springsecurity的退出登录/注销流程

最新推荐文章于 2024-04-25 15:22:29 发布
最新推荐文章于 2024-04-25 15:22:29 发布
阅读量2.1k 收藏 7
点赞数 1
分类专栏: springsecurity 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44837750/article/details/120433507
版权

文章目录

前言

首先找到LogoutFilter类,然后在doFilter方法的第一行打上断点,然后再浏览器进行退出操作,就可以开始springsecurity的退出逻辑了。

一、LogoutFilter中的doFilter方法

public class LogoutFilter extends GenericFilterBean {

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		//先过去request和response域,在此处打上断点
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		//方法名称叫需要注销,意思是请求URL是否为 /logout,如果是则进入if退出逻辑
		if (requiresLogout(request, response)) {
			//首先获取到上下文的Authentication认证对象
			Authentication auth = SecurityContextHolder.getContext().getAuthentication();

			if (logger.isDebugEnabled()) {
				logger.debug("Logging out user '" + auth
						+ "' and transferring to logout destination");
			}
			
			//this.handle=CompositeLogoutHandler,用这个处理器进行退出的操作,进入该方法
			this.handler.logout(request, response, auth);
			//最后用到logoutSuccessHandler处理退出成功的逻辑,如果我们不实现退出成功的处理器
			//默认使用SimpleUrlLogoutSuccessHandler,进入这个方法
			logoutSuccessHandler.onLogoutSuccess(request, response, auth);

			return;
		}

		chain.doFilter(request, response);
	}

}

二、doFilter方法中的this.handler.logout(request, response, auth)方法

public final class CompositeLogoutHandler implements LogoutHandler {
	//这个处理器中还包含了其他的LogoutHandler,如果没有自定义退出处理器的情况下一共会有三个退出处理器
	private final List<LogoutHandler> logoutHandlers;
	
`	@Override
	public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
		for (LogoutHandler handler : this.logoutHandlers) {
			//遍历logoutHandlers列表,处理退出逻辑,进入这个方法
			handler.logout(request, response, authentication);
		}
	}
}

在这里插入图片描述

1.第一个Logout类PersistentTokenBasedRememberMeServices

public class PersistentTokenBasedRememberMeServices extends AbstractRememberMeServices {

	private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();

	@Override
	public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		//首先调用了父类AbstractRememberMeServices的logout方法,进入该方法
		super.logout(request, response, authentication);

		if (authentication != null) {
			//方法名称叫移除用户令牌,进入该方法
			//tokenRepository默认是InMemoryTokenRepositoryImpl,如果使用jdbc存储用户信息,
			//这里就是JdbcTokenRepositoryImpl
			tokenRepository.removeUserTokens(authentication.getName());
		}
	}

}

public abstract class AbstractRememberMeServices implements RememberMeServices,
		InitializingBean, LogoutHandler {
	
	public static final String SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY = "remember-me";
	private String cookieName = SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY;
	
	//进入父类的logout方法
	@Override
	public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		if (logger.isDebugEnabled()) {
			logger.debug("Logout of user "
					+ (authentication == null ? "Unknown" : authentication.getName()));
		}
		//删除cookie的方法,进入
		cancelCookie(request, response);
	}

	
		protected void cancelCookie(HttpServletRequest request, HttpServletResponse response) {
		logger.debug("Cancelling cookie");
		//它新建了一个cookie,cookieName的值就是remember-me
		Cookie cookie = new Cookie(cookieName, null);
		//设置存活时间为0,这是删除cookie的做法
		cookie.setMaxAge(0);
		//这里设置删除cookie的路径
		/*private String getCookiePath(HttpServletRequest request) {
		String contextPath = request.getContextPath();
		return contextPath.length() > 0 ? contextPath : "/";
		}*/
		cookie.setPath(getCookiePath(request));
		if (cookieDomain != null) {
			cookie.setDomain(cookieDomain);
		}
		if (useSecureCookie == null) {
			cookie.setSecure(request.isSecure());
		}
		else {
			cookie.setSecure(useSecureCookie);
		}
		//给response添加cookie就实现删除cookie了
		response.addCookie(cookie);
	}
}


public class JdbcTokenRepositoryImpl extends JdbcDaoSupport implements
		PersistentTokenRepository {
		
public static final String DEF_REMOVE_USER_TOKENS_SQL = "delete from persistent_logins where username = ?";
private String removeUserTokensSql = DEF_REMOVE_USER_TOKENS_SQL;
		public void removeUserTokens(String username) {
		//这里的removeUserTokensSql就是删除数据库表persistent_logins中username为我们退出的用户的username的行
		getJdbcTemplate().update(removeUserTokensSql, username);
		
