Handling Logouts
在终端用户可以登录的应用程序中,他们也应该能够注销。
默认情况下,Spring Security 支持一个/logout 端点,因此不需要额外的代码。
本节的其余部分涵盖了一些供您考虑的用例:
- 我想了解注销的架构
- 我想自定义注销或注销成功 URI
- 我想知道什么时候需要显式允许/logout 端点
- 我希望在用户注销时清除 cookie、存储和/或缓存
- 我正在使用 OAuth 2.0,我想与授权服务器协调注销
- 我正在使用 SAML 2.0,我想与一个身份提供者协调注销
- 我正在使用 CAS,我想与一个标识提供程序协调注销
了解注销的体系结构(Understanding Logout’s Architecture)
当您包含 Spring-boot-starter-Security 依赖项或使用@EnableWebSecurity 注释时,Spring Security 将添加其注销支持,并默认响应 GET/logout 和 POST/logout。如果请求 GET/logout,那么 Spring Security 将显示一个注销确认页面。除了为用户提供有价值的双重检查机制之外,它还提供了一种简单的方法来为 POST/注销提供所需的 CSRF 令牌。请注意,如果在配置中禁用了 CSRF 保护,则不会向用户显示注销确认页,而是直接执行注销。
在您的应用程序中,不需要使用 GET/logout 来执行注销。只要请求中存在所需的 CSRF 令牌,应用程序就可以简单地 POST/logout 来引发注销。
如果您请求 POST/logout,那么它将使用一系列 LogoutHandlers 执行以下默认操作:
- 使 HTTP 会话无效(SecurityContextLogoutHandler)
- 清除 SecurityContextHolderStrategy (SecurityContextLogoutHandler)
- 清除 SecurityContextRepository (SecurityContextLogoutHandler)
- 清理任何 RememberMe 身份验证(TokenRememberMeServices/PersisentTokenRememberMeServices)
- 清除所有保存的 CSRF 令牌(CsrfLogoutHandler)
- 触发 LogoutSuccess 事件(LogoutSuccess EventPublishingLogoutHandler)
Customizing Logout URIs
由于 LogoutFilter 出现在筛选器链中的 AuthorizationFilter 之前,因此默认情况下不需要显式允许/logout 端点。因此,通常只有您自己创建的自定义注销端点才需要 permitAll 配置。
例如,如果您想简单地更改 Spring Security 匹配的 URI,您可以通过以下方式在logout DSL 中这样做:
Custom Logout Uri
http
.logout((logout) -> logout.logoutUrl("/my/logout/uri"))
而且不需要更改授权,因为它只是调整 LogoutFilter。
但是,如果您使用自己的注销成功端点(或者在极少数情况下,使用自己的注销端点) ,比如使用 Spring MVC,则需要在 Spring Security 中允许它。这是因为 SpringMVC 在 SpringSecurity 之后处理您的请求。
您可以使用 AuthorizeHttpRequest 或 < intercept-url > 来完成这项工作,如下所示:
Custom Logout Endpoint
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/my/success/endpoint").permitAll()
// ...
)
.logout((logout) -> logout.logoutSuccessUrl("/my/success/endpoint"))
在本例中,告诉 LogoutFilter 在完成后重定向到/my/Success/endpoint。并且,您显式允许 AuthorizationFilter 中的/my/Success/endpoint 端点。
不过,指定两次可能会很麻烦。如果您正在使用 Java 配置,您可以在注销 DSL 中设置 permitAll 属性,如下所示:
Permitting Custom Logout Endpoints
http
.authorizeHttpRequests((authorize) -> authorize
// ...
)
.logout((logout) -> logout
.logoutSuccessUrl("/my/success/endpoint")
.permitAll()
)
它将为您将所有注销 URI 添加到许可列表中。
Adding Clean-up Actions
如果使用 Java 配置,可以通过调用 logout DSL 中的 addLogoutHandler 方法添加自己的清理操作,如下所示:
Custom Logout Handler
CookieClearingLogoutHandler cookies = new CookieClearingLogoutHandler("our-custom-cookie");
http
.logout((logout) -> logout.addLogoutHandler(cookies))
因为 LogoutHandler 用于清理目的,所以它们不应该引发异常。
因为 LogoutHandler 是一个函数式接口,所以您可以提供一个定制的 lambda 接口。
一些注销处理程序配置非常常见,它们可以直接在注销 DSL 和 < logout > 元素中公开。一个例子是配置会话失效,另一个例子是应该删除哪些附加 cookie。
例如,您可以配置 CookieClearingLogoutHandler,如上所示。
或者您可以像下面这样设置适当的配置值:
http
.logout((logout) -> logout.deleteCookies("our-custom-cookie"))
指定不需要 JSESSIONID cookie,因为 SecurityContextLogoutHandler 通过使会话无效来删除它。
Using Clear-Site-Data to Log Out the User
Clear-Site-Data HTTP 头是浏览器支持的一个头,作为清除属于所有者网站的 cookie、存储和缓存的指令。这是一种方便和安全的方法,可以确保在注销时清理所有内容,包括会话 cookie。
您可以添加 configure Spring Security 来编写注销时的 Clear-Site-Data 头文件,如下所示:
Using Clear-Site-Data
HeaderWriterLogoutHandler clearSiteData = new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter());
http
.logout((logout) -> logout.addLogoutHandler(clearSiteData))
您向 ClearSiteDataHeaderWriter 构造函数提供希望清除的内容的列表。
上面的配置清除了所有站点数据,但是您也可以配置它删除 Cookie,如下所示:
Using Clear-Site-Data to Clear Cookies
HeaderWriterLogoutHandler clearSiteData = new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter(Directive.COOKIES));
http
.logout((logout) -> logout.addLogoutHandler(clearSiteData))
Customizing Logout Success
虽然在大多数情况下使用 logoutSuccess URL 就足够了,但是一旦注销完成,您可能需要做一些不同于重定向到 URL 的事情。
LogoutSuccess Handler 是用于自定义注销成功操作的 Spring Security 组件。
例如,您可能希望只返回状态代码,而不是重定向。在这种情况下,您可以提供一个成功处理程序实例,如下所示:
Using Clear-Site-Data to Clear Cookies
http
.logout((logout) -> logout.logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler()))
因为 LogoutSuccess Handler 是一个函数式接口,所以您可以提供一个自定义接口作为 lambda。
