Spring Security/logout请求默认跳转到/login?logout解决方案

已于 2023-03-24 16:28:50 修改
阅读量2.3k 收藏 4
点赞数 2
文章标签: spring java spring boot
于 2023-03-03 00:19:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55658418/article/details/129311394
版权

今天用Spring Security写退出登录请求的时候发现怎么弄都匹配不到自己写的/logout请求,反而是会重定向到/login?logout,搜索了一下发现是因为Spring Security默认的退出登录路径也是/logout,这就导致Spring Security不会走自己定义的/logout请求处理,而是走默认的。

解决方案

对于这种情况有两者办法,分别如下:

重新设置退出登录重定向的url

我们可以在security的配置类中这样配置httpSecurity对象:

@Bean
@SuppressWarnings("all")
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
	return http
	 		.logout()
			.logoutSuccessUrl("需要重定向的url")
			.and()
			.build();
}

这种方法其实并不能解决退出登录后重定向的问题,只是控制退出登录成功后重定向的页面位置,还是会重定向。

自定义LogoutSuccessHandler

我们可以在security的配置类中这样配置HttpSecurity对象:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	return http
			.logout()
			.permitAll()
			.logoutSuccessHandler((httpServletRequest, httpServletResponse, authentication) -> {
			   	// 成功退出登录后返回200状态码
			    // httpServletResponse.setStatus(HttpServletResponse.SC_OK);
			    // 成功退出登录后的需要执行的代码写在这
			})
			.and()
			.build();
}

自定义LogoutSuccessHandler后,成功退出登录就会走我们自定义的handler,而不会重定向了。

关于Spring Security默认的退出登录

上面两个方法其实都只是解决退出登录后重定向的问题,如果你根本就不想走Spring Security默认的退出登录处理,可以直接这样设置:

	@Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http
                // 关闭默认注销接口
                .logout().disable()
                .build();
    }

Spring Security提供的/logout做了什么

我们不想走Spring Security默认提供的退出登录处理是因为它可能和我们实际业务并不相符,可能在执行退出登录时还要执行很多别的逻辑,Spring Security默认提供的不一定覆盖得到,不过默认提供的退出登录接口究竟做了什么呢?

application.yml中设置如下,开启Spring Security的日志功能:

logging:
  level:
    org:
      springframework:
        security: DEBUG

然后通过走默认提供的退出登录接口,可以看到控制台打印如下:

可以看到默认的退出登录接口做了清空SecurityContext等等操作。其实直接查看logout(Customizer<LogoutConfigurer<HttpSecurity>> logoutCustomizer)的源码注释,会发现官方在注释中给出了详细说明:

关于Spring Security的默认登录页

了解完了Spring Security对/logout请求的默认操作,不妨再来了解一下/login的默认操作。

有时候我们会发现请求/login时也会自动跳转到Spring Security提供的登录页,这是为什么呢?其实这是因为DefaultLoginPageGeneratingFilterDefaultLogoutPageGeneratingFilter两个filter导致的,如果我们没有配置httpSecurity对象,那么就会用Spring Security自己提供的httpSecurity对象,这个时候就会多配置一些filter,包括UsernamePasswordAuthenticationFilter这个filter,如果我们不取消这个filter,那么其实默认认证登录是不会去数据库里查的。而当我们注入了自己的httpSecurity对象时,就会发现默认的这些filter没有了,也不会出现默认的登录页了。

查看当前应用所有的filter

通过下面方式可以方便查看当前应用所有的filter:

@SpringBootApplication
public class SpringSecurityTokenApplication {

    public static void main(String[] args) {
        ConfigurableApplicationContext run = SpringApplication.run(SpringSecurityTokenApplication.class, args);
        // 对这一行进行断点调试 查看run对象 
        // 再通过run.getBean(DefaultSecurityFilterChain.class)这段代码就可以看到所有的filter
        System.out.println();
    }
}

参考链接

了解这些东西时主要参考了这两个链接:

  1. Spring Security中如何禁止/logout重定向?
  2. 怎么禁止Spring Security/logout的重定向
Ninja88!
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
session timeout/logout using php and AJAX :
02-21
session timeout/logout using php and AJAX :
Laravel 自动生成验证的实例讲解:login / logout
10-16
今天小编就为大家分享一篇Laravel 自动生成验证的实例分析:login / logout,具有好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
wordpress插件pro版本 inactive-logout-addon-2.4.0-n.zip
最新发布
12-24
您是否要自动登出长期不操作(非活跃)的WordPress用户?作为安全意识强的网站管理员,您可能要强制不活动的用户再次登录。 银行网站和APP已经使用此技术来避免未经授权的用户访问帐户或劫持它们。您也可以在自己的WordPress网站上实现此功能,以提高安全性。 使用 Inactive Logout 插件可以自动终止非活跃的用户会话,从而在用户离开无人参与的会话时保护站点。 该插件非常易于配置和使用。安装并激活插件后,只需从插件设置中配置空闲超时即可。然后,现在任何长时间无操作的WordPress用户会话都将自动终止。您还可以显示一条自定义消息,提醒他们该会话即将结束。
springsecurity_logout.rar
04-08
SpringSecurity原生的logout实现功能,具体讲解可参考: https://blog.csdn.net/u012329294/article/details/105382239
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
为什么登出网页浏览器重定向到/login?logout
Longhaicn的博客
11-02 415
1.检查js跳转逻辑,确认前端页面逻辑正常;如果不需要,直接删除即可解决问题;在项目网页点击logout。2.检查拦截器是否有问题;
spring security logout(spring security登出示例)
u012156496的博客
12-01 1万+
**spring security logout(spring security登出示例)** 在学习实现spring security登出的时候发现了一篇外文,感觉写的挺好,这里斗胆尝试翻译出来,原文链接:http://websystique.com/spring-security/spring-security-4-logout-example/翻译如下: 这篇文章的是展示如何通过编码的方式
Spring Security Logout
白石的专栏
12-05 1382
本文建立在我们的[表单登录教程](https://www.baeldung.com/spring-security-login)之上,将重点关注如何**使用 Spring Security 配置注销**。
asp登录页面跳转到注册页面_SpringBoot项目访问任意接口都跳转login登录页面
weixin_39753791的博客
11-26 563
在创建SpringBoot项目时,勾选Spring Security依赖,会在Maven中导入Spring Security。 org.springframework.boot spring-boot-starter-security这个依赖中有一个登陆拦截器,SpringBoot项目访问任意接口(页面)都跳转login登录页面这是Spring为我们做的安全认证机制,访问项目时会跳转到登录页...
SpringSecurity过滤器分析
04-03 260
无怪网友大多说SpringSecurity使用成本高,但是价值不大,许多功能看起来很鸡肋,添加的过滤器有点多,从一些过滤器来看,有前后端不分离时代的味道。本人配置的SpringSecurity,几乎没剩下什么了,自己写几个Filter估计也不是太难,网友诚不欺我。
Spring Security3源码分析-LogoutFilter分析
Dead_Knight的专栏
05-06 375
LogoutFilter过滤器对应的类路径为 org.springframework.security.web.authentication.logout.LogoutFilter 通过这个类的源码可以看出,这个类有两个构造函数 [code="java"] public LogoutFilter(LogoutSuccessHandler logoutSuccessHandler, ...
SpringSecurity默认过滤器链解析之LogoutFilter(十)
欢谷悠扬
07-09 800
1.LogoutFilter 退出登录处理器 这个其实就是个专门处理退出登录请求的处理器, 默认的退出登录请求是/logout 。当然你也能自定义的。在继承WebSecurityConfigurerAdapter后重写configure(HttpSecurity http)方法,在这个方法里可以配置。 至于如何配置,网上很多,我这里就不讲了~ 源码解析: public void doFilter(ServletRequest req, ServletResponse res, FilterChain c
[5] LogoutFilter
既无风雨也无晴
03-11 2万+
LogoutFilter 介绍 LogoutFilter是一个登出过滤器,当请求经过LogoutFilter时,过滤器会请判断当前请求的URL是否是登出URL,如果匹配,就执行遍历执行登出handlers。默认情况下,会清空SecurityContextHolder的身份认证信息,以及发送一个登出成功的事件。 代码分析 我们首先看一下LogoutFilter的构造器,代码如下: public ...
SpringSecurity如何处理logout注销操作
console的博客
05-06 2167
当使用`WebSecurityConfigurerAdapter`时,会自动应用注销功能。默认情况下,访问URL `/logout`将通过以下方式注销用户:
spring-boot3 重定向(状态码:302)问题(无论访问那个接口都会被重定向到 【/login】登录界面)
前端、python爱好者
06-16 3596
今天使用spring-boot做了热重载以后出现了一个问题,我无论访问那个接口都会导致接口被重定向到下面这个界面 地址是 :“localhost:/login
前后端分离 Spring Security 对登出.logout()的处理
As_zyh的博客
02-18 2108
前端axios发出的post请求如下 logout() { this.axios.post(this.tools.serverAddr+'/logout') .then(function () { this.$message({ message: "注销成功", type: 'success', duration: 1000 });
spring security起步四:退出登录配置以及logout属性详解
热门推荐
小鱼儿的专栏
07-15 4万+
用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.用户退出功能实现增加hader.jsp<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="htt
史上最简单的Spring Security教程(六):用户登出
银河架构师的博客
07-01 3608
既然有用户登录,势必就会有用户登出,Spring Security也提供了比较详细的登出配置。 其实,之前的程序中,依然支持用户登出,不知道有人点过退出登录按钮没有,结果是404。其实,原因也很简单,我们的退出登录按钮使用超链接实现的,而超链接是 GET 方式请求的,在Spring Security用户登出配置中,CSRF默认是开启的,并没有关闭,不支持 GET 类型的用户登出请求。因此,就会抛出404的错误码。 ...... if (http.getConfigurer(...
springsecurity登录成功跳转
05-26
Spring Security中,可以通过配置实现登录成功后的跳转,具体步骤如下: 1. 配置登录页面 在Spring Security的配置文件中,配置登录页面,例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .permitAll(); } ``` 这里的`loginPage("/login")`表示登录页面的URL是`/login`,`.defaultSuccessUrl("/home")`表示登录成功后跳转到`/home`页面。 2. 配置登录成功处理器 在Spring Security的配置文件中,配置登录成功处理器,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .successHandler(loginSuccessHandler()) // 配置登录成功处理器 .permitAll() .and() .logout() .permitAll(); } @Bean public AuthenticationSuccessHandler loginSuccessHandler(){ return new AuthenticationSuccessHandler() { @Override public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException { httpServletResponse.sendRedirect("/home"); // 登录成功后跳转到/home页面 } }; } } ``` 这里的`successHandler(loginSuccessHandler())`表示在登录成功后调用一个名为`loginSuccessHandler`的Bean,该Bean是一个实现了`AuthenticationSuccessHandler`接口的类,在其`onAuthenticationSuccess`方法中实现登录成功后的跳转。 以上就是在Spring Security中实现登录成功后跳转的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值