SpringSecurity退出功能实现的正确方式(推荐)

下面是详细讲解“SpringSecurity退出功能实现的正确方式(推荐)”的完整攻略。

背景

SpringSecurity是一款非常流行的安全框架，其中包括了比较复杂的权限控制、认证登录等功能。在实际项目中，通常需要实现用户退出功能，以保障用户的安全性。那么，如何实现SpringSecurity的退出功能呢？

实现方式

SpringSecurity提供了多种方式来实现退出功能，其中比较实用的方式是使用SpringSecurity自带的Logout功能。

Step 1：在SpringSecurity配置文件中添加Logout配置

要实现Logout功能，需在SpringSecurity的配置文件中添加Logout配置。如下所示：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 配置logout功能
        http.logout()
            .logoutUrl("/logout")
            .logoutSuccessUrl("/")
            .invalidateHttpSession(true);

        // 其他配置代码
    }
}

在以上配置中，我们添加了基于URL的Logout配置，当用户访问/logout时，将会触发Logout操作。

其中，我们通过.logoutUrl("/logout")来设置Logout请求的URL，即用户访问这个URL时，就会退出登录。

.logoutSuccessUrl("/")表示退出成功后需要跳转的URL地址， 表示退出成功后需要跳转的URL地址，此处我们设置为根目录。

.invalidateHttpSession(true)即使采用了安全退出，也需要销毁当前的Session，以保证用户安全性。

Step 2：添加Logout链接

为了让用户可以使用Logout功能，我们需要在前端页面添加Logout链接。在一般情况下，我们可以提供一个按钮或者链接来触发Logout操作，并重定向到登录页面。

<!-- 使用a标签搭配logout url实现退出功能 -->
<a href="/logout">Logout</a>

以上代码中，我们通过a标签来添加Logout链接，href属性设置为/logout，即在用户单击Logout链接时，会在后台发起/logout请求，使当前用户退出。

为了使用功能更加友好的退出方式，我们可以使用SpringSecurity提供的LogoutForm表单页面。通过让用户填写LogoutForm表单以实现Logout操作。详情如下：

在SpringSecurity配置文件中添加如下代码：

http.logout()
    .logoutUrl("/logout")
    .logoutSuccessUrl("/")
    .deleteCookies("JSESSIONID")
    .deleteCookies("SESSION")
    .addLogoutHandler(new CookieClearingLogoutHandler("JSESSIONID", "SESSION"))
    .invalidateHttpSession(true)
    .logoutSuccessHandler(new CustomLogoutSuccessHandler())
    .logoutRequestMatcher(new AntPathRequestMatcher("/logout", "POST"));

在表单中，需要添加所有的Logout相关的字段，一般包含：用户名、密码、_csrf等字段。其中，_csrf是SpringSecurity为了保证安全性而加入的字段。我们可以通过在表单中添加来添加_csrf字段。

Step 3：添加Logout Controller

为了实现基于表单的Logout方式，需添加一个Logout Controller来处理/logout请求。核心代码如下：

@Controller
public class LogoutController {

    @PostMapping("/logout")
    public String logout(HttpServletRequest request) throws ServletException {
        // 执行Logout操作
        request.logout();
        return "redirect:/";
    }
}

上述代码中，我们采用了LogoutController来处理/logout请求，并在方法中通过request.logout()来执行Logout操作。

示例1：使用Logout链接实现退出功能

为了更好地理解如何使用Logout链接实现SpringSecurity的退出功能，在这里我们提供一个案例，具体操作步骤如下：

1. 在SpringSecurity的配置文件中添加Logout配置，具体代码如下：

@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .anyRequest().permitAll()
            .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/index")
                .permitAll()
            .and()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/")
                .invalidateHttpSession(true);
    }

    //省略其他代码
}

在以上配置中，我们添加了基于URL的Logout配置，当用户访问/logout时，将会触发Logout操作。

其中，我们通过.logoutUrl("/logout")来设置Logout请求的URL，即用户访问这个URL时，就会退出登录。

在前端界面，我们添加了一个Logout链接，href属性设置为/logout，即在用户单击Logout链接时，会在后台发起/logout请求，使当前用户退出。

<a href="/logout">Logout</a>

1. 测试Logout功能的实现

在浏览器中访问搭建的测试环境，点击“Logout”按钮或链接，会自动清除登录信息，跳转至主页面。

示例2：使用Logout表单实现退出功能

为了更好地理解如何使用Logout表单实现SpringSecurity的退出功能，在这里我们提供一个案例，具体操作步骤如下：

1. 在SpringSecurity配置文件中添加Logout配置，具体代码如下：

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().fullyAuthenticated().and()
            .formLogin().loginPage("/login").failureUrl("/login?error").permitAll().and()
            .logout()
            .logoutUrl("/logout")
            .logoutSuccessUrl("/")
            .deleteCookies("JSESSIONID")
            .deleteCookies("SESSION")
            .addLogoutHandler(new CookieClearingLogoutHandler("JSESSIONID", "SESSION"))
            .invalidateHttpSession(true)
            .logoutSuccessHandler(new CustomLogoutSuccessHandler())
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout", "POST"));
    }

    //省略其他代码
}

在以上配置中，我们添加了基于表单的Logout配置，具体代码如下：

.logout()
    .logoutUrl("/logout")
    .logoutSuccessUrl("/")
    .deleteCookies("JSESSIONID")
    .deleteCookies("SESSION")
    .addLogoutHandler(new CookieClearingLogoutHandler("JSESSIONID", "SESSION"))
    .invalidateHttpSession(true)
    .logoutSuccessHandler(new CustomLogoutSuccessHandler())
    .logoutRequestMatcher(new AntPathRequestMatcher("/logout", "POST"));

在Logout表单中，我们需要添加所有的Logout相关的字段，一般包含：用户名、密码、_csrf等字段。

<form th:action="@{/logout}" method="post">
    <p>Are you sure you want to logout?</p>
    <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
    <button type="submit">Logout</button>
</form>

其中，_csrf是SpringSecurity为了保证安全性而加入的字段。我们可以通过在表单中添加来添加_csrf字段。

2.添加Logout Controller

为了实现基于表单的Logout方式，需添加一个Logout Controller来处理/logout请求。核心代码如下：

@Controller
public class LogoutController {

    @PostMapping("/logout")
    public String logout(HttpServletRequest request) throws ServletException {
        // 执行Logout操作
        request.logout();
        return "redirect:/";
    }
}

在以上代码中，我们采用了LogoutController来处理/logout请求，并在方法中通过request.logout()来执行Logout操作。

3.测试Logout功能的实现

在浏览器中访问搭建的测试环境，点击“Logout”按钮或链接，将会跳转到Logout表单页面，用户单击“Logout”按钮后，系统会自动清除登录信息，跳转至主页面。

总结

SpringSecurity提供了多种方式来实现退出功能，其中比较实用的方式是使用SpringSecurity自带的Logout功能。通过本次讲解，我们学习了SpringSecurity的退出功能实现方法，并提供了两个案例供大家参考。