spring security起步四:退出登录配置以及logout属性详解

最新推荐文章于 2024-04-01 12:00:00 发布
最新推荐文章于 2024-04-01 12:00:00 发布
阅读量4.9w 收藏 18
点赞数 7
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yin380697242/article/details/51921593
版权

用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.

用户退出功能实现

增加hader.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jstl/core"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title></title>
</head>
<body>
    <c:url value="/logout" var="logoutUrl"/>
    <a href="${logoutUrl }">退出系统</a>
</body>
</html>
引入至index.jsp
<body>
    <%@include file="header.jsp" %>
    ...
    ...
    ...
配置spring security logout 属性

spring-security.xml

...
...
<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
    <form-login login-page="/loginPage" login-processing-url="/login"
        always-use-default-target="true" default-target-url="/welcome"
        authentication-failure-url="/loginPage?error=error" />
    <logout logout-url="/logout" logout-success-url="/loginPage" invalidate-session="true"/>
    <csrf disabled="true" />
</http>
...
...

现在我们启动项目,登录成功后可以看到如下页面
这里写图片描述
点击退出登录,会返回到登录页面。

logout 属性详解

  1. logout-url LogoutFilter要读取的url,也就是指定spring security拦截的注销url
  2. logout-success-url 用户退出后要被重定向的url
  3. invalidate-session 默认为true,用户在退出后Http session失效
  4. success-handler-ref 对一个LogoutSuccessHandler的引用,用来自定义退出成功后的操作

这里需要注意的一点是,spring security 3.x默认的注销拦截url为/j_spring_security_logout,而4.x则默认使用/logout

spring security退出功能相关类

spring security实现注销功能涉及的三个核心类为LogoutFilter,LogoutHandler,LogoutSuccessHandler

LoginFilter是实现注销功能的过滤器,默认拦截/logout或者logout属性logout-url指定的url

LogoutHandler接口定义了退出登录操作的方法

void logout(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication);

LogoutSuccessHandler接口定义了注销之后的操作方法

void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException;

它们之间的类结构图:
这里写图片描述

spring security退出功能实现流程

spring security在实现注销功能时,大致流程如下
1. 使得HTTP session失效(如果invalidate-session属性被设置为true);
2. 清除SecurityContex(真正使得用户退出)
3. 将页面重定向至logout-success-url指明的URL。

源码下载地址https://github.com/SmallBadFish/spring_security_demo/archive/0.2.0-logout.zip

