文档章节

Spring Security 退出

大头鬼_yc
 大头鬼_yc
发布于 2018/05/05 15:10
字数 630
阅读 202
收藏 5

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

退出原理

  1. 清除Cookie (如果有 - CookieClearingLogoutHandler
  2. 清除当前用户的remember-me记录(如果有 - TokenBasedRememberMeServices
  3. Clears the CsrfToken (如有有csrf - CsrfLogoutHandler
  4. 使当前session失效 (SecurityContextLogoutHandler
  5. 清空当前的SecurityContextSecurityContextLogoutHandler
  6. 重定向到登录界面 (logoutSuccessHandler - SimpleUrlLogoutSuccessHandler

Spring Security的退出请求(默认为/logout)由LogoutFilter过滤器拦截处理。

退出的实现

  1. 主页中添加退出链接
<a href="/signOut">退出</a>
  1. 配置MerryyouSecurityConfig
......
				.and()
                .logout()
                .logoutUrl("/signOut")//自定义退出的地址
                .logoutSuccessUrl("/register")//退出之后跳转到注册页面
                .deleteCookies("JSESSIONID")//删除当前的JSESSIONID
                .and()
......

效果如下

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/Spring-Security-logout.gif

源码分析

LogoutFilter#doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		//#1.匹配到/logout请求
		if (requiresLogout(request, response)) {
			Authentication auth = SecurityContextHolder.getContext().getAuthentication();

			if (logger.isDebugEnabled()) {
				logger.debug("Logging out user '" + auth
						+ "' and transferring to logout destination");
			}
			//#2.处理1-4步
			this.handler.logout(request, response, auth);
			//#3.重定向到注册界面
			logoutSuccessHandler.onLogoutSuccess(request, response, auth);

			return;
		}

		chain.doFilter(request, response);
	}
  1. 匹配当前拦截的请求
  2. 处理 清空Cookieremember-mesessionSecurityContext
  3. 重定向到登录界面

handler

  1. CookieClearingLogoutHandler清空Cookie
  2. PersistentTokenBasedRememberMeServices清空remember-me
  3. CsrfLogoutHandlerClears the CsrfTokenXSRF-TOKEN
  4. SecurityContextLogoutHandler 使当前session无效,清空当前的SecurityContext
CookieClearingLogoutHandler#logout
public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		for (String cookieName : cookiesToClear) {
			//# 1.Cookie置为null
			Cookie cookie = new Cookie(cookieName, null);
			String cookiePath = request.getContextPath();
			if (!StringUtils.hasLength(cookiePath)) {
				cookiePath = "/";
			}
			cookie.setPath(cookiePath);
			cookie.setMaxAge(0);
			response.addCookie(cookie);
		}
	}
  1. Cookie置为null

PersistentTokenBasedRememberMeServices#logout

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		super.logout(request, response, authentication);

		if (authentication != null) {
			//#1.清空persistent_logins表中记录
			tokenRepository.removeUserTokens(authentication.getName());
		}
	}
  1. 清空persistent_logins表中记录

SecurityContextLogoutHandler#logout

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		Assert.notNull(request, "HttpServletRequest required");
		if (invalidateHttpSession) {
			HttpSession session = request.getSession(false);
			if (session != null) {
				logger.debug("Invalidating session: " + session.getId());
				//#1.使当前session失效
				session.invalidate();
			}
		}

		if (clearAuthentication) {
			SecurityContext context = SecurityContextHolder.getContext();
			//#2.清空当前的`SecurityContext`
			context.setAuthentication(null);
		}

		SecurityContextHolder.clearContext();
	}
  1. 使当前session失效
  2. 清空当前的SecurityContext

AbstractAuthenticationTargetUrlRequestHandler#handle

	protected void handle(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		//#1.获取配置的跳转地址
		String targetUrl = determineTargetUrl(request, response);

		if (response.isCommitted()) {
			logger.debug("Response has already been committed. Unable to redirect to "
					+ targetUrl);
			return;
		}
		//#2.跳转请求
		redirectStrategy.sendRedirect(request, response, targetUrl);
	}
  1. 获取配置的跳转地址
  2. 跳转请求