	}

}

2.第二个Logout类SecurityContextLogoutHandler

public class SecurityContextLogoutHandler implements LogoutHandler {

		private boolean invalidateHttpSession = true;
		private boolean clearAuthentication = true;

		public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		Assert.notNull(request, "HttpServletRequest required");
		if (invalidateHttpSession) {
			//从request域中获取session
			HttpSession session = request.getSession(false);
			if (session != null) {
				logger.debug("Invalidating session: " + session.getId());
				//让session无效
				session.invalidate();
			}
		}

		if (clearAuthentication) {
			//获取上下文
			SecurityContext context = SecurityContextHolder.getContext();
			//将上下文中存储的Authentication对象设为null
			context.setAuthentication(null);
		}
		//使用SecurityContextHolder工具类清除上下文
		SecurityContextHolder.clearContext();
	}
	
}

3.第三个Logout类SecurityContextLogoutHandler

public final class LogoutSuccessEventPublishingLogoutHandler implements LogoutHandler, ApplicationEventPublisherAware {

	@Override
	public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
		if (eventPublisher == null) {
			return;
		}
		if (authentication == null) {
			return;
		}
		//发布一些事件信息,跳过
		eventPublisher.publishEvent(new LogoutSuccessEvent(authentication));
	}

}

三、doFilter方法中的logoutSuccessHandler.onLogoutSuccess(request, response, auth)方法

public class SimpleUrlLogoutSuccessHandler extends
		AbstractAuthenticationTargetUrlRequestHandler implements LogoutSuccessHandler {

	public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		//调用了父类AbstractAuthenticationTargetUrlRequestHandler来进行处理,进入这个方法
		super.handle(request, response, authentication);
	}

}


public abstract class AbstractAuthenticationTargetUrlRequestHandler {


	protected void handle(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		//方法的名称是确定目标url,最终得到的路径是targetUrl = /login.html?logout
		String targetUrl = determineTargetUrl(request, response, authentication);

		if (response.isCommitted()) {
			logger.debug("Response has already been committed. Unable to redirect to "
					+ targetUrl);
			return;
		}
		//利用DefaultRedirectStrategy来进行页面的重定向
		redirectStrategy.sendRedirect(request, response, targetUrl);
	}
	
}

public class DefaultRedirectStrategy implements RedirectStrategy {

	public void sendRedirect(HttpServletRequest request, HttpServletResponse response,
			String url) throws IOException {
		//如果配置文件写了ContextPath,会组合
		String redirectUrl = calculateRedirectUrl(request.getContextPath(), url);
		redirectUrl = response.encodeRedirectURL(redirectUrl);

		if (logger.isDebugEnabled()) {
			logger.debug("Redirecting to '" + redirectUrl + "'");
		}
		//最终使用了response来进行重定向页面到/login.html?logout
		//至此退出操作就全部结束了。
		response.sendRedirect(redirectUrl);
	}
	
