Spring Security系列之退出(十三)

栏目: Java · 发布时间: 6年前

内容简介：Spring Security的退出请求（默认为效果如下Cookie置为null

退出原理

清除Cookie
清除当前用户的remember-me记录
使当前session失效
清空当前的SecurityContext
重定向到登录界面

Spring Security的退出请求（默认为 /logout ）由 LogoutFilter 过滤器拦截处理。

退出的实现

主页中添加退出链接

<a href="/signOut">退出</a>
复制代码

配置MerryyouSecurityConfig

......
             .and()
             .logout()
             .logoutUrl("/signOut")//自定义退出的地址
             .logoutSuccessUrl("/register")//退出之后跳转到注册页面
             .deleteCookies("JSESSIONID")//删除当前的JSESSIONID
             .and()
......
复制代码

效果如下

源码分析

LogoutFilter#doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		//#1.匹配到/logout请求
		if (requiresLogout(request, response)) {
			Authentication auth = SecurityContextHolder.getContext().getAuthentication();

			if (logger.isDebugEnabled()) {
				logger.debug("Logging out user '" + auth
						+ "' and transferring to logout destination");
			}
			//#2.处理1-4步
			this.handler.logout(request, response, auth);
			//#3.重定向到注册界面
			logoutSuccessHandler.onLogoutSuccess(request, response, auth);

			return;
		}

		chain.doFilter(request, response);
	}
复制代码

匹配当前拦截的请求
处理清空Cookie、remember-me、session和SecurityContext
重定向到登录界面

handler

CookieClearingLogoutHandler 清空Cookie
PersistentTokenBasedRememberMeServices 清空 remember-me
SecurityContextLogoutHandler 使当前 session 无效,清空当前的 SecurityContext

CookieClearingLogoutHandler#logout

Cookie置为null

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		for (String cookieName : cookiesToClear) {
			//# 1.Cookie置为null
			Cookie cookie = new Cookie(cookieName, null);
			String cookiePath = request.getContextPath();
			if (!StringUtils.hasLength(cookiePath)) {
				cookiePath = "/";
			}
			cookie.setPath(cookiePath);
			cookie.setMaxAge(0);
			response.addCookie(cookie);
		}
	}
复制代码

PersistentTokenBasedRememberMeServices#logout

清空persistent_logins表中记录

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		super.logout(request, response, authentication);

		if (authentication != null) {
			//#1.清空persistent_logins表中记录
			tokenRepository.removeUserTokens(authentication.getName());
		}
	}
复制代码

SecurityContextLogoutHandler#logout

使当前session失效
清空当前的SecurityContext

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		Assert.notNull(request, "HttpServletRequest required");
		if (invalidateHttpSession) {
			HttpSession session = request.getSession(false);
			if (session != null) {
				logger.debug("Invalidating session: " + session.getId());
				//#1.使当前session失效
				session.invalidate();
			}
		}

		if (clearAuthentication) {
			SecurityContext context = SecurityContextHolder.getContext();
			//#2.清空当前的`SecurityContext`
			context.setAuthentication(null);
		}

		SecurityContextHolder.clearContext();
	}
复制代码

AbstractAuthenticationTargetUrlRequestHandler#handle

获取配置的跳转地址
跳转请求

protected void handle(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) throws IOException, ServletException {
	//#1.获取配置的跳转地址
	String targetUrl = determineTargetUrl(request, response);

	if (response.isCommitted()) {
		logger.debug("Response has already been committed. Unable to redirect to "
				+ targetUrl);
		return;
	}
	//#2.跳转请求
	redirectStrategy.sendRedirect(request, response, targetUrl);
}
复制代码

以上所述就是小编给大家介绍的《Spring Security系列之退出(十三)》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

编程之法

July / 人民邮电出版社 / 2015-9-1 / 49.00元

本书涉及面试、算法、机器学习三个主题。书中的每道编程题目都给出了多种思路、多种解法，不断优化、逐层递进。本书第1章至第6章分别阐述字符串、数组、树、查找、动态规划、海量数据处理等相关的编程面试题和算法，第7章介绍机器学习的两个算法—K近邻和SVM。此外，每一章都有“举一反三”和“习题”，以便读者及时运用所学的方法解决相似的问题，且在附录中收录了语言、链表、概率等其他题型。书中的每一道题都是面试的高......一起来看看《编程之法》这本书的介绍吧!

码农工具