java logout_Springsecurity之LogoutFilter

最新推荐文章于 2022-03-17 14:06:53 发布
最新推荐文章于 2022-03-17 14:06:53 发布
阅读量355 收藏
点赞数
文章标签: java logout
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33505417/article/details/115071134
版权

注:Springsecurity版本4.3.x.RELEASE

先上一张LogoutFilter的类继承图,如下图1所示,原图见我的Github。

0c288ddffefe0580012465012033a0af.png

图1

LogoutFilter和其它Springsecurity的Filter一样,都是继承自GenericFilterBean。

来看下LogoutFilter的属性和构造方法,如下List-1所示。当我们定义了如List-2所示的bean时,调用的是List-1中的第二个构造方法。

List-1

public class LogoutFilter extends GenericFilterBean {

private RequestMatcher logoutRequestMatcher;

private final LogoutHandler handler;

private final LogoutSuccessHandler logoutSuccessHandler;

/**

* Constructor which takes a LogoutSuccessHandler instance to determine the

* target destination after logging out. The list of LogoutHandlers are

* intended to perform the actual logout functionality (such as clearing the security

* context, invalidating the session, etc.).

*/

public LogoutFilter(LogoutSuccessHandler logoutSuccessHandler,

LogoutHandler... handlers) {

this.handler = new CompositeLogoutHandler(handlers);

Assert.notNull(logoutSuccessHandler, "logoutSuccessHandler cannot be null");

this.logoutSuccessHandler = logoutSuccessHandler;

setFilterProcessesUrl("/logout");

}

public LogoutFilter(String logoutSuccessUrl, LogoutHandler... handlers) {

this.handler = new CompositeLogoutHandler(handlers);

Assert.isTrue(

!StringUtils.hasLength(logoutSuccessUrl)

|| UrlUtils.isValidRedirectUrl(logoutSuccessUrl),

() -> logoutSuccessUrl + " isn't a valid redirect URL");

SimpleUrlLogoutSuccessHandler urlLogoutSuccessHandler = new SimpleUrlLogoutSuccessHandler();

if (StringUtils.hasText(logoutSuccessUrl)) {

urlLogoutSuccessHandler.setDefaultTargetUrl(logoutSuccessUrl);

}

logoutSuccessHandler = urlLogoutSuccessHandler;

setFilterProcessesUrl("/logout");

}

List-2

来看下LogoutFilter的doFilter方法,如下List-3所示,

List-3

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) res;

if (requiresLogout(request, response)) {

Authentication auth = SecurityContextHolder.getContext().getAuthentication();

if (logger.isDebugEnabled()) {

logger.debug("Logging out user '" + auth + "' and transferring to logout destination");

}

this.handler.logout(request, response, auth);

logoutSuccessHandler.onLogoutSuccess(request, response, auth);

return;

}

chain.doFilter(request, response);

}

在List-3中:

requiresLogout方法判断requst中的url是否是/logout/cas,见List-2中的属性filterProcessesUrl

如果满足步骤1的要求,那么调用LogoutHandler的logout方法,会将Session失效,此外将SecurityContextHolder清空

如果满足步骤1的要求,那么调用LogoutSuccessHandler的onLogoutSuccess方法,设置HttpServletResponse的重定向

如果满足步骤1的要求,那么不会调用FilterChain了

来看下SecurityContextLogoutHandler的logout方法,如下List-4所示,

List-4

public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {

Assert.notNull(request, "HttpServletRequest required");

if (invalidateHttpSession) {

HttpSession session = request.getSession(false);

if (session != null) {

logger.debug("Invalidating session: " + session.getId());

session.invalidate();

}

}

if (clearAuthentication) {

SecurityContext context = SecurityContextHolder.getContext();

context.setAuthentication(null);

}

SecurityContextHolder.clearContext();

}

在List-4中:

会将HttpSession失效

清空SecurityContextHolder的context

飞翔的牛蛙君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8001
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
[5] LogoutFilter
既无风雨也无晴
03-11 2万+
LogoutFilter 介绍 LogoutFilter是一个登出过滤器,当请求经过LogoutFilter时,过滤器会请判断当前请求的URL是否是登出URL,如果匹配,就执行遍历执行登出handlers。默认情况下,会清空SecurityContextHolder的身份认证信息,以及发送一个登出成功的事件。 代码分析 我们首先看一下LogoutFilter的构造器,代码如下: public ...
java logout_spring securitylogout功能
weixin_39879665的博客
03-06 269
spring security remember me实现以后----------------------@Controllerpublic class DemoController {@Autowired@Qualifier("tokenRepositoryDAO")private PersistentTokenRepository tokenRepository;@RequestMapping...
java logout_Java Core.logout方法代碼示例
weixin_42403124的博客
02-15 136
import com.mendix.core.Core; //導入方法依賴的package包/類private void login(IMxRuntimeRequest req, IMxRuntimeResponse resp) throws Exception {String continuation = req.getParameter(CONTINUATION_PARAM);detectCo...
java logout_LogoutServlet.java
weixin_30505255的博客
03-06 323
package term.identity.servlet;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.h...
java logout_Java Login/Logout Demo
weixin_29002209的博客
02-15 555
1importjavax.swing.*;2importjavax.swing.border.EmptyBorder;3importjava.awt.*;4importjava.awt.event.*;5importjava.util.*;678/**9*Title:LoginPanel10*Description:Asimpleyetcompl...
springsecurity_logout.rar
04-08
SpringSecurityJava领域中一个强大的安全框架,用于处理Web应用的安全性问题,如认证、授权等。在SpringSecurity中,登出(logout)功能是应用中不可或缺的一部分,它允许用户安全地结束当前会话,清除相关认证...
Spring_Security_多页面登录配置教程
10-20
<bean id="shopLogoutFilter" class="org.springframework.security.web.logout.LogoutFilter"> <sec:custom-filter before="LOGOUT_FILTER"/> <bean class="org.springframework.security.web.logout....
Provider.java 82_详解spring security 配置多个AuthenticationProvider
weixin_30431137的博客
02-27 675
前言发现很少关于spring security的文章,基本都是入门级的,配个UserServiceDetails或者配个路由控制就完事了,而且很多还是xml配置,国内通病...so,本文里的配置都是java配置,不涉及xml配置,事实上我也不会xml配置spring security的大体介绍spring security本身如果只是说配置,还是很简单易懂的(我也不知道网上说spring secu...
Spring Security源码解析--LogoutFilter
程序员劝退师的博客
11-19 371
概述 在进行安全配置时,不管是明确指定还是使用缺省配置,最终安全配置中都会包含以下退出登录配置信息: 怎样的请求是一个退出登录请求 这里包含两部分信息: url, http method 成功退出登录过程需要做哪些事情 也就是各种配置的LogoutHandler 核心LogoutHandler:SecurityContextLogoutHandler–销毁session和SecurityContextHolder内容 成功退出登录后跳转到哪里 也就是配置中的 logoutSuccessUrl
Java Form Authentication 时的 Logout
ginkov的博客
09-07 522
问题:在 Form Authentication 时如何实现用户 Logout?解决:Step 1. 首先设一个 Logout 的 Servlet@WebServlet("/api/logout") public class Logout extends HttpServlet(){ protected void doGet(...){ request.logout(); /
java web logout_javaweb . 页面登出 操作
weixin_35048266的博客
02-13 273
对于 监听器的使用package com.itstaredu.bookstore.listener;import javax.servlet.ServletContext;import javax.servlet.ServletContextEvent;import javax.servlet.ServletContextListener;import javax.servlet.http.Htt...
java web logout_JavaWeb的登陆与注销功能
weixin_31201481的博客
02-13 841
JavaWeb 登录与注销大致流程一般我们在Web应用中 登录页面一般是以 login.jsp的首页大致流程如下:当我们在前台写入用户名和密码之后,点击登录按钮会将表单提交给一个LoginServlet让它去验证用户名和密码是否正确用户名或密码错误 重新返回登陆页面 并提示登陆成功后 会进入自己WEB-INF的网页进入系统里的网页后 有用户自己的信息显示点击注销按钮 实现注销 重新回到登陆页面登...
java logout session_会话跟踪技术--session的使用
weixin_35009537的博客
02-16 392
会话跟踪技术--session的使用会话跟踪:1、使用隐藏表单字段2、URL重写http://host/path/file.jsp?sessionid=landril3、持久Cookie4、会话HttpSession一、使用session的简单步骤获取HttpSession(request.getSession()方法)对象,查找与该会话相关的信息(session.getAttribute()),...
CAS 的logout设置
dpsnet的专栏
04-24 888
在cas/WEB-INF/spring-configuration/argumentExtractorsConfiguration.xml文件中为samlArgumentExtractor添加disableSingleSignOut属性为false。                  明日继续。  
Spring-shiro-Boot-7 shiro中的自定义过滤器-LogoutFilter
良之才的专栏
03-17 1546
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFilter。 shiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
java怎么实现自动退出功能_SpringSecurity退出功能实现的正确方式
weixin_39789499的博客
11-28 430
本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。其实这是一个非常简单的功能,我见过很多的程序员在使用了Spring Security之后,仍然去自己写controller方法实现logout功能,这种做法就好像耕地,你有机械设备你不用,你非要用牛。一、logout最简及最佳实践其实使用Spring Security进行logout非常简单,只需要在spri...
SpringSecurity默认过滤器链解析之LogoutFilter(十)
欢谷悠扬
07-09 864
1.LogoutFilter 退出登录处理器 这个其实就是个专门处理退出登录请求的处理器, 默认的退出登录请求是/logout 。当然你也能自定义的。在继承WebSecurityConfigurerAdapter后重写configure(HttpSecurity http)方法,在这个方法里可以配置。 至于如何配置,网上很多,我这里就不讲了~ 源码解析: public void doFilter(ServletRequest req, ServletResponse res, FilterChain c
Spring Security动态配置URL权限解决方案
- LOGOUT_FILTERLogoutFilter处理用户登出请求。 - X509_FILTER:X509AuthenticationFilter处理基于X.509证书的认证。 - PRE_AUTH_FILTER:预认证过滤器,用于处理如CAS等外部认证服务的认证。 在了解了Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值