SpringSecurity註銷設置的方法
Spring Security中也提供瞭默認的註銷配置,在開發時也可以按照自己需求對註銷進行個性化定制
開啟註銷 默認開啟
package com.example.config; import com.example.handler.MyAuthenticationFailureHandler; import com.example.handler.MyAuthenticationSuccessHandler; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { //【註意事項】放行資源要放在前面,認證的放在後面 http.authorizeRequests() .mvcMatchers("/index").permitAll() //代表放行index的所有請求 .mvcMatchers("/loginHtml").permitAll() //放行loginHtml請求 .anyRequest().authenticated()//代表其他請求需要認證 .and() .formLogin()//表示其他需要認證的請求通過表單認證 //loginPage 一旦你自定義瞭這個登錄頁面,那你必須要明確告訴SpringSecurity日後哪個url處理你的登錄請求 .loginPage("/loginHtml")//用來指定自定義登錄界面,不使用SpringSecurity默認登錄界面 註意:一旦自定義登錄頁面,必須指定登錄url //loginProcessingUrl 這個doLogin請求本身是沒有的,因為我們隻需要明確告訴SpringSecurity,日後隻要前端發起的是一個doLogin這樣的請求, //那SpringSecurity應該把你username和password給捕獲到 .loginProcessingUrl("/doLogin")//指定處理登錄的請求url .usernameParameter("uname") //指定登錄界面用戶名文本框的name值,如果沒有指定,默認屬性名必須為username .passwordParameter("passwd")//指定登錄界面密碼密碼框的name值,如果沒有指定,默認屬性名必須為password // .successForwardUrl("/index")//認證成功 forward 跳轉路徑,forward代表服務器內部的跳轉之後,地址欄不變 始終在認證成功之後跳轉到指定請求 // .defaultSuccessUrl("/index")//認證成功 之後跳轉,重定向 redirect 跳轉後,地址會發生改變 根據上一保存請求進行成功跳轉 .successHandler(new MyAuthenticationSuccessHandler()) //認證成功時處理 前後端分離解決方案 // .failureForwardUrl("/loginHtml")//認證失敗之後 forward 跳轉 // .failureUrl("/login.html")//認證失敗之後 redirect 跳轉 .failureHandler(new MyAuthenticationFailureHandler())//用來自定義認證失敗之後處理 前後端分離解決方案 .and() .logout() .logoutUrl("/logout") //指定註銷登錄url 默認請求方式必須:GET .invalidateHttpSession(true) //會話失效 默認值為true,可不寫 .clearAuthentication(true) //清除認證標記 默認值為true,可不寫 .logoutSuccessUrl("/loginHtml") //註銷成功之後跳轉頁面 .and() .csrf().disable(); //禁止csrf 跨站請求保護 } }
- 通過logout()方法開啟註銷配置
- logoutUrl指定退出登錄請求地址,默認是GET請求,路徑為/logout
- invalidateHttpSession 退出時是否是session失效,默認值為true
- clearAuthentication 退出時是否清除認證信息,默認值為true
- logoutSuccessUrl 退出登錄時跳轉地址
測試
先訪問http://localhost:8080/hello,會自動跳轉到http://localhost:8080/loginHtml登錄界面,輸入用戶名和密碼,地址欄會變化為:http://localhost:8080/doLogin,然後重新訪問http://localhost:8080/hello,此時可以看到hello的數據,表示登錄認證
成功然後訪問http://localhost:8080/logout,會自動跳轉到http://localhost:8080/loginHtml登錄頁面,然後在訪問http://localhost:8080/hello,發現會跳轉到http://localhost:8080/loginHtml登錄界面,表示後端認定你未登錄瞭,需要你登錄認證
配置多個註銷登錄請求
如果項目中也有需要,開發者還可以配置多個註銷登錄的請求,同時還可以指定請求的方法
新增退出controller
package com.example.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; @Controller public class LogoutController { @RequestMapping("/logoutHtml") public String logout(){ return "logout"; } }
新增退出界面
logout.html
<!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org/" lang="en"> <head> <meta charset="UTF-8"> <title>註銷</title> </head> <body> <h1>註銷</h1> <form th:action="@{/bb}" method="post"> <input type="submit" value="註銷"> </form> </body> </html>
