对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cn

处理注销

本节介绍如何自定义注销的处理。spring-doc.cn

注销 Java/Kotlin 配置

使用 Bean 时,将自动应用注销功能。 默认情况下,访问 URL 会通过以下方式注销用户:HttpSecurity/logoutspring-doc.cn

但是,与配置登录功能类似,您也有多种选项可以进一步自定义注销要求:spring-doc.cn

注销配置
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .logout(logout -> logout                                                (1)
            .logoutUrl("/my/logout")                                            (2)
            .logoutSuccessUrl("/my/index")                                      (3)
            .logoutSuccessHandler(logoutSuccessHandler)                         (4)
            .invalidateHttpSession(true)                                        (5)
            .addLogoutHandler(logoutHandler)                                    (6)
            .deleteCookies(cookieNamesToClear)                                  (7)
        )
        ...
}
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
    http {
        logout {                                                  (1)
            logoutUrl = "/my/logout"                              (2)
            logoutSuccessUrl = "/my/index"                        (3)
            logoutSuccessHandler = customLogoutSuccessHandler     (4)
            invalidateHttpSession = true                          (5)
            addLogoutHandler(logoutHandler)                       (6)
            deleteCookies(cookieNamesToClear)                     (7)
        }
    }
    // ...
}
1 提供注销支持。
2 触发 log out 发生的 URL(默认值为 )。 如果启用了 CSRF 保护(默认),则请求也必须是 POST。 有关更多信息,请参阅 logoutUrl(java.lang.String logoutUrl)。/logout
3 注销后要重定向到的 URL。 默认值为 . 有关更多信息,请参阅 logoutSuccessUrl(java.lang.String logoutSuccessUrl)。/login?logout
4 允许您指定自定义 . 如果指定了此项,则忽略此项。 有关更多信息,请参阅 LogoutSuccessHandlerLogoutSuccessHandlerlogoutSuccessUrl()
5 指定是否在注销时使 失效。 默认情况下,这是 true。 配置后台。 有关更多信息,请参阅 invalidateHttpSession(boolean invalidateHttpSession)。HttpSessionSecurityContextLogoutHandler
6 添加一个 . 默认情况下,将添加为最后一个 。LogoutHandlerSecurityContextLogoutHandlerLogoutHandler
7 让我们指定在注销成功时删除 Cookie 的名称。 这是显式添加 的快捷方式。CookieClearingLogoutHandler

还可以使用 XML Namespace 表示法配置注销。 有关更多详细信息,请参阅 Spring Security XML Namespace 部分中 logout 元素的文档。spring-doc.cn

通常,要自定义注销功能,您可以添加 or 实现。 对于许多常见场景,这些处理程序在 涵盖使用 Fluent API 时。LogoutHandlerLogoutSuccessHandlerspring-doc.cn

注销 XML 配置

该元素添加了对通过导航到特定 URL 进行注销的支持。 默认的注销 URL 是 ,但您可以通过设置属性将其设置为其他值。 您可以在 namespace appendix.logout/logoutlogout-urlspring-doc.cn

Logout处理程序

通常,implementations 表示能够参与注销处理的类。 应调用它们来执行必要的清理。 因此,他们应该 不会引发异常。 Spring Security 提供了各种实现:LogoutHandlerspring-doc.cn

有关详细信息,请参阅 Remember-Me Interfaces and Implementationsspring-doc.cn

Fluent API 不是直接提供实现,而是提供了在后台提供相应实现的快捷方式。 例如,允许您指定要在注销成功时删除的一个或多个 Cookie 的名称。 与添加 .LogoutHandlerLogoutHandlerdeleteCookies()CookieClearingLogoutHandlerspring-doc.cn

LogoutSuccessHandler (登录成功处理程序)

在成功注销后由 调用 ,以处理 (例如) 重定向或转发到适当的目标。 请注意,该接口与 interface 几乎相同,但可能会引发异常。LogoutSuccessHandlerLogoutFilterLogoutHandlerspring-doc.cn

Spring Security 提供了以下实现:spring-doc.cn

如前所述,您无需直接指定 。 相反,Fluent API 通过设置 . 这将设置在后台。 注销后,提供的 URL 将被重定向到。 默认值为 .SimpleUrlLogoutSuccessHandlerlogoutSuccessUrl()SimpleUrlLogoutSuccessHandler/login?logoutspring-doc.cn

在 REST API 类型的场景中,这可能很有趣。 这允许您提供要返回的纯 HTTP 状态代码,而不是在成功注销时重定向到 URL。 如果未配置,则默认返回状态代码 200。HttpStatusReturningLogoutSuccessHandlerLogoutSuccessHandlerspring-doc.cn

更多与 Logout 相关的参考