}

总结

springsecurity的退出功能是一定会用到的,了解一下还是很有必要的。

折纸纸飞机
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security-实现自定义退出登录
西京刀客
02-27 71
一般登录后,服务端会给用户发一个凭证。常见有以下的两种: * 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session * 基于 token 客户端存一个 token 串,服务端会在缓存中存一个用来校验此 token 的信息。
退出登录 - SpringSecurity框架实现用户退出登录-附件资源
03-02
退出登录 - SpringSecurity框架实现用户退出登录-附件资源
日志管理(若依框架)
weixin_41842550的博客
08-24 6132
表设计 登录日志 逻辑:在登录或者退出时创建记录日志的任务,交给线程池执行。 代码分析 注入线程池 bean /** * 执行周期性或定时任务 */ @Bean(name = "scheduledExecutorService") protected ScheduledExecutorService scheduledExecutorService() { return new ScheduledThreadPoolExecutor(corePoolSize, new
SpringSecurity(九)退出管理
lizc_lizc的博客
11-16 644
实现退出 SpringSecurityConfig .and() .logout() .logoutUrl("/user/logout") // .logoutSuccessUrl("") // 设置退出成功后跳转的页面 .logoutSuccessHandler(new LzcLogoutSuccessHandler()) // 设置退出处理器 .and...
登出成功处理器
Leon_Jinhai_Sun的博客
06-08 221
登出
SpringSecurity5-教程2-登出源码分析
zhouwenjun0820的博客
03-21 386
可以看到有两个handler,分别是SecurityContextLogoutHandler和LogoutSuccessEventPublishingLogoutHandler,首先浏览器访问http://localhost:8035/,输入用户名root和密码root完成登录;学习,其实在之前教程中,在FilterChainProxy中看到过LogoutFilter,这个就是默认的登出Filter;可以看到只要是/logout请求,均判断为登出请求;可知默认重定向到/login?
10. Spring Security 退出登录logout
一个人的人生
11-29 3017
要实现退出登录的功能我们需要在http元素下定义logout元素,这样Spring Security将自动为我们添加用于处理退出登录的过滤器LogoutFilter到FilterChain。当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的,此时我们默认退出登录的URL为“/j_spring_security_logout”,可以通过logout元素的l
爆破专栏丨Spring Security系列之前后端分离时的安全处理方案
关注我!带你一路 "狂飙" 到底!
10-26 769
前言 在前面的几个章节中,一一哥带大家学会了如何利用Spring Security来保护我们的Web项目,以及3种认证方式。你可能会觉得,Spring Security没啥东西啊,代码也不复杂呀! 别急,我们的学习是渐进的,Spring Security的内容和功能都多着呢,我们要Get的点也多着呢。 今天 一一哥就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,只能建议你先查阅一下相关资料,本文只能带你简单了解一下前后端分离的概
史上最简单的Spring Security教程(八):用户登出成功LogoutSuccessHandler高级用法
热门推荐
银河架构师的博客
07-01 1万+
​大多数业务场景下,自定义登出成功页面也满足不了一些要求,更别提默认的登出成功页面。这时候,就需要别的方案支持,幸运的是,Spring Security框架还真就非常贴心的提供了这样一个接口LogoutSuccessHandler, 专门用于处理用户登出成功请求。当然了,对于LogoutSuccessHandler接口,Spring Security框架有一些默认的实现,也可以自行扩展。 同用户登录成功的业务场景,在用户登出成功后,我们也要通过邮件、短信、微信,来通知用户,在什么时间,什么...
springBoot整合springSecurity(认证)
qingqingyyds的博客
10-14 2052
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。
记录 Spring Authorization Server配合Spring Gateway授权登陆后重定向错误
a2632699773的博客
10-24 1173
起因 之前理解的授权码模式有误,设计授权接口为需要传入accessToken,修改时因为去掉了传入令牌认证所以添加了默认的表单登陆。 表现 表现为通过网关访问授权接口,重定向到login登陆界面,登陆后无法回到授权接口 分析 a. 因为从网关调用和重定向调用的发起方ip不同,无法共用同一个session,而重定向前的保存的原始request通过RequestCache存在session中,所以无法获取之前原始请求 b. 改为转发后,因为spring security的filterChain默认不支持for
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
基于spring security实现登录注销功能过程解析
08-25
主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 强制退出指定用户的方法
08-27
本篇文章主要介绍了Spring Security 强制退出指定用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Security实现验证码登录功能
08-25
主要介绍了Spring Security实现验证码登录功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mysql-connector-javaspring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 945
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库。
SpringBoot JPA使用
最新发布
gochenguowei的博客
04-25 530
Spring 框架提供的一个模块,用于简化与关系型数据库的交互和数据访问。它基于JPA(Java Persistence API)标准,并提供了一组易于使用的API和工具,帮助开发人员更轻松地进行数据库操作。通过Spring Data JPA,开发人员可以通过编写简洁的代码来执行常见的 CRUD 操作,同时还支持高级查询、分页、事务管理等功能。它的目标是提供一种更简单、更高效的方式来处理数据库操作,减少开发人员的工作量,并提高应用程序的可维护性和可扩展性。
javaweb-SpringBoot基础
kussm_的博客
04-20 1247
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
springsecurity退出登录
06-28
