Spring Security Logout

最新推荐文章于 2024-07-08 10:19:59 发布
最新推荐文章于 2024-07-08 10:19:59 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring java 前端
原文链接:https://www.baeldung.com/security-spring
版权

1. 概述

本文建立在我们的表单登录教程之上,将重点关注如何使用 Spring Security 配置注销

2. 基本配置

使用logout()方法的Spring Logout 功能的基本配置非常简单:

@Configuration
@EnableWebSecurity
public class SecSecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
          //...
          .logout()
          //...
   }
   //...
}

和 XML 版本:

<http>

    ...    
    <logout/>

</http>

该元素启用默认注销机制——配置为使用以下注销 url:/logout. 在Spring Security 4之前是 /j_spring_security_logout

3. JSP 和 注销链接

继续这个简单的例子,在 Web 应用程序中提供注销链接的方法是:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
   <head></head>
   <body>
      <a href="<c:url value="/logout" />">Logout</a>
   </body>
</html>

4. 高级定制

4.1. logoutSuccessUrl()

注销过程执行成功后,Spring Security 会将用户重定向到指定页面。默认情况下,这是根页面(“/”),但这是可配置的:

//...
.logout()
.logoutSuccessUrl("/afterlogout.html")
//...

这也可以使用 XML 配置来完成:

<logout logout-success-url="/afterlogout.html" />

根据应用程序,一个好的做法是将用户重定向回登录页面:

//...
.logout()
.logoutSuccessUrl("/login.html")
//...

4.2. logoutUrl()

与 Spring Security 中的其他默认值类似,实际触发注销机制的 URL 也有一个默认值 - /logout

然而,改变这个默认值是一个好主意,以确保没有发布关于使用什么框架来保护应用程序的信息:

.logout()
.logoutUrl("/perform_logout")

和 XML 版本:

<logout 
  logout-success-url="/anonymous.html" 
  logout-url="/perform_logout" />

4.3. invalidateHttpSession 和 deleteCookies

这两个高级属性控制会话失效,以及在用户注销时要删除的cookie列表。因此,invalidateHttpSession允许设置会话,以便在注销发生时它不会失效(默认情况下为true)。

deleteCookies 方法也很简单:

.logout()
.logoutUrl("/perform_logout")
.invalidateHttpSession(true)
.deleteCookies("JSESSIONID")

和 XML 版本:

<logout 
  logout-success-url="/anonymous.html" 
  logout-url="/perform_logout"
  delete-cookies="JSESSIONID" />

4.4. logoutSuccessHandler()

对于更高级的场景,命名空间不够灵活,可以用自定义引用替换 Spring 上下文中的LogoutSuccessHandler bean:

@Bean
public LogoutSuccessHandler logoutSuccessHandler() {
    return new CustomLogoutSuccessHandler();
}

//...
.logout()
.logoutSuccessHandler(logoutSuccessHandler());
//...

等效的 XML 配置是:

<logout 
  logout-url="/perform_logout"
  delete-cookies="JSESSIONID"
  success-handler-ref="customLogoutSuccessHandler" />

...
<beans:bean name="customUrlLogoutSuccessHandler" />

任何需要在用户成功注销时运行的自定义应用程序逻辑都可以使用自定义注销成功处理程序来实现。例如——一个简单的审计机制跟踪用户在触发注销时所在的最后一页:

public class CustomLogoutSuccessHandler extends 
  SimpleUrlLogoutSuccessHandler implements LogoutSuccessHandler {

    @Autowired 
    private AuditService auditService; 

    @Override
    public void onLogoutSuccess(
      HttpServletRequest request, 
      HttpServletResponse response, 
      Authentication authentication) 
      throws IOException, ServletException {
 
        String refererUrl = request.getHeader("Referer");
        auditService.track("Logout from: " + refererUrl);

        super.onLogoutSuccess(request, response, authentication);
    }
}

📝注意: 此自定义 bean 有责任确定用户在注销后被定向到的目的地。因此,将logoutSuccessHandler属性与logoutSuccessUrl配对是行不通的,因为两者都包含相似的功能。

5. 结论

在此示例中,我们首先使用 Spring Security 设置一个简单的注销示例,然后我们讨论了更高级的可用选项。

这个 Spring Logout 教程的实现可以在GitHub 项目中找到——这是一个基于 Eclipse 的项目,所以应该很容易导入和运行。

当项目在本地运行时,可以在以下位置访问示例 HTML:

http://localhost:8080/spring-security-mvc-login/login.html

爱游泳的老白
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity-autologout:Java配置和XML配置Spring Security登录和自动注销实现
05-26
springsecurity自动注销 Java配置和XML配置Spring Security登录和自动注销实现 该存储库具有使用开发的Spring项目 JDK 8 org.springframework-version-5.1.8.RELEASE spring-security.version-5.1.5.RELEASE hibernate.version-5.4.3。最终版 apache-tiles-version-3.0.5 logback.version-1.2.3 这些项目主要设计为用作具有以下关键功能的入门模板。 Spring MVC,具有jdbc身份验证和自动注销功能的Spring安全性,该功能在会话即将到期时显示计时器,还有助于用户在会话超时计时器显示在标头中之后保持会话保持活动状态。 它将避免丢失填写的表单,如果会话在提交表单之前过期,则该表单将丢失。 Apac
springsecurity_logout.rar
04-08
SpringSecurity中,登出(logout)功能是应用中不可或缺的一部分,它允许用户安全地结束当前会话,清除相关认证信息。下面将详细探讨如何使用SpringSecurity的原生logout功能,并结合给定的链接资源进行讲解。 ...
spring security logout(spring security登出示例)
u012156496的博客
12-01 1万+
**spring security logout(spring security登出示例)** 在学习实现spring security登出的时候发现了一篇外文,感觉写的挺好,这里斗胆尝试翻译出来,原文链接:http://websystique.com/spring-security/spring-security-4-logout-example/翻译如下: 这篇文章的是展示如何通过编码的方式
SpringSecurity中文文档(Servlet Logout Authentication Events)
最新发布
znjy111的博客
07-08 856
在终端用户可以登录的应用程序中,他们也应该能够注销。默认情况下,Spring Security 支持一个/logout 端点,因此不需要额外的代码。
10. Spring Security 退出登录logout
一个人的人生
11-29 3034
要实现退出登录的功能我们需要在http元素下定义logout元素,这样Spring Security将自动为我们添加用于处理退出登录的过滤器LogoutFilter到FilterChain。当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的,此时我们默认退出登录的URL为“/j_spring_security_logout”,可以通过logout元素的l
Spring Security 3》 【第三章】增强用户体验(2)
小糊涂蛋大糊涂神的专栏
08-03 991
Spring Security 3》 【第三章】增强用户体验(2) 摘要: 术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。 理解退出功能 术语退出(Logout
Spring Security(十):登出Logout
人不风流枉少年
05-26 1万+
退出处理逻辑 使当前session失效 清楚与当前用户相关的remember-me记录 清空当前的SecurityContext 重定向到登录页 http.csrf().disable() .antMatchers("/login", "/session/invalid", "/logout", "/signOut").permitAll() .logout() .logoutUrl(...
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
springSecurity.zip
06-23
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。它是Spring生态系统的一部分,提供了一套完整的安全解决方案,包括登录、授权、会话管理、CSRF防护等功能。本...
SpringSecurity 基础案例
09-05
SpringSecurity 是一个强大的安全框架,主要用于Java Web应用的安全管理。在SpringBoot中集成SpringSecurity,可以轻松实现用户认证和授权,提供对Web应用的全面保护。在这个基础案例中,我们将探讨如何利用Spring...
Spring Security退出登录
Yestar123456的博客
12-27 582
Spring Security默认的退出登录URL为/logout,退出登录后,Spring Security会做如下处理: 是当前的Sesion失效; 清除与当前用户关联的RememberMe记录; 清空当前的SecurityContext; 重定向到登录页。 Spring Security允许我们通过配置来更改上面这些默认行为。 自定义退出登录行为 ...
spring security logout
learnTech的专栏
06-27 1409
1)
Spring Security笔记:自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken
weixin_33907511的博客
08-03 254
在前面的学习中,配置文件中的&lt;http&gt;...&lt;/http&gt;都是采用的auto-config="true"这种自动配置模式,根据Spring Security文档的说明: ------------------ auto-config Automatically registers a login form, BASIC authentication, logout se...
spring security起步四:退出登录配置以及logout属性详解
热门推荐
小鱼儿的专栏
07-15 5万+
用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.用户退出功能实现增加hader.jsp<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="htt
Springboot整合SpringSecurity 04-启用登出logout功能
枫林晚丶的博客
09-12 1万+
Springboot整合SpringSecurity 04-启用登出logout功能 前面Springboot整合SpringSecurity 02-使用自定义登陆页面我们讲过了SpringSecurity的登陆功能。 本章我们继续讲解如何实现登出功能。 1.提供一个登出界面 我们在templates目录下面新建一个logout.html <!DOCTYPE HTML> <htm...
spring-security】/j_spring_security_logout 404
MichaelJY1991的专栏
12-28 2069
场景: 使用spring-security时,请求/j_spring_security_logout报http404 原因: spring-security4.x版本需要自己手动在logout标签加上logout-url=“/j_spring_security_logoutspring-security3.x版本不需要手动加,spring-security默认处理 解决:
http.authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin().loginPage("/login").defaultSuccessUrl("/dashboard").permitAll() .and() .logout().logoutUrl("/logout").permitAll();含义
06-06
这段代码是 Spring Security 配置文件的一部分,用于配置应用程序的安全性。下面是每个部分的含义: 1. http.authorizeRequests(): 这个方法告诉 Spring Security 对请求进行授权。 2. .antMatchers("/login").permitAll(): 这个方法指定了一个 antMatcher,它告诉 Spring Security 对以 /login 开头的 URL 不需要认证,即可以被所有用户访问。 3. .anyRequest().authenticated(): 这个方法指定了除了 /login 开头的 URL 之外的所有 URL 都需要认证,即只有经过认证的用户才能访问。 4. .and(): 这个方法用于链接多个配置。 5. .formLogin().loginPage("/login").defaultSuccessUrl("/dashboard").permitAll(): 这个方法配置了表单登录,指定了登录页面、默认成功页面和所有用户都可以访问登录页面。 6. .and(): 这个方法用于链接多个配置。 7. .logout().logoutUrl("/logout").permitAll(): 这个方法配置了登出功能,指定了登出 URL 和所有用户都可以访问登出页面。 这些配置可以确保只有经过认证的用户才能访问除了 /login 开头的 URL 之外的其他所有 URL,同时还配置了表单登录和登出功能。表单登录可以让用户使用用户名和密码登录,而登出功能可以让用户安全地退出应用程序。此外,还指定了登录页面和默认成功页面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值