Creating a Custom Logout Endpoint
强烈建议您使用提供的注销 DSL 来配置注销。一个原因是很容易忘记调用所需的 Spring Security 组件来确保正确和完整的注销。
实际上,注册一个自定义 LogoutHandler 通常比创建一个 Spring MVC 端点执行注销要简单。
也就是说,如果您发现自己处于需要自定义注销端点的环境中,如下所示:
Custom Logout Endpoint
@PostMapping("/my/logout")
public String performLogout() {
// .. perform logout
return "redirect:/home";
}
然后,需要让该端点调用 Spring Security 的 SecurityContextLogoutHandler 来确保安全和完整的注销。至少需要以下内容:
Custom Logout Endpoint
SecurityContextLogoutHandler logoutHandler = new SecurityContextLogoutHandler();
@PostMapping("/my/logout")
public String performLogout(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
// .. perform logout
this.logoutHandler.doLogout(request, response, authentication);
return "redirect:/home";
}
这将根据需要清除 SecurityContextHolderStrategy 和 SecurityContextRepository。
另外,您还需要显式地允许端点。
未能调用 SecurityContextLogoutHandler 意味着 SecurityContext 仍然可用于后续请求,这意味着用户实际上没有注销。
Testing Logout
一旦配置了注销,就可以使用 SpringSecurity 的 MockMvc 支持对其进行测试。
Further Logout-Related References
- Testing Logout
- HttpServletRequest.logout()
- Remember-Me Interfaces and Implementations
- Logging Out in section CSRF Caveats
- Section Single Logout (CAS protocol)
- Documentation for the logout element in the Spring Security XML Namespace section
Authentication Events
对于每个成功或失败的身份验证,将分别激发一个 AuthenticationSuccess Event 或 AuthenticationfalureEvent。
要侦听这些事件,必须首先发布一个 AuthenticationEventPublisher:
@Bean
public AuthenticationEventPublisher authenticationEventPublisher
(ApplicationEventPublisher applicationEventPublisher) {
return new DefaultAuthenticationEventPublisher(applicationEventPublisher);
}
然后你可以使用 Spring 的@EventListener 支持:
@Component
public class AuthenticationEvents {
@EventListener
public void onSuccess(AuthenticationSuccessEvent success) {
// ...
}
@EventListener
public void onFailure(AbstractAuthenticationFailureEvent failures) {
// ...
}
}
虽然类似于 AuthenticationSuccess Handler 和 AuthenticationfalureHandler,但是它们非常好,因为可以独立于 servlet API 使用它们。
Adding Exception Mappings
默认情况下,DefaultAuthenticationEventPublisher 为以下事件发布 AuthenticationFallureEvent:
| Exception | Event |
|---|---|
BadCredentialsException | AuthenticationFailureBadCredentialsEvent |
UsernameNotFoundException | AuthenticationFailureBadCredentialsEvent |
AccountExpiredException | AuthenticationFailureExpiredEvent |
ProviderNotFoundException | AuthenticationFailureProviderNotFoundEvent |
DisabledException | AuthenticationFailureDisabledEvent |
LockedException | AuthenticationFailureLockedEvent |
AuthenticationServiceException | AuthenticationFailureServiceExceptionEvent |
CredentialsExpiredException | AuthenticationFailureCredentialsExpiredEvent |
InvalidBearerTokenException | AuthenticationFailureBadCredentialsEvent |
发布者进行精确的异常匹配,这意味着这些异常的子类不会产生事件。
为此,您可能希望通过 setAdditionalExceptionMaps 方法向发布者提供额外的映射:
@Bean
public AuthenticationEventPublisher authenticationEventPublisher
(ApplicationEventPublisher applicationEventPublisher) {
Map<Class<? extends AuthenticationException>,
Class<? extends AbstractAuthenticationFailureEvent>> mapping =
Collections.singletonMap(FooException.class, FooEvent.class);
AuthenticationEventPublisher authenticationEventPublisher =
new DefaultAuthenticationEventPublisher(applicationEventPublisher);
authenticationEventPublisher.setAdditionalExceptionMappings(mapping);
return authenticationEventPublisher;
}
Default Event
您还可以提供一个可以在任何 AuthenticationException 的情况下触发的 catch-all 事件:
@Bean
public AuthenticationEventPublisher authenticationEventPublisher
(ApplicationEventPublisher applicationEventPublisher) {
AuthenticationEventPublisher authenticationEventPublisher =
new DefaultAuthenticationEventPublisher(applicationEventPublisher);
authenticationEventPublisher.setDefaultAuthenticationFailureEvent
(GenericAuthenticationFailureEvent.class);
return authenticationEventPublisher;
}
扫一扫
8011
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
