springsecurity 不允许session并行登录_Spring Security 实战干货:实现自定义退出登录...

最新推荐文章于 2023-05-06 18:31:22 发布
最新推荐文章于 2023-05-06 18:31:22 发布
阅读量266 收藏 1
点赞数
文章标签: springsecurity 不允许session并行登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39657662/article/details/111336213
版权

我是 码农小胖哥。天天有编程干货分享。觉得写的不错。点个赞,转发一下,关注一下。本文为个人原创文章,转载请注明出处,非法转载抄袭将追究其责任。

e19f4deb49bcaf641652d6776b4e6c07.png

1. 前言

上一篇对 Spring Security 所有内置的filter 进行了介绍。今天我们来实战如何安全退出应用程序。

2. 我们使用 Spring Security 登录后都做了什么

这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种:

  • 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。
  • 基于 token 客户端存一个 token 串,服务端会在缓存中存一个用来校验此 token 的信息。

2. 退出登录需要我们做什么

  1. 当前的用户登录状态失效。这就需要我们清除服务端的用户状态。
  2. 退出登录接口并不是 permitAll, 只有携带对应用户的凭证才退出。
  3. 将退出结果返回给请求方。
  4. 退出登录后用户可以通过重新登录来认证该用户。

3. Spring Security 中的退出登录

接下来我们来分析并实战 如何定制退出登录逻辑。首先我们要了解 LogoutFilter 。

3.1 LogoutFilter

通过 https://www.felord.cn/spring-security-filters.html 我们知道退出登录逻辑是由过滤器 LogoutFilter 来执行的。 它持有三个接口类型的属性:

  1. RequestMatcher logoutRequestMatcher 这个用来拦截退出请求的 URL
  2. LogoutHandler handler 用来处理退出的具体逻辑
  3. LogoutSuccessHandler logoutSuccessHandler 退出成功后执行的逻辑

我们通过对以上三个接口的实现就能实现我们自定义的退出逻辑。

3.2 LogoutConfigurer

我们一般不会直接操作 LogoutFilter ,而是通过 LogoutConfigurer 来配置 LogoutFilter。 你可以通过 HttpSecurity#logout() 方法来初始化一个 LogoutConfigurer 。 接下来我们来实战操作一下。

3.2.1 实现自定义退出登录请求URL

LogoutConfigurer 提供了 logoutRequestMatcher(RequestMatcher logoutRequestMatcher)、logoutUrl(Sring logoutUrl) 两种方式来定义退出登录请求的 URL 。它们作用是相同的,你选择其中一种方式即可。

3.2.2 处理具体的逻辑

默认情况下 Spring Security 是基于 Session 的。LogoutConfigurer 提供了一些直接配置来满足你的需要。如下:

  • clearAuthentication(boolean clearAuthentication) 是否在退出时清除当前用户的认证信息
  • deleteCookies(String... cookieNamesToClear) 删除指定的 cookies
  • invalidateHttpSession(boolean invalidateHttpSession) 是否移除 HttpSession

如果上面满足不了你的需要就需要你来定制 LogoutHandler 了。

3.2.3 退出成功逻辑

  • logoutSuccessUrl(String logoutSuccessUrl) 退出成功后会被重定向到此 URL ,你可以写一个Controller 来完成最终返回,但是需要支持 GET 请求和 匿名访问 。 通过 setDefaultTargetUrl 方法注入到 LogoutSuccessHandler
  • defaultLogoutSuccessHandlerFor(LogoutSuccessHandler handler, RequestMatcher preferredMatcher) 用来构造默认的 LogoutSuccessHandler 我们可以通过添加多个来实现从不同 URL 退出执行不同的逻辑。
  • LogoutSuccessHandler logoutSuccessHandler 退出成功后执行的逻辑的抽象根本接口。

3.3 Spring Security 退出登录实战

现在前后端分离比较多,退出后返回json。 而且只有用户在线才能退出登录。否则不能进行退出操作。我们采用实现 LogoutHandler 和 LogoutSuccessHandler 接口这种编程的方式来配置 。退出请求的 url 依然通过 LogoutConfigurer#logoutUrl(String logoutUrl)来定义。

3.3.1 自定义 LogoutHandler

默认情况下清除认证信息 (invalidateHttpSession),和Session 失效(invalidateHttpSession) 已经由内置的SecurityContextLogoutHandler 来完成。我们自定义的 LogoutHandler 会在SecurityContextLogoutHandler 来执行。

@Slf4j

public class CustomLogoutHandler implements LogoutHandler {

@Override

public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {

User user = (User) authentication.getPrincipal();