### 回答1: Spring Security退出登录可以通过以下步骤实现: 1. 在Spring Security配置文件中添加logout配置: ``` http.logout() .logoutUrl("/logout") .logoutSuccessUrl("/login") .invalidateHttpSession(true) .deleteCookies("JSESSIONID"); ``` 2. 在Web应用程序中添加一个处理/logout请求的控制器: ``` @Controller public class LogoutController { @RequestMapping(value="/logout", method = RequestMethod.GET) public String logoutPage (HttpServletRequest request, HttpServletResponse response) { Authentication auth = SecurityContextHolder.getContext().getAuthentication(); if (auth != null){ new SecurityContextLogoutHandler().logout(request, response, auth); } return "redirect:/login?logout"; } } ``` 3. 在Web应用程序中添加一个退出登录的链接或按钮,链接到/logout请求: ``` <a href="/logout">退出登录</a> ``` 当用户点击退出登录链接或按钮时,将调用/logout请求,Spring Security将清除用户的身份验证信息并重定向到登录页面。 ### 回答2: Spring Security是一个强大而灵活的安全框架,它可以实现用户管理、认证授权、角色控制等安全功能。在一个Spring应用程序中,我们经常需要为用户提供退出登录的功能,这是保障用户安全的重要措施。在Spring Security中,实现退出登录的方法有以下几种: 1.使用Spring Security提供的logout()方法 Spring Security提供了logout()方法,可以使用户退出登录。可以在Spring Security的配置类里面添加这个方法指定退出登录的URL地址和成功退出登录后的跳转地址: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .logout() .logoutSuccessUrl("/login") // 退出成功后跳转地址 .logoutUrl("/logout"); // 退出请求的URL } } ``` 2.使用Spring MVC的Controller 如果应用程序中使用了Spring MVC,那么我们也可以使用Spring MVC的Controller来实现退出登录功能。可以在Controller里面添加一个映射方法来处理退出登录请求,重定向到登录页面: ``` @Controller public class LogoutController { @GetMapping("/logout") public String logout(HttpServletRequest request) { // 手动注销当前用户 SecurityContextHolder.getContext().setAuthentication(null); // 重定向到登录页面 return "redirect:/login"; } } ``` 3.使用JavaScript实现退出登录 最后一种方法是使用JavaScript来实现退出登录功能。我们可以在页面上添加一个退出登录的按钮,当用户点击按钮时,通过JavaScript代码发送请求来实现退出登录: ``` $('#logout').click(function() { $.post("/logout", function() { window.location.href = "/login"; }); }); ``` 以上三种方法中,第一种方法使用了Spring Security提供的logout()方法来实现退出登录,最为简单快捷;第二种方法使用Spring MVC的Controller来实现退出登录,比较灵活;第三种方法使用JavaScript实现退出登录,可以在前端页面上实现交互。可以根据实际情况选择合适的方法来实现退出登录功能。 ### 回答3: 在Spring Security中,退出登录是一个常见的功能,可以让用户在不需要再次登录的情况下退出应用程序。Spring Security提供了两个默认退出登录的方式:通过URL和通过表单。以下是关于这两种方式的介绍。 通过URL退出登录 通过URL退出登录是最简单的方式。用户可以访问一个指定的URL(通常是/logout)以退出登录Spring Security将会清除已登录的用户的安全上下文,并跳转至指定的URL(通常是登录页面)。 例如,在Spring Boot应用程序中,可以通过添加以下配置来启用URL退出登录: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .logout() // 开启退出登录支持 .logoutUrl("/my/logout") // 自定义退出登录的URL地址 .logoutSuccessUrl("/my/index") // 退出登录后跳转的URL地址 .invalidateHttpSession(true) // 清除session .deleteCookies("JSESSIONID") // 删除cookie .permitAll(); } } ``` 相应地,在页面中,可以通过一个超链接或者一个button来触发退出登录操作: ``` <a href="/my/logout">退出登录</a> <button onclick="location.href='/my/logout'">退出登录</button> ``` 通过表单退出登录 通过表单退出登录需要创建一个HTML表单,并将其提交到指定的URL(通常是/logout)。该表单需要包含一个隐藏字段(CSRF)和一个提交按钮。Spring Security将检测这个表单,并告诉Spring Security配置的LogoutHandler和LogoutSuccessHandler执行退出登录操作。 例如,一个简单的表单可能看起来像这样: ``` <form th:action="@{/logout}" method="post"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <button type="submit">退出登录</button> </form> ``` 在Spring Boot应用程序中,可以通过添加以下配置来启用表单退出登录: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .logout() // 开启退出登录支持 .logoutUrl("/my/logout") // 自定义退出登录的URL地址 .logoutSuccessUrl("/my/index") // 退出登录后跳转的URL地址 .invalidateHttpSession(true) // 清除session .deleteCookies("JSESSIONID") // 删除cookie .permitAll() .csrf() // 开启CSRF保护 .csrfTokenRepository(csrfTokenRepository()) // 自定义CSRF令牌的实现 .and() .addFilterAfter(csrfFilter(), CsrfFilter.class); // 添加到CSRF过滤器之后 } private CsrfTokenRepository csrfTokenRepository() { HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository(); repository.setHeaderName("X-CSRF-TOKEN"); return repository; } private Filter csrfFilter() { return new OncePerRequestFilter() { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { CsrfToken csrfToken = (CsrfToken) request.getAttribute(CsrfToken.class.getName()); if (csrfToken != null) { Cookie cookie = new Cookie("XSRF-TOKEN", csrfToken.getToken()); cookie.setPath("/"); response.addCookie(cookie); } filterChain.doFilter(request, response); } }; } } ``` 需要注意,该表单必须包含CSRF令牌。如果没有包含,Spring Security将拒绝退出登录请求。 总结 Spring Security退出登录是一个常见的功能,可以通过URL和表单两种方式来实现。其中,URL退出登录更简单,而表单退出登录需要更多的配置。在实现退出登录时,还需要注意安全性问题,如CSRF保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值