Springboot整合SpringSecurity 04-启用登出logout功能

最新推荐文章于 2024-03-30 17:15:54 发布
最新推荐文章于 2024-03-30 17:15:54 发布
阅读量1.4w 收藏 14
点赞数 4
分类专栏: Spring 文章标签: SpringSecurity登出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34988540/article/details/100785936
版权

Springboot整合SpringSecurity 04-启用登出logout功能

前面Springboot整合SpringSecurity 02-使用自定义登陆页面我们讲过了SpringSecurity的登陆功能。

本系列的按顺序写的,如果对于某些代码不清楚,请看下前面的几篇文章。
Springboot整合SpringSecurity 01-使用入门
Springboot整合SpringSecurity 02-使用自定义登陆页面
Springboot整合SpringSecurity 03-访问权限控制
Springboot整合SpringSecurity 04-启用登出logout功能
Springboot整合SpringSecurity 05-使用JDBC实现认证和授权
Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑
Springboot整合SpringSecurity 07-方法访问权限控制

本章我们继续讲解如何实现登出功能。

1.提供一个登出界面

我们在templates目录下面新建一个logout.html

<!DOCTYPE HTML>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" >
<body>
<form th:action="@{/logout}" method="post">
    <button type="submit" class="btn">Log Out</button>
</form>
</body>
</html>

注意: 这里我们的/logout是使用form表单post提交的。
在SpringSecurity的官方文档里面讲了:

The URL that triggers log out to occur (default is /logout). 
If CSRF protection is enabled (default), then the request must also be a POST

当csrf保护是开启的状态的时候,我们的登出请求必须是POST。

2.创建一个跳转到登出页面的接口

package com.demo.spring.security.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * @author flw
 */
@Controller
public class HelloController {

    @GetMapping("hello")
    public String hello() {
        return "hello";
    }

    @GetMapping("login")
    public String login(@RequestParam(required = false) String error,
                        @RequestParam(required = false) String logout,
                        Model model) {
        if (error != null) {
            model.addAttribute("error", "error");
        }
        if (logout != null) {
            model.addAttribute("logout", "logout");
        }
        return "login";
    }

    @GetMapping("/common/hello")
    @ResponseBody
    public String common() {
        return "common";
    }

    @GetMapping("/user/hello")
    @ResponseBody
    public String user() {
        return "user";
    }

    @GetMapping("/admin/hello")
    @ResponseBody
    public String admin() {
        return "admin";
    }

    @GetMapping("logout")
    public String logout() {
        return "logout";
    }
}

3.配置WebSecurityConfig

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter  {

    @Bean
    @Override
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withDefaultPasswordEncoder().username("user")
                .password("user").roles("USER").build());
        manager.createUser(User.withDefaultPasswordEncoder().username("admin")
                .password("admin").roles("ADMIN").build());
        manager.createUser(User.withDefaultPasswordEncoder().username("dba")
                .password("dba").roles("DBA","USER").build());
        return manager;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/static/**", "/common/**", "/login/**").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").access("hasRole('USER') and hasRole('DBA')")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .successHandler(new MyAuthenticationSuccessHandler())
                .permitAll()
                .and()
                .logout()
//                .logoutUrl("/my/logout")
//                .logoutSuccessUrl("/my/index")
//                .logoutSuccessHandler(null)
                .invalidateHttpSession(true)
//                .addLogoutHandler(null)
                .deleteCookies("testCookie", "testCookie2");
    }
}

logout(): 开启logout功能,在使用WebSecurityConfigurerAdapter的时候默认开启。
logoutUrl("/my/logout"): 指定登出页面的处理地址。默认/logout
logoutSuccessUrl("/my/index"): 指定登出成功跳转页面。默认/login?logout。这里我们使用默认配置
logoutSuccessHandler(null): 指定登出成功后的处理handler,指定了这个的话,上面的logoutSuccessUrl()就失效了。
invalidateHttpSession(true): 指定是否在登出的时候使session失效,默认为true。
addLogoutHandler(null): 指定登出的处理handler。
deleteCookies(“testCookie”, “testCookie2”): 删除指定的cookie。

同时为了测试删除cookie,我在上面登陆的配置里面添加了一个successHandler(new MyAuthenticationSuccessHandler())。指定了这个的话和登出的成功handler一样,配置的successUrl就失效了。

