处理注销
在最终用户可以登录的应用程序中,他们也应该能够注销。
默认情况下,Spring Security 提供了一个 /logout 端点,因此无需额外代码。
本节其余部分涵盖了一些您可以考虑的用例
-
我想了解注销的架构
-
我想知道何时需要明确允许
/logout端点 -
我想在用户注销时清除 cookies、存储和/或缓存
-
我正在使用 OAuth 2.0,我想与授权服务器协调注销
-
我正在使用 SAML 2.0,我想与身份提供商协调注销
-
我正在使用 CAS,我想与身份提供商协调注销
理解注销的架构
当您包含 spring-boot-starter-security 依赖或使用 @EnableWebSecurity 注解时,Spring Security 将添加其注销支持,并默认响应 GET /logout 和 POST /logout。
如果您请求 GET /logout,则 Spring Security 会显示一个注销确认页面。除了为用户提供有价值的二次确认机制外,它还提供了一种简单的方法来为 POST /logout 提供所需的 CSRF 令牌。
请注意,如果在配置中禁用了CSRF 保护,则不会向用户显示注销确认页面,并且会直接执行注销。
在您的应用程序中,无需使用 GET /logout 来执行注销。只要请求中存在所需的 CSRF 令牌,您的应用程序只需 POST /logout 即可触发注销。 |
如果您请求 POST /logout,它将使用一系列LogoutHandler 实例执行以下默认操作
-
使 HTTP 会话失效 (
SecurityContextLogoutHandler) -
清除
SecurityContextHolderStrategy(SecurityContextLogoutHandler) -
清理任何RememberMe 认证 (
TokenRememberMeServices/PersistentTokenRememberMeServices) -
清除任何已保存的CSRF 令牌 (
CsrfLogoutHandler) -
触发一个
LogoutSuccessEvent(LogoutSuccessEventPublishingLogoutHandler)
完成后,它将执行其默认的LogoutSuccessHandler,该处理程序会重定向到 /login?logout。
自定义注销 URI
由于 LogoutFilter 在 AuthorizationFilter 在过滤链中的位置之前出现,因此默认情况下无需明确允许 /logout 端点。因此,通常只有您自己创建的自定义注销端点才需要 permitAll 配置才能访问。
例如,如果您想简单地更改 Spring Security 匹配的 URI,可以在 logout DSL 中按以下方式进行
-
Java
-
Kotlin
-
Xml
http
.logout((logout) -> logout.logoutUrl("/my/logout/uri"))http {
logout {
logoutUrl = "/my/logout/uri"
}
}<logout logout-url="/my/logout/uri"/>并且不需要进行授权更改,因为它只是调整了 LogoutFilter。
但是,如果您建立自己的注销成功端点(或者在极少数情况下,您自己的注销端点),例如使用Spring MVC,则需要在 Spring Security 中允许它。这是因为 Spring MVC 在 Spring Security 处理您的请求之后才会处理。
您可以使用 authorizeHttpRequests 或 <intercept-url> 来做到这一点,如下所示
-
Java
-
Kotlin
-
Xml
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/my/success/endpoint").permitAll()
// ...
)
.logout((logout) -> logout.logoutSuccessUrl("/my/success/endpoint"))http {
authorizeHttpRequests {
authorize("/my/success/endpoint", permitAll)
}
logout {
logoutSuccessUrl = "/my/success/endpoint"
}
}<http>
<filter-url pattern="/my/success/endpoint" access="permitAll"/>
<logout logout-success-url="/my/success/endpoint"/>
</http>在这个例子中,您告诉 LogoutFilter 在完成后重定向到 /my/success/endpoint。并且,您在 AuthorizationFilter 中明确允许 /my/success/endpoint 端点。
然而,指定两次可能很麻烦。如果您使用 Java 配置,则可以在注销 DSL 中设置 permitAll 属性,如下所示
-
Java
-
Kotlin
http
.authorizeHttpRequests((authorize) -> authorize
// ...
)
.logout((logout) -> logout
.logoutSuccessUrl("/my/success/endpoint")
.permitAll()
)http
authorizeHttpRequests {
// ...
