【每日进步一点点】SpringSecurity退出登录不生效问题

最新推荐文章于 2023-02-01 14:20:10 发布
最新推荐文章于 2023-02-01 14:20:10 发布
阅读量3.4k 收藏 9
点赞数 6
分类专栏: 每日进步一点点 springsecurity 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012329294/article/details/105382239
版权

SpringSecurity实现了登录,但配置了退出登录,始终不成功。

配置情况如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
                .antMatchers("/css/**").permitAll() 
                .anyRequest().authenticated()   //任何未匹配的URL都要进行身份验证
                .and()
                .formLogin()
                .loginPage("/login.html")
                .failureUrl("/login-error.html").permitAll()
                .defaultSuccessUrl("/home.html")
                .and()
                .logout()
                .logoutUrl("/logout")  //注销URL
                .logoutSuccessUrl("/login.html");
}

其中配置了logoutUrl为"/logout",

调用代码为:

<a th:href="@{/logout}">退出</a>

问题:点击后根本无法注销,浏览器报404,即无法找到http://localhost:8080/logout。

 

解决方案一:自定义logout实现

我们自定义了一个logout方法,实现了退出登录,如下:

    @RequestMapping(value="/logout")
    public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){
            new SecurityContextLogoutHandler().logout(request, response, auth);
        }
        return "redirect:/login.html";
    }

 评述:该解决办法还是不错,能够达到效果,但跟springsecurity的配置没有什么关系了。

例如,调用修改为:

<a th:href="@{/mylogout}">退出</a>

mylogout实现如下:

    @RequestMapping(value="/mylogout")
    public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){
            new SecurityContextLogoutHandler().logout(request, response, auth);
        }
        return "redirect:/login.html";
    }

一样可以成功,就说明和SpringSecurity的配置项没有关系了。

 

解决方案二:使用SpringSecurity的LogoutFilter

我们都知道,SpringSecurity本身有LogoutFilter这个filter,专门处理退出登录用的。

我们看一下LogoutFilter.java中doFilter的源代码

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (requiresLogout(request, response)) { //这里进行验证
			Authentication auth = SecurityContextHolder.getContext().getAuthentication();

			if (logger.isDebugEnabled()) {
				logger.debug("Logging out user '" + auth
						+ "' and transferring to logout destination");
			}

			this.handler.logout(request, response, auth);

			logoutSuccessHandler.onLogoutSuccess(request, response, auth);

			return;
		}

		chain.doFilter(request, response);
	}

进行源代码跟踪,发现在requiresLogout(request, response) 中未通过,继续深入match,

@Override
	public boolean matches(HttpServletRequest request) {
		if (this.httpMethod != null && StringUtils.hasText(request.getMethod())
				&& this.httpMethod != valueOf(request.getMethod())) {
			...

			return false;
		}
        ...
    }

 这里第一个验证就是调用方法的验证,跟踪发现:

/logout要求是POST方法,而我们使用的是<a href>这种方式,这个方式是GET方法,这个就是问题的关键所在。

 知道问题所在后,我觉得采用ajax发送post消息来验证,代码如下:

<a  onclick="exit();">退出</a>


<script>
        
        function exit() {           
            $.ajax({
                type: "post",
                async: false,
                url: basePath + "/logout",
                success: function (res) {                    
                }
            });
        }
</script>

  嗯,这样的确可以退出成功,但 .logoutSuccessUrl("/login.html"); 这个配置不生效。

  看了源代码,主要是redirectStrategy.sendRedirect 不生效。

  百度搜了一下,用ajax调用时,无法更新整个页面,所以这个是无效的。

  当然还是有办法处理的。

  在ajax调用成功后,success方法中网页重新定向到/login.html就可以了。

  代码如下:  

<a  onclick="exit();">退出</a>


<script>
        
        function exit() {           
            $.ajax({
                type: "post",
                async: false,
                url: basePath + "/logout",
                success: function (res) {
                     window.location.href = "/login.html";
                }
            });
        }
</script>

 以上也实现了整个功能,但有缺憾,登录成功后的跳转路径不生效。

 

解决方案三:正规解决办法

以上两个方案都实现了登录退出的功能,但SpringSecurity的配置都有些不生效,说明这个和SpringSecurity配置的

初衷还是不一样的,因此思考后,认为还是应该用form的正规方式来处理,因此正规解决办法如下:

网页调用端代码:

<li class="layui-nav-item">
            <form th:action="@{/logout}" method="post">
                <input id="exit" type="submit" value="退出">
            </form>
</li>

<style type="text/css">
        #exit {
            background-color: #000000;
            color: #ffffff;
            border: 0px;

            margin-left: 15px;
            margin-right: 15px;
        }
</style>

  用submit按钮来实现,为了和原有代码显示一致,使用了#exit样式进行配置。

  SpringSecurity的Config配置如下(和前面的没有变化,这里只是拿出来统一展示):

@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
                .antMatchers("/css/**").permitAll() 
                .anyRequest().authenticated()   //任何未匹配的URL都要进行身份验证
                .and()
                .formLogin()
                .loginPage("/login.html")
                .failureUrl("/login-error.html").permitAll()
                .defaultSuccessUrl("/home.html")
                .and()
                .logout()
                .logoutUrl("/logout")  //注销URL
                .logoutSuccessUrl("/login.html");
}

 OK,现在可以只需点击“退出”这个Submit按钮,其余的都按照SpringSecurity的配置进行了。

 登录退出 /logout

 登录成功转向页面  /login.html

 一切都很完美!

