转载自:http://lengyun3566.iteye.com/blog/1114464

理解退出功能

术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log
Out”的链接,并再次访问站点以了解其如何实现功能的。

在站点页头上添加“Log
Out”链接

正如我们在第二章中讨论的那样,Spring
Security将会监视一些特殊的URL,这些URL将会触发过滤器链中的一个或多个过滤器。用户实现退出的URL标识为/j_spring_security_logout。在header.jsp中添加一个退出的链接与为一个锚标签(即a标签)添加适合的href属性:

Html代码

  1. <c:url value="/j_spring_security_logout" var="logoutUrl"/>
  2. <li><a href="${logoutUrl}">Log Out</a></li>

如果你重新加载站点并点击“Log Out”链接,你会发现被重置到登录form的界面。现在看来,登录和退出是很有趣的!

【使用JSTL
URL标签来处理相对URL。我们使用了JSTL核心库中的url标签来保证提供的URL在部署的web应用中能够被正确处理。url标签将提供的URL按照相对路径(以/开始)进行处理。你可能会见过其他类似的实现技术如使用JSP的代码((<%=
request.getContextPath()
%>)),但是JSTL的url标签能够使得你免于编写内联的代码。】

让我们看一下在这个简单操作的背后都发生了什么。

退出是怎么实现的

当我们点击退出链接时,到底发生了什么?

需要记住的一点是任何URL请求在被servlet处理之前,都会经过Spring
Security的过滤器链。所以,/j_spring_security_logout这个URL请求并非对应系统中的一个JSP,也不必有一个真正的JSP或者Spring
MVC的目标来对其进行处理。这种类型的URL通常被称为虚拟URL。

请求/j_spring_security_logout的URL被o.s.s.web.authentication.logout.LogoutFilter过滤器所拦截。在Spring
Security的众多默认过滤器中,LogoutFilter专门匹配这个虚拟URL并执行相应的操作。

让我们快速地查看一下Spring Security的security命名空间提供的默认退出功能:

Xml代码  " quality="high"
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer"> security 的 logout 功能">
  1. <http auto-config="true" use-expressions="true">
  2. <logout invalidate-session="true"
  3. logout-success-url="/"
  4. logout-url="/j_spring_security_logout"/>
  5. </http>

基于这个基本配置,系统将会寻找在logout-url属性配置的URL并实现用户的退出。使得用户退出系统将会涉及如下的三个步骤:

1.      使得HTTP
session失效(如果invalidate-session属性被设置为true);

2.       清除SecurityContex(真正使得用户退出);

3.       将页面重定向至logout-success-url指明的URL。

以下的图片阐述了退出的过程:

o.s.s.web.authentication.logout.LogoutHandler接口的实现类可以在用户通过LogoutFilter退出时被调用。你可以实现自己的LogoutHandler(尽管比较复杂)并将其关联到LogoutFilter的生命周期中。通过LogoutFilter默认设置的LogoutHandler将会清除session以及remember
me相关的功能,所以用户的session中不会再持有认证相关的信息。最后,通过一个o.s.s.web.

authentication.logout.LogoutSuccessHandler接口的默认实现,页面得以重定向到一个URL。默认实现中会将页面重定向到我们配置的成功退出URL地址(默认为/),但是我们自定义任何系统在用户退出时想要的操作。值得注意的是,退出的处理不应该抛出异常,因为很重要的一点是要在用户的安全session中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录。

修改logout URL

让我们尝试重写默认的logout URL来提供一个修改自动设置的简单例子。我们将会修改logout URL为/logout。

修改dogstore-security.xml配置文件来包含<logout>元素如下的代码所示:

Xml代码  ... .. " quality="high"
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer"> security 的 logout 功能">
  1. <http auto-config="true" use-expressions="true">
  2. ...
  3. ..<logout invalidate-session="true"
  4. logout-success-url="/"
  5. logout-url="/logout"/>
  6. </http>

修改/common/header.jsp文件来改变logout链接的herf属性以匹配新的URL:

Html代码

  1. <c:url value="/logout" var="logoutUrl"/>
  2. <li><a href="${logoutUrl}">Log Out</a></li>

重新启动应用并进行尝试。你可以发现使用/logout
URL取代了/j_spring_security_logout实现用户的退出。你可能也会发现当你尝试/j_spring_security_logout这个地址时,你会得到一个Page
not Found(404)的错误,是因为这个URL不与任何一个实际的servlet资源相对应并且不会被过滤器所处理。

Logout配置命令

<logout>元素包含其他的配置指令以实现更复杂的退出功能,介绍如下:

属性

描述

invalidate-session

如果被设置为true,用户的HTTP session将会在退出时被失效。在一些场景下,这是必要的(如用户拥有一个购物车时)

logout-success-url

用户在退出后将要被重定向到的URL。默认为/。将会通过HttpServletResponse.redirect来处理。

logout-url

LogoutFilter要读取的URL(在例子中,我们改变了它的设置)。

success-handler-ref

对一个LogoutSuccessHandler实现的引用。

[转载]spring security 的 logout 功能的更多相关文章

  1. Spring Security教程 ---- 验证码功能的实现

    有三中方法可以实现验证码的功能 第一种是自定义一个filter,放在SpringSecurity过滤器之前,在用户登录的时候会先经过这个filter,然后在这个filter中实现对验证码进行验证的功能 ...