}
logout {
logoutSuccessUrl = "/my/success/endpoint"
permitAll = true
}这会自动将所有注销 URI 添加到允许列表。
添加清理操作
如果您使用 Java 配置,您可以通过在 logout DSL 中调用 addLogoutHandler 方法来添加您自己的清理操作,如下所示
-
Java
-
Kotlin
CookieClearingLogoutHandler cookies = new CookieClearingLogoutHandler("our-custom-cookie");
http
.logout((logout) -> logout.addLogoutHandler(cookies))http {
logout {
addLogoutHandler(CookieClearingLogoutHandler("our-custom-cookie"))
}
}因为LogoutHandler 实例用于清理目的,所以它们不应该抛出异常。 |
由于LogoutHandler 是一个函数式接口,您可以将其作为 lambda 提供一个自定义实现。 |
一些注销处理器配置非常常见,因此它们直接在 logout DSL 和 <logout> 元素中公开。一个例子是配置会话失效,另一个例子是应该删除哪些额外的 cookie。
例如,您可以配置如上所示的CookieClearingLogoutHandler。
-
Java
-
Kotlin
-
Xml
http
.logout((logout) -> logout.deleteCookies("our-custom-cookie"))http {
logout {
deleteCookies = "our-custom-cookie"
}
}<http>
<logout delete-cookies="our-custom-cookie"/>
</http>指定 JSESSIONID cookie 不是必需的,因为SecurityContextLogoutHandler 通过使会话失效来将其移除。 |
使用 Clear-Site-Data 注销用户
Clear-Site-Data HTTP 头是浏览器支持的一个指令,用于清除属于网站的 cookies、存储和缓存。这是一个便捷且安全的方式,确保在注销时清理所有内容,包括会话 cookie。
您可以配置 Spring Security 在注销时写入 Clear-Site-Data 头,如下所示
-
Java
-
Kotlin
HeaderWriterLogoutHandler clearSiteData = new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter());
http
.logout((logout) -> logout.addLogoutHandler(clearSiteData))val clearSiteData = HeaderWriterLogoutHandler(ClearSiteDataHeaderWriter())
http {
logout {
addLogoutHandler(clearSiteData)
}
}您向 ClearSiteDataHeaderWriter 构造函数提供您希望清除的项目列表。
上述配置会清除所有站点数据,但您也可以配置它只删除 cookies,如下所示
-
Java
-
Kotlin
HeaderWriterLogoutHandler clearSiteData = new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter(Directive.COOKIES));
http
.logout((logout) -> logout.addLogoutHandler(clearSiteData))val clearSiteData = HeaderWriterLogoutHandler(ClearSiteDataHeaderWriter(Directive.COOKIES))
http {
logout {
addLogoutHandler(clearSiteData)
}
}自定义注销成功处理
虽然在大多数情况下使用 logoutSuccessUrl 就足够了,但在注销完成后,您可能需要执行与重定向到 URL 不同的操作。LogoutSuccessHandler 是 Spring Security 用于自定义注销成功操作的组件。
例如,您可能不想重定向,而是只想返回一个状态码。在这种情况下,您可以提供一个成功处理器实例,如下所示
-
Java
-
Kotlin
-
Xml
http
.logout((logout) -> logout.logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler()))http {
logout {
logoutSuccessHandler = HttpStatusReturningLogoutSuccessHandler()
}
}<bean name="mySuccessHandlerBean" class="org.springframework.security.web.authentication.logout.HttpStatusReturningLogoutSuccessHandler"/>
<http>
<logout success-handler-ref="mySuccessHandlerBean"/>
</http>由于LogoutSuccessHandler 是一个函数式接口,您可以将其作为 lambda 提供一个自定义实现。 |
创建自定义注销端点
强烈建议您使用提供的 logout DSL 来配置注销。其中一个原因是,很容易忘记调用所需的 Spring Security 组件以确保正确和完整的注销。
实际上,注册自定义的 LogoutHandler 通常比创建一个用于执行注销的Spring MVC 端点更简单。
话虽如此,如果您发现自己需要一个自定义注销端点,例如以下情况
-
Java
-
Kotlin
@PostMapping("/my/logout")
public String performLogout() {
// .. perform logout
return "redirect:/home";
}@PostMapping("/my/logout")
fun performLogout(): String {
// .. perform logout
return "redirect:/home"
}那么您需要让该端点调用 Spring Security 的SecurityContextLogoutHandler 以确保安全和完整的注销。至少需要以下类似的代码
-
Java
-
Kotlin
SecurityContextLogoutHandler logoutHandler = new SecurityContextLogoutHandler();
@PostMapping("/my/logout")
public String performLogout(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
// .. perform logout
this.logoutHandler.doLogout(request, response, authentication);
return "redirect:/home";
}val logoutHandler = SecurityContextLogoutHandler()
@PostMapping("/my/logout")
fun performLogout(val authentication: Authentication, val request: HttpServletRequest, val response: HttpServletResponse): String {
// .. perform logout
this.logoutHandler.doLogout(request, response, authentication)
return "redirect:/home"
}这样会根据需要清除 SecurityContextHolderStrategy 和 SecurityContextRepository。
此外,您还需要明确允许该端点。
未能调用SecurityContextLogoutHandler 意味着在后续请求中 SecurityContext 仍然可能可用,这意味着用户并未真正注销。 |
测试注销
配置好注销后,您可以使用Spring Security 的 MockMvc 支持进行测试。