String username = user.getUsername();

log.info("username: {} is offline now

weixin_39657662
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html中退出登录怎么写,Django HTML表单实现用户登录退出(含源码)
weixin_34902900的博客
05-31 1905
在上一节中,我们实现了用户注册功能,在本节将继续介绍,如何使用 Django 实现用户的登录以及退出功能,希望大家通过这两节内容的学习,学会总结思路,把这个开发功能的过程反复练习,这样才能够更好的理解 Django 框架,而且在以后 Web 开发的道路上也会对自己大有裨益。1. HTML表单实现用户的登录通过前一节的学习,通过 HTML 表单并不难实现用户的登录功能,那么大家先思考一下,用户登录的...
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1296
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
springsecurity允许session并行登录_结合Spring Security进行web应用会话安全管理
weixin_39849894的博客
12-08 471
结合Spring Security进行web应用会话安全管理在本文中,将为大家说明如何结合Spring Security 管理web应用的会话。如果您阅读后觉得本文对您有帮助,期待您能关注、转发!您的支持是我不竭的创作动力!一、Spring Security创建使用session的方法Spring Security提供4种方式精确的控制会话的创建:always:如果当前请求没有session存在,...
在Spring Security框架中禁用Session
test1372965955的博客
05-06 971
【代码】在Spring Security框架中禁用Session
Spring-Security 控制用户并发登入,并剔除前一个用户
zhouzhiwengang的专栏
07-16 4101
本文参考至:https://blog.csdn.net/xusanhong/article/details/53260373 添加该功能是在原有功能上新增功能:SpringBoot +SpringSecurity+mysql 实现用户数据权限管理 spring-security 配置文件:添加用户并发登入的数量,session 失效跳转地址,实例化session 内存存储对象。 pack...
html退出登录_退出登录 0152
weixin_33464176的博客
01-20 1796
用户只需要向 Spring Security 项目中发送/logout 退出请求即可。1 退出实现实现退出非常简单,只要在页面中添加/log<a href="/logout">退出登录</a>为了实现更好的效果,通常添加退出的配置。默认的退出 url 为/logout,退出成功后跳转到/login?logout如果不希望使用默认值,可以通过下面的方法进行修改。http.lo...
spring-security实现定义登录认证.rar
05-21
本资源“spring-security实现定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
基于Java Spring Security的关注微信公众号即登录的设计与实现源码.zip
最新发布
12-15
基于Java Spring Security的关注微信公众号即登录的设计与实现源码.zip基于Java Spring Security的关注微信公众号即登录的设计与实现源码.zip基于Java Spring Security的关注微信公众号即登录的设计与实现源码.zip ...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
js实现用户离开页面前提示是否离开此页面的方法(包括浏览器按钮事件)
01-19
本文实例讲述了js实现用户离开页面前提示是否离开此页面的方法(包括浏览器按钮事件)。分享给大家供大家参考。具体如下: 用户离开页面前,提示是否离开此页面(包括浏览器按钮事件) [removed] [removed] = function(){ return 您的文章尚未保存!; } [removed] 如果在退出页面时需要弹出对话框,提示用户将要退出页面,类似当设置某个功能时而没有保存页面。这个实现的方法比较简单,最常见的就是使用unload事件,但这种实现有一个缺点,就是不管同意与否,结果还是一样,会退出页面,因此,
spring security定义登录页面
08-29
Spring Security定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Security禁用session
Xjzzon的博客
10-20 6688
JWT简介 一个JWT实际上是由三个部分组成:header(头部)、payload(载荷)和signature(签名)。 Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是这样子: { "alg": "HS256", "typ": "JWT" } 上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS...
spring security登录动态配置方案2
weixin_34037173的博客
11-26 905
序 之前有篇文章讲了怎么进行免登录动态配置的方案,动用了反射去实现,有点黑魔法的味道,这里再介绍另外一种方案 permitAll spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/conf...
java求禁止登录_java – 如何禁用spring-security登录界面?
weixin_39692830的博客
03-02 723
我正在使用spring-boot-starter-security依赖项来使用spring-security附带的几个类.但是,由于我想将它集成到现有的vaadin应用程序中,我只想使用这些类,而不是使用spring的默认login / auth屏幕.如何禁用此屏幕?我不能通过扩展WebSecurityConfigurerAdapter来进行任何配置,因为我的主入口类已经扩展了SpringBoot...
使用djangorestframework和simplejwt进行基于角色的身份验证和授权
weixin_26755331的博客
08-18 1024
Authentication and Authorization are two difficult concepts in programming. Lucky for us, Django makes our lives super easy and handles those things for us. 身份验证和授权是编程中的两个困难概念。 对于我们来说幸运的是,Django使我们的生活...
html退出登录,JSP简单实现登录和注销
weixin_42572134的博客
06-08 1032
JSP简单实遇新是直朋能到分览支体调现登录和注销需用能境战求道,重件开又是正易里是了些之框求:用户登录成功后跳转到欢迎页求圈分件圈浏第用代是水刚道。的它还面用户登录失败跳转到初始的登录界面用户点击注销,用户退出登录状态需要重新登录登录页面的JSP代码比抖朋要插支一圈不者地:登录页面用户名:密码:处理登录的JSP代码比抖朋要插支一圈不者地:String password=request.getPar...
SpringSecurity学习(二)忽略静态请求,自定义登陆页面,密码加密
周帅傅
06-09 1071
忽略静态请求 1、 @Override protected void configure(HttpSecurity http) throws Exception { http //指令请求 .authorizeRequests() //满足以下路径的无条件允许访问 .antMatchers("/css/**", "/js/**", "/fonts/**").permitAll()
使用 Spring Session 与 Spring security 完成网站登录改造.docx
06-26
本文档探讨了如何使用Spring Session和Spring Security对一个网站进行登录功能的改造,以便实现后端集中式Session存储,并提高系统的安全性。首先,作者指出在不依赖框架的情况下,手动实现后端Session集中存储需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值