SpringSecurity退出功能实现的正确方式(推荐)

2020-07-28 14:03:05

字体：大中小

来源：转载

供稿：网友

spring security 简介

spring security 的核心功能主要包括：

认证（你是谁）授权（你能干什么）攻击防护（防止伪造身份）

其核心就是一组过滤器链，项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份，一个在spring security中一种过滤器处理一种认证方式。

本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。其实这是一个非常简单的功能，我见过很多的程序员在使用了Spring Security之后，仍然去自己写controller方法实现logout功能，这种做法就好像耕地，你有机械设备你不用，你非要用牛。

一、logout最简及最佳实践

其实使用Spring Security进行logout非常简单，只需要在spring Security配置类配置项上加上这样一行代码:http.logout()。关于spring Security配置类的其他很多实现、如：HttpBasic模式、formLogin模式、自定义登录验证结果、使用权限表达式、session会话管理，在本号的之前的文章已经都写过了。本节的核心内容就是在原有配置的基础上，加上这样一行代码:http.logout()。

@Configuration@EnableWebSecuritypublic class SecSecurityConfig extends WebSecurityConfigurerAdapter {  @Override  protected void configure(final HttpSecurity http) throws Exception {    http.logout();  }}

加上logout配置之后，在你的“退出”按钮上使用/logtou作为请求登出的路径。

<a href="/logout" rel="external nofollow" >退出</a>

logout功能我们就完成了。实际上的核心代码只有两行。

二、默认的logout做了什么？

虽然我们简简单单的实现了logout功能，是不是还不足够放心？我们下面就来看一下Spring Security默认在logout过程中帮我们做了哪些动作。

当前session失效，即：logout的核心需求，session失效就是访问权限的回收。删除当前用户的 remember-me“记住我”功能信息 clear清除当前的 SecurityContext 重定向到登录页面，loginPage配置项指定的页面

通常对于一个应用来讲，以上动作就是logout功能所需要具备的功能了。

三、个性化配置

虽然Spring Security默认使用了/logout作为退出处理请求路径，登录页面作为退出之后的跳转页面。这符合绝大多数的应用的开发逻辑，但有的时候我们需要一些个性化设置，如下：

 http.logout()   .logoutUrl("/signout")   .logoutSuccessUrl("/aftersignout.html")   .deleteCookies("JSESSIONID")

通过指定logoutUrl配置改变退出请求的默认路径，当然html退出按钮的请求url也要修改通过指定logoutSuccessUrl配置，来显式指定退出之后的跳转页面还可以使用deleteCookies删除指定的cookie，参数为cookie的名称

四、LogoutSuccessHandler

如果上面的个性化配置，仍然满足不了您的应用需求。可能您的应用需要在logout的时候，做一些特殊动作，比如登录时长计算，清理业务相关的数据等等。你可以通过实现LogoutSuccessHandler 接口来实现你的业务逻辑。

@Componentpublic class MyLogoutSuccessHandler implements LogoutSuccessHandler {    @Override  public void onLogoutSuccess(HttpServletRequest request,                 HttpServletResponse response,                 Authentication authentication)                 throws IOException, ServletException {    //这里书写你自己的退出业务逻辑        // 重定向到登录页    response.sendRedirect("/login.html");  }}

上一篇：Struts2配置文件中使用通配符的方法(三种形式)

下一篇：VUE.CLI4.0配置多页面入口的实现