Springsecurity之LogoutFilter

最新推荐文章于 2024-10-29 09:09:46 发布
最新推荐文章于 2024-10-29 09:09:46 发布
阅读量1.4k 收藏 1
点赞数 1
文章标签: java python
原文链接:https://my.oschina.net/u/2518341/blog/2875229
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    注:Springsecurity版本4.3.x.RELEASE

    先上一张LogoutFilter的类继承图,如下图1所示,原图见我的Github

                                                               图1     

    LogoutFilter和其它Springsecurity的Filter一样,都是继承自GenericFilterBean。

    来看下LogoutFilter的属性和构造方法,如下List-1所示。当我们定义了如List-2所示的bean时,调用的是List-1中的第二个构造方法。

    List-1

public class LogoutFilter extends GenericFilterBean {
	private RequestMatcher logoutRequestMatcher;
	private final LogoutHandler handler;
	private final LogoutSuccessHandler logoutSuccessHandler;

	/**
	 * Constructor which takes a <tt>LogoutSuccessHandler</tt> instance to determine the
	 * target destination after logging out. The list of <tt>LogoutHandler</tt>s are
	 * intended to perform the actual logout functionality (such as clearing the security
	 * context, invalidating the session, etc.).
	 */
	public LogoutFilter(LogoutSuccessHandler logoutSuccessHandler,
			LogoutHandler... handlers) {
		this.handler = new CompositeLogoutHandler(handlers);
		Assert.notNull(logoutSuccessHandler, "logoutSuccessHandler cannot be null");
		this.logoutSuccessHandler = logoutSuccessHandler;
		setFilterProcessesUrl("/logout");
	}

	public LogoutFilter(String logoutSuccessUrl, LogoutHandler... handlers) {
		this.handler = new CompositeLogoutHandler(handlers);
		Assert.isTrue(
				!StringUtils.hasLength(logoutSuccessUrl)
						|| UrlUtils.isValidRedirectUrl(logoutSuccessUrl),
				() -> logoutSuccessUrl + " isn't a valid redirect URL");
		SimpleUrlLogoutSuccessHandler urlLogoutSuccessHandler = new SimpleUrlLogoutSuccessHandler();
		if (StringUtils.hasText(logoutSuccessUrl)) {
			urlLogoutSuccessHandler.setDefaultTargetUrl(logoutSuccessUrl);
		}
		logoutSuccessHandler = urlLogoutSuccessHandler;
		setFilterProcessesUrl("/logout");
	}

    List-2

<bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">
	<constructor-arg value="https://localhost:9443/cas/logout"/>
	<constructor-arg>
		<bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>
	</constructor-arg>
	<property name="filterProcessesUrl" value="/logout/cas"/>
</bean>

    来看下LogoutFilter的doFilter方法,如下List-3所示,

    List-3

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;
	if (requiresLogout(request, response)) {
		Authentication auth = SecurityContextHolder.getContext().getAuthentication();
		if (logger.isDebugEnabled()) {
			logger.debug("Logging out user '" + auth + "' and transferring to logout destination");
		}
		this.handler.logout(request, response, auth);
		logoutSuccessHandler.onLogoutSuccess(request, response, auth);
		return;
	}
	chain.doFilter(request, response);
}

     在List-3中:

  1. requiresLogout方法判断requst中的url是否是/logout/cas,见List-2中的属性filterProcessesUrl
  2. 如果满足步骤1的要求,那么调用LogoutHandler的logout方法,会将Session失效,此外将SecurityContextHolder清空
  3. 如果满足步骤1的要求,那么调用LogoutSuccessHandler的onLogoutSuccess方法,设置HttpServletResponse的重定向
  4. 如果满足步骤1的要求,那么不会调用FilterChain了

    来看下SecurityContextLogoutHandler的logout方法,如下List-4所示,

    List-4

public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
	Assert.notNull(request, "HttpServletRequest required");
	if (invalidateHttpSession) {
		HttpSession session = request.getSession(false);
		if (session != null) {
			logger.debug("Invalidating session: " + session.getId());
			session.invalidate();
		}
	}
	if (clearAuthentication) {
		SecurityContext context = SecurityContextHolder.getContext();
		context.setAuthentication(null);
	}
	SecurityContextHolder.clearContext();
}

    在List-4中:

  1. 会将HttpSession失效
  2. 清空SecurityContextHolder的context

    来看下SimpleUrlLogoutSuccessHandler,如图2和List-5所示,它直接调用父类AbstractAuthenticationTargetUrlRequestHandler的handle方法,看List-6所示,方法determineTargetUrl决定使用哪个targetUrl;List-6中handle方法的redirectStrategy.sendRedirect(request, response, targetUrl),调用的DefaultRedirectStrategy的sendRedirect方法,如List-7所示,最终调用的是response的sendRedirect方法。