MyAuthenticationSuccessHandler配置如下:
/**
 * @author flw
 */
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    private RequestCache requestCache = new HttpSessionRequestCache();
    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
    
    public void onAuthenticationSuccess(HttpServletRequest request,
                                        HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
       // 因为deleteCookies时候指定的path是这样的。所以这里我们的cookie也要加这个path,
        // 否则会删除失败
        String cookiePath = request.getContextPath() + "/";
        Cookie cookie = new Cookie("testCookie", "cookie");
        cookie.setMaxAge(60);
        cookie.setPath(cookiePath);
        Cookie cookie2 = new Cookie("testCookie2", "cookie2");
        cookie2.setMaxAge(60);
        cookie2.setPath(cookiePath);
        response.addCookie(cookie);
        response.addCookie(cookie2);
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        // 当直接进入的登陆页面,跳转到hello.html。
        if (savedRequest == null) {
            redirectStrategy.sendRedirect(request, response, "/hello");
            return;
        }

        String targetUrl = savedRequest.getRedirectUrl();
        // 当访问其他路径被拦截到登陆页面,跳转到当时的页面。
        redirectStrategy.sendRedirect(request, response, targetUrl);
    }

}

因为使用了自己的SuccessHandler,默认的跳转就失效了,所以上面我们配置了跳转逻辑。具体我们会在后面的章节讲解。

4.开启项目

现在我们可以开始测试项目了。
首先,我们访问前面配置的不需要权限的接口

http://localhost:10022/security/common/hello

结果如下:
在这里插入图片描述
可以看到,这时候没有我们的测试testCookie。

然后我们直接访问/login登陆页面进行登陆

http://localhost:10022/security/login

可以因为我们没有从其他页面被拦截到登陆页面,所以登陆成功后跳转到MyAuthenticationSuccessHandler指定的默认/hello页面去了。
在这里插入图片描述
可以看到请求里面已经携带了我们的测试cookie。