 

 

 

  

 

灰暗角落里的琴
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
SpringBoot+SpringSecurity处理Ajax登录请求问题SpringBoot开发中的一個常见问题,本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 知识点1:SpringBoot+SpringSecurity框架简介 ...
SpringSecurity退出登录不生效问题
weixin_45817985的博客
07-13 531
这里写自定义目录标题SpringSecurity退出登录不生效问题 SpringSecurity退出登录不生效问题 SpringSecurity退出登录必须采用form表单post提交方式,a标签herf提交为get方式,不生效 退出实现代码 http.logout().deleteCookies("JSESSIONID"); 前端页面form表单,thymeleaf页面 <form th:action="@{/logout}" method="post"> <input cl
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 1958
SpringSecurity退出登录报错,logout,404,CSRF防护
spring securitylogout功能出现404
qq_41120971的博客
06-06 1110
默认情况下”/logout”必须使用POST提交才可以起作用 原因:CSRS功能默认开启了 CSRF功能是否开启: 1)开启:使用POST提交,注意token了 <form action="${pageContext.request.contextPath }/logout" method="post"> <input type="hidden" name="${_csrf.parameterName }" value="${_csrf.token }"/> <
Spring Security authenticationManager()返回null,必须定义authenticationManagerBean的原因分析
Hey_JC的博客
04-26 8968
问题场景: 最近在研究spring cloud alibaba微服务,也研究到了OAuth2.0第三方授权。在实现的过程中决定使用成熟的spring security框架作为来实现授权登录及第三方授权功能。但在整合的过程中遇到了一个奇怪的问题。即两个springboot应用,都在同一个maven父工程下,两个应用的依赖是一样的,依赖的版本也是一样的,并且两个应用的Security配置类(即extends了WebSecurityConfigurerAdapter的配置类)都是一样的。但一个能正常运行,另外一个
Spring Security 中的 successHandler 无效问题
weixin_45780686的博客
12-13 4701
原先代码: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() // 自定义登录页面 .and() .formLogin()
Spring Security 强制退出指定用户的方法
08-27
Spring Security 强制退出指定用户的方法 Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity退出功能实现的正确方式(推荐)
08-25
Spring Security 框架提供了强大的安全功能,其中退出功能是非常重要的一部分。本文将介绍如何正确地实现 Spring Security 退出功能。 一、logout 最简及最佳实践 使用 Spring Security 实现 logout 功能非常简单...
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
Spring Security 自动踢掉前一个登录用户的实现代码 Spring Security 是一个功能强大且流行的 Java 认证和授权框架,提供了许多实用的功能来保护 Web 应用程序。今天,我们将探讨如何使用 Spring Security 实现自动...
springsecurity自定义退出登录authentication为null
lisuo1234的博客
12-26 3954
springsecurity学习
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 5032
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
spring security logout(spring security登出示例)
u012156496的博客
12-01 1万+
**spring security logout(spring security登出示例)** 在学习实现spring security登出的候发现了一篇外文,感觉写的挺好,这里斗胆尝试翻译出来,原文链接:http://websystique.com/spring-security/spring-security-4-logout-example/翻译如下: 这篇文章的是展示如何通过编码的方式
spring security oauth2.0 前后分离注销(登出) 解决方案
热门推荐
zxm的博客
07-01 2万+
spring security实现注销功主要处理类是LogoutFilter,LogoutHandler,LogoutSuccessHandler先来看接口:LogoutHandler/** * Indicates a class that is able to participate in logout handling. * * &lt;p&gt; * Called by {@link...
Spring Security 3》 【第三章】增强用户体验(2)
小糊涂蛋大糊涂神的专栏
08-03 987
Spring Security 3》 【第三章】增强用户体验(2) 摘要: 术语退出Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。 理解退出功能 术语退出Logout
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 2832
spring6体验
springBoot+Security中login和logout的错误
sunshinemen123的博客
01-11 967
在我使用springBoot+Security实现登录,调用的security自带的登录退出方法。 访问发现了错误: 这个原因应为security框架中的,crsf(跨域请求默认是开启的)。我只需要在WebSecurityConfig的配置文件中将这个crsf关闭就可以访问了。 更改之后,变成我预期的结果。 ...
Springboot引入springSecurity
qq_41158525的博客
10-13 2473
SpringBoot集成SpringSecurity
Security 登录认证 退出步骤
weixin_44768962的博客
07-31 1374
登录认证 授权
springsecurity退出登录
最新发布
06-28
Spring Security退出登录可以通过以下步骤实现: 1. 在Spring Security配置文件中添加logout配置: ``` http.logout() .logoutUrl("/logout") .logoutSuccessUrl("/login") .invalidateHttpSession(true) ....
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灰暗角落里的琴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值