Spring Security3学习-退出过滤器

最新推荐文章于 2024-11-04 20:13:29 发布
最新推荐文章于 2024-11-04 20:13:29 发布
阅读量471 收藏 1
点赞数
分类专栏: Spring Security3 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c04s31602/article/details/84614453
版权

退出的基本配置:

<logout logout-url="/logout.htm" logout-success-url="/login.htm" invalidate-session="true" />

 也可以自定义退出成功的handler,添加配置success-handler-ref。如果不配置logout-url,默认的退出url是j_spring_security_logout。处理退出时Spring Security3将会做的事:

  1. 使得HTTP session失效(如果invalidate-session属性被设置为true,默认是true的); 
  2. 清除SecurityContex(真正使得用户退出); 
  3. 将页面重定向至logout-success-url指明的URL。
  4. 如果启用了rememberme,清除cookie

退出过滤器是:org.springframework.security.web.authentication.logout.LogoutFilter,退出的流程比较简单:

 看源码:

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (requiresLogout(request, response)) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();

            if (logger.isDebugEnabled()) {
                logger.debug("Logging out user '" + auth + "' and transferring to logout destination");
            }
            // 循环调用退出handler,执行logout方法
            for (LogoutHandler handler : handlers) {
                handler.logout(request, response, auth);
            }
            // 退出成功后的handler
            logoutSuccessHandler.onLogoutSuccess(request, response, auth);

            return;
        }

        chain.doFilter(request, response);
    }

 handlers集合默认在org.springframework.security.config.http.LogoutBeanDefinitionParser配置的:

        ManagedList handlers = new ManagedList();
        SecurityContextLogoutHandler sclh = new SecurityContextLogoutHandler();
        if ("true".equals(invalidateSession)) {
            sclh.setInvalidateHttpSession(true);
        } else {
            sclh.setInvalidateHttpSession(false);
        }
        //一个SecurityContextLogoutHandler对象
        handlers.add(sclh);
        // 如果启用了rememberme,还需要清理cookie
        if (rememberMeServices != null) {
            handlers.add(new RuntimeBeanReference(rememberMeServices));
        }

        builder.addConstructorArgValue(handlers);

 先看SecurityContextLogoutHandler的logout方法

    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        Assert.notNull(request, "HttpServletRequest required");
        // 销毁session
        if (invalidateHttpSession) {
            HttpSession session = request.getSession(false);
            if (session != null) {
                session.invalidate();
            }
        }
        // 设置SecurityContextHolder对象为空
        SecurityContextHolder.clearContext();
    }

 启用rememberme时,退出清除了cookie:AbstractRememberMeServices

    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        if (logger.isDebugEnabled()) {
            logger.debug( "Logout of user "
                    + (authentication == null ? "Unknown" : authentication.getName()));
        }
        //清除cookie
        cancelCookie(request, response);
    }

 退出成功后将根据配置重定向到一个url。

 

SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
SpringBoot 实现过滤器拦截请求
记录工作开发中遇到的技术难点,方便自己查看,也希望可以帮助到他人...
08-26 2568
用户在前端登录,后端将用户信息存储在session中,通过拦截每个接口请求,判断用户是否登录,若session中存在用户信息,则放行请求,若session中不存在用户信息,则拦截请求。
SpringSecurity过滤器
libo_hh的博客
08-08 1066
一、过滤器加载过程 1.DelegatingFilterProxy 在web.xml中配置过滤器 进入doFilter方法 invokeDelegate方法执行FilterChainProxy的doFilter 最终采用遍历的方式执行十五个默认的过滤器 二、默认的15个过滤器 1.org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,非常重要 主要是使用SecurityContextR
springSecurity过滤器行为整理
automannn
12-25 703
序 由于客观要求,需要对SpringSecurity流程再做一遍梳理。为了方便流程的理解,我将springSecurity过滤器分为无条件和有条件过滤器。是我亲自做的,不一定严谨,可以用于参看分析springSecurity行为. 无条件过滤器 名称 作用 能否阻断 后置处理 ChannelProcessingFilter 确保通过所需的通道传递web请求 能 无 ConcurrentSessionFilter 并发会话处理包所需的筛选器;实现session的日期更新;检查会话是否过期
spring security起步四:退出登录配置以及logout属性详解
热门推荐
小鱼儿的专栏
07-15 5万+
用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.用户退出功能实现增加hader.jsp<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="htt
应用Spring Security安全框架时,异步操作中安全上下文丢失问题的解决方案
qq_32734365的博客
08-21 4167
问题描述 笔者最近在开发项目时遇到一个问题,项目应用Spring Security+JWT的安全框架,用户访问时前台会在Header中携带Authorization头,SS对其进行认证并将当前登录的主体信息存储到安全上下文,在当前用户访问的任何地方都可以通过安全上下文获取登录用户的信息(例如用户名、用户手机、用户id等等),但在请求中启用另外的线程执行之后操作的时候,笔者发现异步线程中的安全上下...
【第七篇】SpringSecurity核心组件和核心过滤器
筱白爱学习!的博客
06-14 1245
SpringSecurity中的核心组件、核心过滤器SecurityContextPersistenceFilter和CsrfFilter过滤器详解
SpringSecurity笔记2-SpringSecurity命名空间
03-29
在"SpringSecurity笔记2-SpringSecurity命名空间"的学习中,还会涉及到如何自定义过滤器链,以及如何通过`<custom-filter>`元素插入自定义的SpringSecurity过滤器。同时,理解`<access-denied-handler>`和`...
Spring Security-02-Spring Security认证方式-HTTP基本认证、Form表单认证、HTTP摘要认证、前后端分离安全处理方案
最新发布
苍云烟
11-04 1237
Spring Security-02-Spring Security认证方式-HTTP基本认证、Form表单认证、HTTP摘要认证、前后端分离安全处理方案认证方式HTTP基本认证基本认证简介基本认证核心API基本认证的步骤基本认证的弊端HTTP基本认证代码实现创建SecurityConfig配置类测试验证Basic认证详解基本认证过程注销Basic认证Form表单认证表单认证简介表单认证效果表单认证中的预置url和页面自定义表单认证配置创建SecurityConfig配置类测试应用自定义表单认证的登录界面。
Spring Security常用过滤器实例解析
08-24
Spring Security 常用过滤器实例解析 Spring Security 是一个功能强大且灵活的安全框架,提供了许多实用的过滤器来帮助我们实现身份验证、授权和保护我们的应用程序。下面我们将介绍 15 个常用的 Spring Security ...
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 3066
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的...
SpringSecurity 配置静态资源和请求不启用过滤器
你今天真好看呀
08-21 2563
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的和方法级的。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器
spring boot 关闭默认的spring security
m0_67390969的博客
03-23 2078
spring boot 和activiti集成的时候,关闭默认开启的security。 package com; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.web.servlet.ServletComponentScan; import org.s
SpringSecurity(1)过滤器链、自定义认证页面、退出登录和加密认证
zengdongwen的博客
09-11 2110
1、权限管理的概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管 理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。 登录和认证的区别:一般简单的登录是只要验证用户的用户名和密码是否正确,但是认证还包括查询出用户的角色和权限信息。 授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。 权限管理中三个重要的对象
【第八篇】SpringSecurity的核心过滤器-CsrfFilter
yqqの博客
03-18 767
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
springboot禁用security,不需要登陆
zgq_hw的博客
04-23 2万+
springboot引入security依赖之后,默认访问资源需要登陆,不想用的话可以禁用,有两种方式 1、启动方法上如下注解 @EnableAutoConfiguration(exclude = {SecurityAutoConfiguration.class}) 2、启动方法上如下注解 @SpringBootApplication(exclude = {SecurityAutoConfigu...
(一)Spring Security Demo 登陆与退出
young-youth的博客
02-18 1559
简单的登陆与退出
JavaEE】shiro的退出过滤器LogoutFilter自定义跳转url
分享记录开发中的问题,欢迎一起探讨!
05-08 6500
shiro的退出过滤器LogoutFilter自定义跳转url 自定义一个filter,其实还是LogoutFilter <!--自定义退出过滤器--> <bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter"> <property name="redirect......
图解Spring Security过滤器工作原理
"该资源是一份关于图解过滤器的文档,主要讲解了Spring Security框架中的过滤器工作原理,通过图形化的方式帮助读者更深入理解过滤器在Web安全保护中的作用。文档涵盖了三个主要的过滤器:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值