                    

                                                                图2

    List-5

public class SimpleUrlLogoutSuccessHandler extends
		AbstractAuthenticationTargetUrlRequestHandler implements LogoutSuccessHandler {

	public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		super.handle(request, response, authentication);
	}
}

    List-6

protected void handle(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) throws IOException, ServletException {
	String targetUrl = determineTargetUrl(request, response);
	if (response.isCommitted()) {
		logger.debug("Response has already been committed. Unable to redirect to "
				+ targetUrl);
		return;
	}
	redirectStrategy.sendRedirect(request, response, targetUrl);
}

/**
 * Builds the target URL according to the logic defined in the main class Javadoc.
 */
protected String determineTargetUrl(HttpServletRequest request,
		HttpServletResponse response) {
	if (isAlwaysUseDefaultTargetUrl()) {
		return defaultTargetUrl;
	}
	// Check for the parameter and use that if available
	String targetUrl = null;
	if (targetUrlParameter != null) {
		targetUrl = request.getParameter(targetUrlParameter);
		if (StringUtils.hasText(targetUrl)) {
			logger.debug("Found targetUrlParameter in request: " + targetUrl);
			return targetUrl;
		}
	}
	if (useReferer && !StringUtils.hasLength(targetUrl)) {
		targetUrl = request.getHeader("Referer");
		logger.debug("Using Referer header: " + targetUrl);
	}
	if (!StringUtils.hasText(targetUrl)) {
		targetUrl = defaultTargetUrl;
		logger.debug("Using default Url: " + targetUrl);
	}
	return targetUrl;
}

    List-7

public void sendRedirect(HttpServletRequest request, HttpServletResponse response,
		String url) throws IOException {
	String redirectUrl = calculateRedirectUrl(request.getContextPath(), url);
	redirectUrl = response.encodeRedirectURL(redirectUrl);

	if (logger.isDebugEnabled()) {
		logger.debug("Redirecting to '" + redirectUrl + "'");
	}

	response.sendRedirect(redirectUrl);
}

 

