对于最新的稳定版本,请使用 Spring Security 6.4.1! |
处理注销
注销 Java/Kotlin 配置
注入 Bean 时,将自动应用注销功能。
默认情况下,访问 URL 将通过以下方式将用户注销:HttpSecurity
/logout
-
使 HTTP 会话失效
-
清理已配置的任何 RememberMe 身份验证
-
清除
SecurityContextHolder
-
清除
SecurityContextRepository
-
重定向到
/login?logout
但是,与配置登录功能类似,您也有多种选项可以进一步自定义注销要求:
-
Java
-
Kotlin
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.logout(logout -> logout (1)
.logoutUrl("/my/logout") (2)
.logoutSuccessUrl("/my/index") (3)
.logoutSuccessHandler(logoutSuccessHandler) (4)
.invalidateHttpSession(true) (5)
.addLogoutHandler(logoutHandler) (6)
.deleteCookies(cookieNamesToClear) (7)
)
...
}
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
logout {
logoutUrl = "/my/logout" (1)
logoutSuccessUrl = "/my/index" (2)
logoutSuccessHandler = customLogoutSuccessHandler (3)
invalidateHttpSession = true (4)
addLogoutHandler(logoutHandler) (5)
deleteCookies(cookieNamesToClear) (6)
}
}
// ...
}
1 | 提供注销支持。 |
2 | 触发注销的 URL(默认值为 )。
如果启用了 CSRF 保护(默认),则请求也必须是 POST。
有关更多信息,请参阅 Javadoc。/logout |
3 | 注销后要重定向到的 URL。
默认值为 .
有关更多信息,请参阅 Javadoc。/login?logout |
4 | 允许您指定自定义 .
如果指定了此项,则忽略此项。
有关更多信息,请参阅 Javadoc。LogoutSuccessHandler logoutSuccessUrl() |
5 | 指定是否在注销时使 失效。
默认情况下,这是 true。
配置后台。
有关更多信息,请参阅 Javadoc。HttpSession SecurityContextLogoutHandler |
6 | 添加一个 . 默认添加为最后一个。LogoutHandler SecurityContextLogoutHandler LogoutHandler |
7 | 允许指定注销成功时要删除的 Cookie 的名称。
这是显式添加 的快捷方式。CookieClearingLogoutHandler |
当然,也可以使用 XML Namespace 表示法来配置注销。 有关更多详细信息,请参阅 Spring Security XML Namespace 部分中 logout 元素的文档。 |
通常,为了自定义注销功能,您可以添加和/或实施。
对于许多常见场景,这些处理程序在
涵盖使用 Fluent API 时。LogoutHandler
LogoutSuccessHandler
注销 XML 配置
该元素添加了对通过导航到特定 URL 进行注销的支持。
默认注销 URL 为 ,但您可以使用该属性将其设置为其他内容。
有关其他可用属性的更多信息,请参阅 namespace appendix。logout
/logout
logout-url
Logout处理程序
通常,implementations 表示能够参与注销处理的类。
应调用它们来执行必要的清理。
因此,他们应该
不会引发异常。
提供了各种实现:LogoutHandler
有关详细信息,请参阅 Remember-Me Interfaces and Implementations 。
Fluent API 不是直接提供实现,而是提供了在后台提供相应实现的快捷方式。
例如 允许指定在注销成功时要删除的一个或多个 Cookie 的名称。
与添加 .LogoutHandler
LogoutHandler
deleteCookies()
CookieClearingLogoutHandler
LogoutSuccessHandler (登录成功处理程序)
在成功注销后由 调用 ,以处理例如
重定向或转发到适当的目标。
请注意,该接口与 interface 几乎相同,但可能会引发异常。LogoutSuccessHandler
LogoutFilter
LogoutHandler
提供了以下实现:
-
HttpStatusReturningLogoutSuccessHandler
如上所述,您无需直接指定。
相反,Fluent API 通过设置 .
这将设置后台。
注销后,提供的 URL 将被重定向到。
默认值为 .SimpleUrlLogoutSuccessHandler
logoutSuccessUrl()
SimpleUrlLogoutSuccessHandler
/login?logout
在 REST API 类型的场景中,这可能很有趣。
这允许您提供要返回的纯 HTTP 状态代码,而不是在成功注销后重定向到 URL。
如果未配置,则默认返回状态码 200。HttpStatusReturningLogoutSuccessHandler
LogoutSuccessHandler
更多与 Logout 相关的参考
-
在 CSRF 注意事项 一节中注销
-
部分 Single Logout (CAS protocol)
-
Spring Security XML Namespace 部分中的 logout 元素的文档