修改配置信息
package com.example.config; import com.example.handler.MyAuthenticationFailureHandler; import com.example.handler.MyAuthenticationSuccessHandler; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.web.util.matcher.AntPathRequestMatcher; import org.springframework.security.web.util.matcher.OrRequestMatcher; @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { //【註意事項】放行資源要放在前面,認證的放在後面 http.authorizeRequests() .mvcMatchers("/index").permitAll() //代表放行index的所有請求 .mvcMatchers("/loginHtml").permitAll() //放行loginHtml請求 .anyRequest().authenticated()//代表其他請求需要認證 .and() .formLogin()//表示其他需要認證的請求通過表單認證 //loginPage 一旦你自定義瞭這個登錄頁面,那你必須要明確告訴SpringSecurity日後哪個url處理你的登錄請求 .loginPage("/loginHtml")//用來指定自定義登錄界面,不使用SpringSecurity默認登錄界面 註意:一旦自定義登錄頁面,必須指定登錄url //loginProcessingUrl 這個doLogin請求本身是沒有的,因為我們隻需要明確告訴SpringSecurity,日後隻要前端發起的是一個doLogin這樣的請求, //那SpringSecurity應該把你username和password給捕獲到 .loginProcessingUrl("/doLogin")//指定處理登錄的請求url .usernameParameter("uname") //指定登錄界面用戶名文本框的name值,如果沒有指定,默認屬性名必須為username .passwordParameter("passwd")//指定登錄界面密碼密碼框的name值,如果沒有指定,默認屬性名必須為password // .successForwardUrl("/index")//認證成功 forward 跳轉路徑,forward代表服務器內部的跳轉之後,地址欄不變 始終在認證成功之後跳轉到指定請求 // .defaultSuccessUrl("/index")//認證成功 之後跳轉,重定向 redirect 跳轉後,地址會發生改變 根據上一保存請求進行成功跳轉 .successHandler(new MyAuthenticationSuccessHandler()) //認證成功時處理 前後端分離解決方案 // .failureForwardUrl("/loginHtml")//認證失敗之後 forward 跳轉 // .failureUrl("/login.html")//認證失敗之後 redirect 跳轉 .failureHandler(new MyAuthenticationFailureHandler())//用來自定義認證失敗之後處理 前後端分離解決方案 .and() .logout() // .logoutUrl("/logout") //指定註銷登錄url 默認請求方式必須:GET .logoutRequestMatcher(new OrRequestMatcher( new AntPathRequestMatcher("/aa","GET"), new AntPathRequestMatcher("/bb","POST") ) ) .invalidateHttpSession(true) //會話失效 默認值為true,可不寫 .clearAuthentication(true) //清除認證標記 默認值為true,可不寫 .logoutSuccessUrl("/loginHtml") //註銷成功之後跳轉頁面 .and() .csrf().disable(); //禁止csrf 跨站請求保護 } }
測試
GET /aa 跟上面測試方法一樣
POST /bb
先訪問http://localhost:8080/hello,會自動跳轉到http://localhost:8080/loginHtml登錄界面,輸入用戶名和密碼,地址欄會變化為:http://localhost:8080/doLogin,然後重新訪問http://localhost:8080/hello,此時可以看到hello的數據,表示登錄認證成功
然後訪問http://localhost:8080/logoutHtml,會跳出註銷頁面,點擊“註銷”按鈕,會返回到http://localhost:8080/loginHtml登錄界面,再重新訪問http://localhost:8080/hello,發現會跳轉到http://localhost:8080/loginHtml登錄界面,表示註銷成功,需要重新登錄。
前後端分離註銷配置
如果是前後端分離開發,註銷成功之後就不需要頁面跳轉瞭,隻需要將註銷成功的信息返回前端即可,此時我們可以通過自定義LogoutSuccessHandler實現來返回內容註銷之後信息
添加handler