转载于:https://my.oschina.net/u/2518341/blog/2875229

weixin_34220834
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security源码解析--LogoutFilter
程序员劝退师的博客
11-19 400
概述 在进行安全配置时,不管是明确指定还是使用缺省配置,最终安全配置中都会包含以下退出登录配置信息: 怎样的请求是一个退出登录请求 这里包含两部分信息: url, http method 成功退出登录过程需要做哪些事情 也就是各种配置的LogoutHandler 核心LogoutHandler:SecurityContextLogoutHandler–销毁session和SecurityContextHolder内容 成功退出登录后跳转到哪里 也就是配置中的 logoutSuccessUrl
Spring-shiro-Boot-7 shiro中的自定义过滤器-LogoutFilter
良之才的专栏
03-17 1573
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFilter。 shiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
Spring Security笔记:自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken
weixin_33907511的博客
08-03 289
在前面的学习中,配置文件中的&lt;http&gt;...&lt;/http&gt;都是采用的auto-config="true"这种自动配置模式,根据Spring Security文档的说明: ------------------ auto-config Automatically registers a login form, BASIC authentication, logout se...
SpringSecurity过滤器LogoutFilter
clyu的博客
01-03 806
public class LogoutFilter extends GenericFilterBean { private RequestMatcher logoutRequestMatcher;//退出接口匹配器 private final LogoutHandler handler;//退出资源清除器 private final LogoutSuccessHandler logoutSuccessHandler;//退出成功后,要做的操作 public LogoutFilter(Logo
Spring Security学习笔记之LogoutFilter
py_xin的博客
09-23 9146
处理logout方法比较简单, 只需要在标签里配置标签即可: ... ... 这里配置了当logout成功后跳转到login页面. 也可以指定自定义的LogoutSuccessHandler, 在logout成功后做一些其他操作, 如记录日志, 更新数据库等等. ... ... 这里注意两点: 1) 标签里的logout-success-url和succes
9、spring security拦截器之LogoutFilter
u012153127的博客
06-24 485
LogoutFilter:注销过滤器,默认的url是logout public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (Ht
Spring Security Web 5.1.2 源码解析 -- LogoutFilter
Details Inside Spring
12-02 926
概述 在进行安全配置时,不管是明确指定还是使用缺省配置,最终安全配置中都会包含以下退出登录配置信息: 怎样的请求是一个退出登录请求 这里包含两部分信息: url, http method 成功退出登录过程需要做哪些事情 也就是各种配置的LogoutHandler 核心LogoutHandler:SecurityContextLogoutHandler–销毁session和Security...
SpringSecurity默认过滤器链解析之LogoutFilter(十)
欢谷悠扬
07-09 903
1.LogoutFilter 退出登录处理器 这个其实就是个专门处理退出登录请求的处理器, 默认的退出登录请求是/logout 。当然你也能自定义的。在继承WebSecurityConfigurerAdapter后重写configure(HttpSecurity http)方法,在这个方法里可以配置。 至于如何配置,网上很多,我这里就不讲了~ 源码解析: public void doFilter(ServletRequest req, ServletResponse res, FilterChain c
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 由一堆 Filter 实现,包括 LogoutFilter、UsernamePasswordAuthenticationFilter 等。这些 Filter 负责拦截请求,并将其交由其他组件完成细分的功能。其中,UsernamePasswordAuthenticationFilter ...
Spring Security详细介绍及使用含完整代码(值得珍藏)
02-08
### Spring Security详细介绍及使用 #### 一、Spring Security概述 Spring Security是一款强大的安全框架,它专为基于Spring的企业级应用提供了声明式安全访问控制。该框架利用Spring框架的核心功能,如IoC...
详解spring security安全防护
08-27
详解Spring Security安全防护 Spring Security是一个广泛使用的Java安全框架,提供了 Comprehensive和灵活的安全解决方案。下面将详细介绍Spring Security中的安全防护机制,主要包括XSS攻击防护、CSRF攻击防护、...
Spring Security源码分析之LogoutFilter
weixin_34399060的博客
05-04 581
LogoutFilter过滤器对应的类路径为 org.springframework.security.web.authentication.logout.LogoutFilter 通过这个类的源码可以看出,这个类有两个构造函数 这两个构造函数的参数,就是之前解析HTTP标签通过创建Logout...
[5] LogoutFilter
热门推荐
既无风雨也无晴
03-11 2万+
LogoutFilter 介绍 LogoutFilter是一个登出过滤器,当请求经过LogoutFilter时,过滤器会请判断当前请求的URL是否是登出URL,如果匹配,就执行遍历执行登出handlers。默认情况下,会清空SecurityContextHolder的身份认证信息,以及发送一个登出成功的事件。 代码分析 我们首先看一下LogoutFilter的构造器,代码如下: public ...
Spring常用过滤器(Filter)-LogoutFilter
最新发布
Liang的博客
10-29 300
LogoutFilter
acegi security实践教程—简单定制logoutFilter
03-12 3292
回顾:     logoutFilter过滤器,我已经带大家了解过了。其中注销是由handler.logout完成的。这就需要在配置文件中配置具体的handler,比如securitycontextlogouthandler,或者tokenbasedremembermeservices,大家可以看到logouthandler具体的实现类如下:        若我程序中就想只用Securit
shiro框架学习笔记(6)——登录认证+过滤器链+退出logout
xinpz的博客
08-08 9615
5.8 登陆  5.8.1 原理 使用FormAuthenticationFilter过虑器实现 ,原理如下:   将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的) FormAuthenticationF...
[spring security那点事儿]编写自己的过滤器
quzishen的专栏
09-17 6269
<br />通常而言,使用spring security来进行身份验证的同时,还需要进行一些附加操作,注入校验码检查,session中安全信息的检查,用户最后登录流水记录等。不排除这些在ss执行完成后进入某个页面,在其渲染类中可以实现,但是这样的方式从设计角度而言,是拆分了登录的整个独立过程,是属于单纯的实现功能而实现功能。<br />所以这里我们就需要封装底层spring security过滤器,以实现自己需求的过滤器。<br /> <br />先说第一个常用需求:用户登录的时候检查校验码,并且记录用户的
spring中 shiro logout 配置方式
m0_67401920的博客
04-27 1685
有两种方式实现logout 1. 普通的action中 实现自己的logout方法,取到Subject,然后logout 这种需要在ShiroFilterFactoryBean 中配置 filterChainDefinitions 对应的action的url为anon # some example chain definitions: /index.htm = anon /logout = anon /unauthed = anon /console/** = anon /css/** = anon /
SpringSecurity 3.1实战教程
"SpringSecurity应用指南" Spring Security是一个强大的安全框架,用于保护基于Java的Web应用程序。该框架提供了一整套机制来管理认证、授权以及会话管理,确保应用的安全性。本文将详细介绍Spring Security的体系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值