代码下载

从我的 github 中下载,https://github.com/longfeizheng/logback

本文转载自:https://longfeizheng.github.io/2018/01/18/Spring-Security%E6%BA%90%E7%A0%81%E5%88%86%E6%9E%90%E5%85%

上一篇: OAuth2
大头鬼_yc

大头鬼_yc

粉丝 5
博文 70
码字总数 18031
作品 0
昌平
程序员
私信 提问
Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密...

小致Daddy
2018/08/03
19.7K
1
Spring Security4实战与原理分析视频课程( 扩展+自定义)

Spring Security概述与课程概要介绍 Spring Security快速入门(基于XML) Spring Security快速入门(基于XML) URL匹配详解 自定义登陆 配置退出 Ajax登陆退出 JDBC认证 层级角色关系 认证体...

刘宗泽
2018/06/26
0
0
spring security 4.0 无法退出 logout 404

我使用spring mvc 和 spring security 4.0 。登录是可以的,但是配置退出时,总是报 404 。诸位大神帮忙看看... maven: web.xml SpringSecurity.xml SpringMVC.xml 退出连接 /logout 还是 /j...

zhang-hc
2015/09/07
4.8K
5
《Spring Security3》第三章第一部分翻译

第三章 增强用户体验 在本章中,我们将对JBCP Pets在线商店增加一些功能,这些新功能能够为用户提供更愉悦和可用的用户体验,同时提供一些对安全系统很重要的功能。 在本章中,我们将要: 按...

heroShane
2014/02/04
74
0
Spring Cloud【Spring Security OAuth2 OSS logout 】单点登陆退出

导读 很久没有更新Spring Boot 系列文章了,这篇作为番外篇记录一下最近在使用Spring Security OAuth 登出的时候踩过的一些坑 及遇到的一些问题 期间查了许多资料 整理出了两种登出的方式 一...

yangrd
2018/08/27
0
0

没有更多内容

加载失败,请刷新页面

加载更多

怎样在磁盘上查找MySQL表的大小?这里有答案

导读 我想知道 MySQL 表在磁盘上占用多少空间,但看起来很琐碎。不应该在 INFORMATION_SCHEMA.TABLES 中提供这些信息吗?没那么简单! 我想知道 MySQL 表在磁盘上占用多少空间,但看起来很琐碎...

问题终结者
13分钟前
3
0
jQuery load() 方法实现加载远程数据

jQuery load() 方法是简单但强大的 AJAX 方法。load() 方法从服务器加载数据,并把返回的数据放入被选元素中。 语法: $(selector).load(URL,data,callback);必需的 URL 参数规定您希望加载的...

前端老手
14分钟前
2
0
Spring Boot缓存实战 Redis 设置有效时间和自动刷新缓存-2

问题 上一篇Spring Boot Cache + redis 设置有效时间和自动刷新缓存,时间支持在配置文件中配置,说了一种时间方式,直接扩展注解的Value值,如: @Override@Cacheable(value = "people#${s...

xiaolyuh
22分钟前
7
0
怎样在磁盘上查找MySQL表的大小?这里有答案

我想知道 MySQL 表在磁盘上占用多少空间,但看起来很琐碎。不应该在 INFORMATION_SCHEMA.TABLES 中提供这些信息吗?没那么简单! 我想知道 MySQL 表在磁盘上占用多少空间,但看起来很琐碎。不应...

Linux就该这么学
47分钟前
5
0
Redis

一、Redis支持的几种数据类型:字符串、List、SET、HASH、ZSET 二、Redis的缓存技术主要是为了降低关系数据库的负载并减少网站成本 三、在Redis里面,被MULTI命令和EXEC命令包围的所有命令会...

BobwithB
49分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部