对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cn

处理注销

注销 Java/Kotlin 配置

注入 Bean 时,将自动应用注销功能。 默认情况下,访问 URL 将通过以下方式将用户注销:HttpSecurity/logoutspring-doc.cn

但是,与配置登录功能类似,您也有多种选项可以进一步自定义注销要求:spring-doc.cn

注销配置
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .logout(logout -> logout                                                (1)
            .logoutUrl("/my/logout")                                            (2)
            .logoutSuccessUrl("/my/index")                                      (3)
            .logoutSuccessHandler(logoutSuccessHandler)                         (4)
            .invalidateHttpSession(true)                                        (5)
            .addLogoutHandler(logoutHandler)                                    (6)
            .deleteCookies(cookieNamesToClear)                                  (7)
        )
        ...
}
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
    http {
        logout {                                                  (1)
            logoutUrl = "/my/logout"                              (2)
            logoutSuccessUrl = "/my/index"                        (3)
            logoutSuccessHandler = customLogoutSuccessHandler     (4)
            invalidateHttpSession = true                          (5)
            addLogoutHandler(logoutHandler)                       (6)
            deleteCookies(cookieNamesToClear)                     (7)
        }
    }
    // ...
}
1 提供注销支持。
2 触发注销的 URL(默认值为 )。 如果启用了 CSRF 保护(默认),则请求也必须是 POST。 有关更多信息,请参阅 Javadoc/logout
3 注销后要重定向到的 URL。 默认值为 . 有关更多信息,请参阅 Javadoc/login?logout
4 允许您指定自定义 . 如果指定了此项,则忽略此项。 有关更多信息,请参阅 JavadocLogoutSuccessHandlerlogoutSuccessUrl()
5 指定是否在注销时使 失效。 默认情况下,这是 true。 配置后台。 有关更多信息,请参阅 JavadocHttpSessionSecurityContextLogoutHandler
6 添加一个 . 默认添加为最后一个。LogoutHandlerSecurityContextLogoutHandlerLogoutHandler
7 允许指定注销成功时要删除的 Cookie 的名称。 这是显式添加 的快捷方式。CookieClearingLogoutHandler

当然,也可以使用 XML Namespace 表示法来配置注销。 有关更多详细信息,请参阅 Spring Security XML Namespace 部分中 logout 元素的文档。spring-doc.cn

通常,为了自定义注销功能,您可以添加和/或实施。 对于许多常见场景,这些处理程序在 涵盖使用 Fluent API 时。LogoutHandlerLogoutSuccessHandlerspring-doc.cn

注销 XML 配置

该元素添加了对通过导航到特定 URL 进行注销的支持。 默认注销 URL 为 ,但您可以使用该属性将其设置为其他内容。 有关其他可用属性的更多信息,请参阅 namespace appendix。logout/logoutlogout-urlspring-doc.cn

Logout处理程序

通常,implementations 表示能够参与注销处理的类。 应调用它们来执行必要的清理。 因此,他们应该 不会引发异常。 提供了各种实现:LogoutHandlerspring-doc.cn

有关详细信息,请参阅 Remember-Me Interfaces and Implementationsspring-doc.cn

Fluent API 不是直接提供实现,而是提供了在后台提供相应实现的快捷方式。 例如 允许指定在注销成功时要删除的一个或多个 Cookie 的名称。 与添加 .LogoutHandlerLogoutHandlerdeleteCookies()CookieClearingLogoutHandlerspring-doc.cn

LogoutSuccessHandler (登录成功处理程序)

在成功注销后由 调用 ,以处理例如 重定向或转发到适当的目标。 请注意,该接口与 interface 几乎相同,但可能会引发异常。LogoutSuccessHandlerLogoutFilterLogoutHandlerspring-doc.cn

提供了以下实现:spring-doc.cn

如上所述,您无需直接指定。 相反,Fluent API 通过设置 . 这将设置后台。 注销后,提供的 URL 将被重定向到。 默认值为 .SimpleUrlLogoutSuccessHandlerlogoutSuccessUrl()SimpleUrlLogoutSuccessHandler/login?logoutspring-doc.cn

在 REST API 类型的场景中,这可能很有趣。 这允许您提供要返回的纯 HTTP 状态代码,而不是在成功注销后重定向到 URL。 如果未配置,则默认返回状态码 200。HttpStatusReturningLogoutSuccessHandlerLogoutSuccessHandlerspring-doc.cn

更多与 Logout 相关的参考