package com.example.handler; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.security.core.Authentication; import org.springframework.security.web.authentication.logout.LogoutSuccessHandler; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.HashMap; import java.util.Map; /** * 自定義註銷成功之後處理 */ public class MyLogoutSuccessHandler implements LogoutSuccessHandler { @Override public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { Map<String,Object> result = new HashMap<>(); result.put("msg","註銷成功,當前認證對象為:"+authentication); result.put("status",200); result.put("authentication",authentication); response.setContentType("application/json;charset=UTF-8"); String s = new ObjectMapper().writeValueAsString(result); response.getWriter().println(s); } }
修改配置信息
logoutSuccessHandler
package com.example.config; import com.example.handler.MyAuthenticationFailureHandler; import com.example.handler.MyAuthenticationSuccessHandler; import com.example.handler.MyLogoutSuccessHandler; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.web.util.matcher.AntPathRequestMatcher; import org.springframework.security.web.util.matcher.OrRequestMatcher; @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { //【註意事項】放行資源要放在前面,認證的放在後面 http.authorizeRequests() .mvcMatchers("/index").permitAll() //代表放行index的所有請求 .mvcMatchers("/loginHtml").permitAll() //放行loginHtml請求 .anyRequest().authenticated()//代表其他請求需要認證 .and() .formLogin()//表示其他需要認證的請求通過表單認證 //loginPage 一旦你自定義瞭這個登錄頁面,那你必須要明確告訴SpringSecurity日後哪個url處理你的登錄請求 .loginPage("/loginHtml")//用來指定自定義登錄界面,不使用SpringSecurity默認登錄界面 註意:一旦自定義登錄頁面,必須指定登錄url //loginProcessingUrl 這個doLogin請求本身是沒有的,因為我們隻需要明確告訴SpringSecurity,日後隻要前端發起的是一個doLogin這樣的請求, //那SpringSecurity應該把你username和password給捕獲到 .loginProcessingUrl("/doLogin")//指定處理登錄的請求url .usernameParameter("uname") //指定登錄界面用戶名文本框的name值,如果沒有指定,默認屬性名必須為username .passwordParameter("passwd")//指定登錄界面密碼密碼框的name值,如果沒有指定,默認屬性名必須為password // .successForwardUrl("/index")//認證成功 forward 跳轉路徑,forward代表服務器內部的跳轉之後,地址欄不變 始終在認證成功之後跳轉到指定請求 // .defaultSuccessUrl("/index")//認證成功 之後跳轉,重定向 redirect 跳轉後,地址會發生改變 根據上一保存請求進行成功跳轉 .successHandler(new MyAuthenticationSuccessHandler()) //認證成功時處理 前後端分離解決方案 // .failureForwardUrl("/loginHtml")//認證失敗之後 forward 跳轉 // .failureUrl("/login.html")//認證失敗之後 redirect 跳轉 .failureHandler(new MyAuthenticationFailureHandler())//用來自定義認證失敗之後處理 前後端分離解決方案 .and() .logout() // .logoutUrl("/logout") //指定註銷登錄url 默認請求方式必須:GET .logoutRequestMatcher(new OrRequestMatcher( new AntPathRequestMatcher("/aa","GET"), new AntPathRequestMatcher("/bb","POST") ) ) .invalidateHttpSession(true) //會話失效 默認值為true,可不寫 .clearAuthentication(true) //清除認證標記 默認值為true,可不寫 // .logoutSuccessUrl("/loginHtml") //註銷成功之後跳轉頁面 .logoutSuccessHandler(new MyLogoutSuccessHandler()) //註銷成功之後處理 前後端分離解決方案 .and() .csrf().disable(); //禁止csrf 跨站請求保護 } }
測試
跟第一個測試方法是一樣的
以上就是本文的全部內容,希望對大傢的學習有所幫助,也希望大傢多多支持WalkonNet。
推薦閱讀:
- java SpringSecurity使用詳解
- 關於SpringSecurity配置403權限訪問頁面的完整代碼
- springSecurity實現簡單的登錄功能
- SpringSecurity+Redis認證過程小結
- springboot+jwt+springSecurity微信小程序授權登錄問題