SpringSecurity退出功能实现的正确方式(推荐)
springsecurity简介
springsecurity的核心功能主要包括:
- 认证(你是谁)
- 授权(你能干什么)
- 攻击防护(防止伪造身份)
其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是BasicAuthenticationFilter用来认证用户的身份,一个在springsecurity中一种过滤器处理一种认证方式。
本文将介绍在SpringSecurity框架下如何实现用户的"退出"logout的功能。其实这是一个非常简单的功能,我见过很多的程序员在使用了SpringSecurity之后,仍然去自己写controller方法实现logout功能,这种做法就好像耕地,你有机械设备你不用,你非要用牛。
一、logout最简及最佳实践
其实使用SpringSecurity进行logout非常简单,只需要在springSecurity配置类配置项上加上这样一行代码:http.logout()。关于springSecurity配置类的其他很多实现、如:HttpBasic模式、formLogin模式、自定义登录验证结果、使用权限表达式、session会话管理,在本号的之前的文章已经都写过了。本节的核心内容就是在原有配置的基础上,加上这样一行代码:http.logout()。
@Configuration @EnableWebSecurity publicclassSecSecurityConfigextendsWebSecurityConfigurerAdapter{ @Override protectedvoidconfigure(finalHttpSecurityhttp)throwsException{ http.logout(); } }
加上logout配置之后,在你的“退出”按钮上使用/logtou作为请求登出的路径。
退出
logout功能我们就完成了。实际上的核心代码只有两行。
二、默认的logout做了什么?
虽然我们简简单单的实现了logout功能,是不是还不足够放心?我们下面就来看一下SpringSecurity默认在logout过程中帮我们做了哪些动作。
- 当前session失效,即:logout的核心需求,session失效就是访问权限的回收。
- 删除当前用户的remember-me“记住我”功能信息
- clear清除当前的SecurityContext
- 重定向到登录页面,loginPage配置项指定的页面
通常对于一个应用来讲,以上动作就是logout功能所需要具备的功能了。
三、个性化配置
虽然SpringSecurity默认使用了/logout作为退出处理请求路径,登录页面作为退出之后的跳转页面。这符合绝大多数的应用的开发逻辑,但有的时候我们需要一些个性化设置,如下:
http.logout() .logoutUrl("/signout") .logoutSuccessUrl("/aftersignout.html") .deleteCookies("JSESSIONID")
- 通过指定logoutUrl配置改变退出请求的默认路径,当然html退出按钮的请求url也要修改
- 通过指定logoutSuccessUrl配置,来显式指定退出之后的跳转页面
- 还可以使用deleteCookies删除指定的cookie,参数为cookie的名称
四、LogoutSuccessHandler
如果上面的个性化配置,仍然满足不了您的应用需求。可能您的应用需要在logout的时候,做一些特殊动作,比如登录时长计算,清理业务相关的数据等等。你可以通过实现LogoutSuccessHandler接口来实现你的业务逻辑。
@Component publicclassMyLogoutSuccessHandlerimplementsLogoutSuccessHandler{ @Override publicvoidonLogoutSuccess(HttpServletRequestrequest, HttpServletResponseresponse, Authenticationauthentication) throwsIOException,ServletException{ //这里书写你自己的退出业务逻辑 //重定向到登录页 response.sendRedirect("/login.html"); } }
然后进行配置使其生效,核心代码就是一行logoutSuccessHandler。注意logoutSuccessUrl不要与logoutSuccessHandler一起使用,否则logoutSuccessHandler将失效。
@Configuration @EnableWebSecurity publicclassSecSecurityConfigextendsWebSecurityConfigurerAdapter{ @Autowired privateMyLogoutSuccessHandlermyLogoutSuccessHandler; @Override protectedvoidconfigure(finalHttpSecurityhttp)throwsException{ http.logout() .logoutUrl("/signout") //.logoutSuccessUrl(``"/aftersignout.html"``) .deleteCookies("JSESSIONID") //自定义logoutSuccessHandler .logoutSuccessHandler(myLogoutSuccessHandler); } }
总结
以上所述是小编给大家介绍的SpringSecurity退出功能实现的正确方式,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对毛票票网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。