然后我们访问登出页面进行登出

http://localhost:10022/security/logout

然后访问/common/hello,结果如下:
在这里插入图片描述
可以看到测试的cookie已经被删掉了。

枫林晚丶
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
SpringBoot实现登录登出,登录态管理
Naland's Blog
07-09 1万+
账户模块中必要的功能登录登出,相信这个大家都经常使用了。简单介绍下在SpringBoot中的实现 先说下实现思路: 用户名密码存储在数据库中,前端发出请求,拦截器先检测用户有无登录,若有登录可直接请求接口。无需登录就可请求的接口需要加@NoLogin自定义注解。若未登录,前端跳转到登录页面,调用登录接口,系统在后台验证用户名密码,验证通过将用户信息存储在redis中和线程上下文中。 一、设计...
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
springsecurity登出的配置信息以及登出的认证效果,面试官面试java中级开发工程师
最新发布
2301_79655589的博客
03-30 282
如果想登出退到主页面,也可以指定页面://登出.logoutUrl(“/tui”)//自定义退出路径其他配置://登出.logoutUrl(“/tui”)//自定义退出路径.logoutSuccessUrl(“/main”)//自定义跳转页面,默认跳转登录页面.clearAuthentication(true)//注销成功,是否清除当前用户,默认值是true.invalidateHttpSession(true)//是否销毁当前session,默认true。
springboot2.3.0集成springsecurity,实现持久化到数据库的记住我以及logout
libiao1994libiao的博客
06-22 467
1:首先创建一张表 为什么是这张表,可以点开JdbcTokenRepositoryImpl看 sql:CREATE TABLEpersistent_logins(usernamevarchar(64) NOT NULL,seriesvarchar(64) NOT NULL,tokenvarchar(64) NOT NULL,last_usedtimestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KE
SPringBoot Logout说明1。2。
leohorry的博客
07-13 1400
SpringBoot zh中 springSecurity logout csrf说明 1.在CSRF enabled (default), 使用 POST退出。 2.若果不配置则不用,直接 就可以,如下图配置,http.csrf().disabled()
Spring Securityspringboot + mybatis-plus + mysql 用户logout登出后token失效
锥栗的博客
06-25 1240
Spring Securityspringboot + mybatis-plus + mysql 从数据库读取用户信息验证登录【Spring Securityspringboot + mybatis-plus + mysql 密码加密存储下的数据库用户验证登录【Spring Securityspringboot + mybatis-plus + mysql 用户token验证登录功能
springboot集成springsecurity简单权限管理与logout退出,@AuthenticationPrincipal
热门推荐
老专家的博客
04-24 1万+
springsecurity主要是 认证 (密码登录) 与 授权 (角色权限管理) 下面一个简单项目例子,使用springsecurity MyUserDetailsService#loadUserByUsername 用户登录 SecurityConfig#configure 配置springsecurity行为 Controller中的@PreAuthorize就是用户权限 对照上图看,权限...
Spring Security Logout
白石的专栏
12-05 1385
本文建立在我们的[表单登录教程](https://www.baeldung.com/spring-security-login)之上,将重点关注如何**使用 Spring Security 配置注销**。
SpringBoot使用SpringSecurity(三)_登录及退出管理
DreamsArchitects的博客
11-11 920
学习SpringSecurity 第三集一、自定义认证成功、失败处理CustomAuthenticationSuccessHandlerCustomAuthenticationFailureHandlerSpringSecurityConfig配置类测试二、退出登录SpringSecurityConfig配置类LogoutSuccessHandler微信公众号 学习SpringSecurity 第一集 学习SpringSecurity 第二集 一、自定义认证成功、失败处理 在SpringSecurityCo
springBoot+Security中login和logout的错误
sunshinemen123的博客
01-11 941
在我使用springBoot+Security实现登录时,调用的时security自带的登录退出方法。 访问时发现了错误: 这个原因时应为security框架中的,crsf(跨域请求默认是开启的)。我只需要在WebSecurityConfig的配置文件中将这个crsf关闭就可以访问了。 更改之后,变成我预期的结果。 ...
spring-security-demo-05-logout:Ejemplo de proyectoSpring安全性部分LOGOUT
02-17
spring-security-demo-05-注销Ejemplo de proyecto spring security para登出
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
okta-spring-logout-example:Spring Boot应用程序示例,用于通过Spring Security和OIDC演示各种注销选项
05-05
Spring Boot的OpenID Connect注销选项 该存储库包含一个示例...cd okta-spring-logout-example 在Okta中创建Web应用程序 登录到您的1563开发者帐户(或者,如果你没有一个帐户)。 在“应用程序”页面上,选择添加
springboot+shiro+mybatis-plus纯净版框架(附带所需数据库sql)
01-22
JDK1.8 springboot框架(2.7.17) shiro实现了简易版的控制登录和角色权限(1.13.0) mybatis-plus实现了简易版的controller,service,mapper自动生成和分页(3.4.0) ...3、登出:http://127.0.0.1:8081/logout
springsecurity_logout.rar
04-08
SpringSecurity原生的logout实现功能,具体讲解可参考: https://blog.csdn.net/u012329294/article/details/105382239
Springboot整合SpringSecurity 05-使用JDBC实现认证和授权
枫林晚丶的博客
09-13 5179
Springboot整合SpringSecurity 05-使用JDBC实现认证和授权 前面的章节中,我们都是使用的InMemoryUserDetailsManager内存保存的用户信息,但是通常我们开发中常用的一般都是数据库来保存数据。 所以本章我们使用JDBC来实现认证和授权。 1.添加jdbc相关依赖和配置。 1.1 在pom.xml中添加数据库支持。 <dependencies&gt...
Springboot整合SpringSecurity 02-使用自定义登陆页面
枫林晚丶的博客
09-12 2485
Springboot整合SpringSecurity 02-使用自定义登陆和登出页面 在Springboot整合SpringSecurity 01-使用入门中我们已经学会了最基本的SpringSecurity的使用。 但是使用的是SpringSecurity自带的登陆页面,通常开发中我们肯定是要使用自己的登陆页面的。 所以本章我们继续学习使用自定义的登陆页面。 代码和配置接着上一章。 1.创建一个...
springboot整合springsecurity
05-11
在这里,我将介绍如何整合 Spring Boot 和 Spring Security。 首先,在 pom.xml 文件中添加以下依赖: ```xml <!-- Spring Boot Web Starter --> <groupId>org.springframework.boot <artifactId>spring-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值