小鱼儿Eason
关注
  • 7
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Spring Security-实现自定义退出登录
西京刀客
02-27 71
一般登录后,服务端会给用户发一个凭证。常见有以下的两种: * 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session * 基于 token 客户端存一个 token 串,服务端会在缓存中存一个用来校验此 token 的信息。
SpringSecurity退出功能实现的正确方式(推荐)
08-25
本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。本文通过实例代码讲解的非常详细,具有一定的参考借鉴价值,需要的朋友参考下吧
spring-security-pac4j:用于Spring安全性的pac4j安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
01-29
spring-security-pac4j项目是一个用于Spring Security Web应用程序和Web服务(带有或不带有Spring Boot)的简单而强大的安全性库。 它支持身份验证和授权,还支持会话固定和CSRF保护等高级功能。 它基于Java 8,Spring Security 5和v5 。 它在Apache 2许可下可用。 对于新的Spring Boot或Spring MVC项目,或者如果您打算将整个webapp迁移到pac4j ,则应使用库而不是该库,该库具有类似的功能,但更简单! 代表认证机制。 它执行登录过程并返回用户配置文件。 间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证: ▸OAuth-SAML-CAS-OpenID Connect-HTTP-Google App Engine-Kerberos-LDAP-SQL-JWT-MongoDB-CouchDB-IP地址-REST API 者旨在检查已认证的用户个人资料或当前Web上下文中的授权: ▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-
logout:淘宝登录退出插件
06-08
chrome淘宝登录退出插件 淘宝、天猫活动页很多情况下要求用户必须登录,开发过程中需要反复登录退出很麻烦。 使用登录模块可以快速弹出登录登录,相对简单。 以前退出都是单独打开淘宝页面,再点击退出。过程比较麻烦,所以想到开发小工具实现一键退出。 反复输入账号密码登录也挺麻烦的,以后可能会添加一键登录功能。 安装方法 clone项目到本地 chrome访问:chrome://extensions 勾选开发者模式 点击加载正在开发的扩展程序 选择克隆到本地的logout文件夹 浏览器地址栏后面的插件栏出现蓝色关机图标表明安装成功 使用方法 在任意页面点击浏览器地址栏右边的蓝色关机图标即可完成当前淘宝账号的退出
springsecurity_logout.rar
04-08
SpringSecurity原生的logout实现功能,具体讲解可参考: https://blog.csdn.net/u012329294/article/details/105382239
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
spring authorization server endpoint默认设置
路过君的博客
01-03 459
1.2.1。
使用 Vue.js 构建 OAuth2 授权同意页面
new_ord的博客
01-19 1001
本文介绍了在前后端分离项目中如何使用Vue.js构建OAuth2授权同意页面,结合Spring Authorization Server和Spring Security构建OAuth2服务器和客户端。
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
凡的博客
04-19 9109
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
springSecurity 登出logout配置
weixin_33943347的博客
11-11 1357
Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。 配置如下 <http use-expressions="true" access-denied-page="/login" > </http>中加入如下配置: 1 <logo...
微服务安全Spring Security Oauth2实战
最新发布
xnxqwzy的博客
04-01 1651
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
IdentityServer4-主题
weixin_30747253的博客
06-28 933
一、Startup 二、定义Resources 三、定义Clients 登录 五、使用外部身份提供商登录 六、Windows身份验证 七、登出 八、注销外部身份提供商 九、联合注销 十、联合网关 十一、Consent 十二、保护APIs 十三、部署 十、日志 十五、事件 十六、Cryptography, Keys and HTTPS 十七、Grant Typ...
JavaWeb笔记(五)后端(Thymeleaf)(Tomcat类加载机制)(编写图书管理系统)
m0_51448653的博客
10-16 3358
虽然JSP为我们带来了便捷,但是其缺点也是显而易见的,那么有没有一种既能实现模板,又能兼顾前后端分离的模板引擎呢?Thymeleaf(百里香叶)是一个适用于Web和独立环境的现代化服务器端Java模板引擎,官方文档:https://www.thymeleaf.org/documentation.html。(区分 EL表达式 和 Thymeleaf: 1、EL表达式只和JSP挂钩,在html中是无法使用的;而thymeleaf是使用的html静态网页。(Thymeleaf是Spring-Boot官方推荐模板引
Hadoop集群开发
奋斗的小鸟专栏
05-31 3820
Hadoop集群开发 1.  配置网络环境 1.1. 配置ip地址: [root@localhost85 ~]# vim/etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 TYPE=Ethernet UUID=c1fa9edb-773e-48d2-83cf-82e8b01ffbb0 ONBOOT=yes NM_CONTROLL
SpringCloud GateWay 转发功能,熔断功能,限流功能机制详细介绍
Joe192的博客
05-15 6563
通过官方提供的列子和网上找的资料学习,总结一下springcloud gateway 限流使用的关键点。 官网地址:https://cloud.spring.io/spring-cloud-gateway/spring-cloud-gateway.html 以下主要通过Demo来介绍,如何通过gateway进行限流工作 第一步,简单的搭建一个springcloud注册中心,服务端,客户端,g...
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 1799
SpringSecurity退出登录报错,logout,404,CSRF防护
Spring Security/logout请求默认跳转到/login?logout解决方案
weixin_55658418的博客
03-03 2325
spring security logout请求 重定向
Spring Security Logout
白石的专栏
12-05 1371
本文建立在我们的[表单登录教程](https://www.baeldung.com/spring-security-login)之上,将重点关注如何**使用 Spring Security 配置注销**。
爆破专栏丨Spring Security系列之前后端分离时的安全处理方案
关注我!带你一路 "狂飙" 到底!
10-26 769
前言 在前面的几个章节中,一一哥带大家学会了如何利用Spring Security来保护我们的Web项目,以及3种认证方式。你可能会觉得,Spring Security没啥东西啊,代码也不复杂呀! 别急,我们的学习是渐进的,Spring Security的内容和功能都多着呢,我们要Get的点也多着呢。 今天 一一哥就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,只能建议你先查阅一下相关资料,本文只能带你简单了解一下前后端分离的概
Spring Security配置错误:缺少回退检查
11-14
Spring Security是一个强大的框架,用于保护Java应用程序中的安全性。如果配置不正确,可能会导致安全漏洞。其中一种常见的配置错误是缺少回退检查。 回退检查是指在用户身份验证失败后,将用户重定向回登录页面之前,应该检查请求是否来自受信任的来源。如果没有回退检查,攻击者可以通过修改请求来绕过身份验证并访问受保护的资源。 要解决这个问题,可以在Spring Security配置中添加以下代码: ```java http.csrf().disable().authorizeRequests() .antMatchers("/login*").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login.jsp") .loginProcessingUrl("/login.do") .defaultSuccessUrl("/home.jsp") .failureUrl("/login.jsp?error=true") .and() .logout() .logoutSuccessUrl("/login.jsp"); ``` 在上面的代码中,`.csrf().disable()`禁用了跨站请求伪造保护,`.antMatchers("/login*").permitAll()`允许所有用户访问登录页面,`.anyRequest().authenticated()`要求所有其他请求都需要身份验证,`.formLogin()`指定使用表单登录,`.loginPage("/login.jsp")`指定登录页面,`.loginProcessingUrl("/login.do")`指定登录处理URL,`.defaultSuccessUrl("/home.jsp")`指定成功登录后的默认页面,`.failureUrl("/login.jsp?error=true")`指定登录失败后的页面,`.logout()`指定注销功能,`.logoutSuccessUrl("/login.jsp")`指定注销成功后的页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值