。通过这个Demo,开发者可以了解如何在实际项目中应用Spring Security,以确保应用...
Spring Security如何在Servlet中执行
08-19
`FilterChainProxy`是Spring Security的核心组件之一,它扮演着Filter Chain的调度者角色。它会根据配置匹配请求,并调用合适的`SecurityFilterChain`来处理请求。在调试时,`FilterChainProxy`是很好的断点位置,...
Spring Security实战例子
09-08
Spring Security通过一系列过滤器实现其功能,如 `FilterSecurityInterceptor` 进行访问决策,`AuthenticationFilter` 处理认证请求,`LogoutFilter` 实现注销操作等。这些过滤器按照特定顺序组成过滤器链,对每个...
Spring Security(十):登出Logout
人不风流枉少年
05-26 1万+
退出处理逻辑 使当前session失效 清楚与当前用户相关的remember-me记录 清空当前的SecurityContext 重定向到登录页 http.csrf().disable() .antMatchers("/login", "/session/invalid", "/logout", "/signOut").permitAll() .logout() .logoutUrl(...
Spring Security Logout
最新发布
白石的专栏
12-05 1523
本文建立在我们的[表单登录教程](https://www.baeldung.com/spring-security-login)之上,将重点关注如何**使用 Spring Security 配置注销**。
SpringSecurity过滤器LogoutFilter
clyu的博客
01-03 754
public class LogoutFilter extends GenericFilterBean { private RequestMatcher logoutRequestMatcher;//退出接口匹配器 private final LogoutHandler handler;//退出资源清除器 private final LogoutSuccessHandler logoutSuccessHandler;//退出成功后,要做的操作 public LogoutFilter(Logo
acegi security实践教程—简单定制logoutFilter
03-12 3256
回顾:     logoutFilter过滤器,我已经带大家了解过了。其中注销是由handler.logout完成的。这就需要在配置文件中配置具体的handler,比如securitycontextlogouthandler,或者tokenbasedremembermeservices,大家可以看到logouthandler具体的实现类如下:        若我程序中就想只用Securit
9、spring security拦截器之LogoutFilter
u012153127的博客
06-24 448
LogoutFilter:注销过滤器,默认的url是logout public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (Ht
spring中 shiro logout 配置方式
m0_67401920的博客
04-27 1646
有两种方式实现logout 1. 普通的action中 实现自己的logout方法,取到Subject,然后logout 这种需要在ShiroFilterFactoryBean 中配置 filterChainDefinitions 对应的action的url为anon # some example chain definitions: /index.htm = anon /logout = anon /unauthed = anon /console/** = anon /css/** = anon /
隔壁程序妹子推荐的纯 Spring Security 架构干货分享,我先收藏了!
程序员小乐
09-25 1014
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Three things in life when gone n...
SpringsecurityLogoutFilter
weixin_34220834的博客
11-12 1435
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring-Security笔记10 登出操作
杨毅的专栏
03-01 756
spring-security.xml中配置:&lt;!-- 登出操作 --&gt; &lt;!-- invalidate-session是否销毁Session --&gt; &lt;!-- logout-url logout地址 --&gt; &lt;!-- logout-success-url logout成功后要跳转的地址 --&gt; &lt;sec:logout invalidate-...
SpringSecurity保护Web的安全
05-06
吐血奉献 重要说明,由于本人用的是SpringSecurity3.1版本,3.1版本与3.0版本在配置上发生了一些变化,在配置时,本人都已经全部注明区别和使用方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值