  2. spring security采用基于简单加密 token 的方法实现的remember me功能

    记住我功能,相信大家在一些网站已经用过,一些安全要求不高的都可以使用这个功能,方便快捷. spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 to ...

  3. Spring Security(01)——初体验

    (注:本文是基于Spring Security3.1.6所写) (注:原创文章,转载请注明出处.原文地址:http://elim.iteye.com/blog/2154299) (注:本文是基于Spr ...

  4. spring security 1

    首先我们为Spring Security专门建立一个Spring的配置文件,该文件就专门用来作为Spring Security的配置.使用Spring Security我们需要引入Spring Sec ...

  5. [转] Spring Security(01)——初体验

    [转自:http://haohaoxuexi.iteye.com/blog/2154299] 首先我们为Spring Security专门建立一个Spring的配置文件,该文件就专门用来作为Sprin ...

  6. Spring Security 入门(1-2)Spring Security - 从 配置例子例子 开始我们的学习历程

    1.Spring Security 的配置文件 我们需要为 Spring Security 专门建立一个 Spring 的配置文件,该文件就专门用来作为 Spring Security 的配置. &l ...

  7. SpringBoot整合Spring Security使用Demo

    https://start.spring.io/ 生成SpringBoot项目 pom文件应该是我这样的: <?xml version="1.0" encoding=&quo ...

  8. 整合Spring Security(二十七)

    在这一节,我们将对/hello页面进行权限控制,必须是授权用户才能访问.当没有权限的用户访问后,跳转到登录页面. 添加依赖 在pom.xml中添加如下配置,引入对Spring Security的依赖. ...

  9. Spring Boot中使用Spring Security进行安全控制

    我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问权限的用户需要转到登录表单页面.要实现访问控制的方法多种多样,可以通过Aop.拦截器实现,也可以通过框架实现(如:Apache ...

随机推荐

  1. Jqurey实现相似EasyUI的页面布局

    截图例如以下:(可通过移动中间蓝色的条.来改变左右两边div的宽度) watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveWFuZ21pbmd4aW5nOTgw ...

  2. Map的两张遍历方法 keySet(),entrySet()

    源博客 http://blog.csdn.net/liu826710/article/details/9001254 在Map集合中 values():方法是获取集合中的所有的值----没有键,没有对 ...

  3. Python操作yaml文件

    基本的yaml语法 http://ansible-tran.readthedocs.io/en/latest/docs/YAMLSyntax.html YAML 还有一个小的怪癖. 所有的 YAML ...

  4. 爬虫实战【4】Python获取猫眼电影最受期待榜的50部电影

    前面几天介绍的都是博客园的内容,今天我们切换一下,了解一下大家都感兴趣的信息,比如最近有啥电影是万众期待的? 猫眼电影是了解这些信息的好地方,在猫眼电影中有5个榜单,其中最受期待榜就是我们今天要爬取的 ...

  5. [python数据结构] hashable, list, tuple, set, frozenset

    学习 cs212 unit4 时遇到了 tuple, list, set 同时使用的问题,并且进行了拼接.合并操作.于是我就被弄混了.所以在这里进行一下总结. hashable and unhasha ...

  6. 数据库时间类型和 util 包下时间类型转换

    Java 中的类型 1. java.sql 包下给出三个数据库相关的日期时间类型,分别是 java.sql.Date, 表示日期,只有年月日,没有时分秒. java.sql.Time, 表示时间, 只 ...

  7. JS基础知识简介

    使用js的三种方式 1.HTML标签内嵌js <button onclick="javascript:alert(真点啊)">有本事点我</button> ...

  8. ApexSQL Log 从意外UPDATE和DELETE操作中恢复SQL Server数据

    下载地址:https://www.apexsql.com/download.aspx 如何从意外UPDATE和DELETE操作中恢复SQL Server数据 ApexSQL Log 从意外UPDATE ...

  9. 使用openresty + lua 搭建api 网关(一)安装openresty ,并添加lua模块

    openresty 有点不多说,网上各种介绍,先安装吧. 官方操作在此,http://openresty.org/cn/installation.html, tar -xzvf openresty-V ...

  10. MySQL安装后的设定及其变量(参数)的设置

    1.为所有root用户设定密码:mysql> SET PASSWORDmysql> update mysql.user SET password=PASSWORD("your_p ...