17、Spring Security 实战 - 注销登录的实现及原理分析
前言
经过前面几个章节的学习, 已经带各位实现了两种方式的自动登录。咱们现在已经学会了如何自动登录,那么又该如何退出登录呢?接下来请再跟着 把注销登录功能也实现一下吧。
一. 注销登录
1. 代码实现
我们直接在之前案例的基础上进行代码实现,这里还是在SecurityConfig类中配置,其实退出登录功能的实现很简单。
@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Value("${spring.security.remember-me.key}")
private String rememberKey;
@Autowired
private DataSource dataSource;
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
tokenRepository.setDataSource(dataSource);
http.authorizeRequests()
.antMatchers("/admin/**")
.hasRole("ADMIN")
.antMatchers("/user/**")
.hasRole("USER")
.antMatchers("/app/**")
.permitAll()
.anyRequest()
.authenticated()
.and()
.formLogin()
.permitAll()
.and()
//开启记住我功能
.rememberMe()
.userDetailsService(userDetailsService)
//1.散列加密方案
.key(rememberKey)
//2.持久化令牌方案
.tokenRepository(tokenRepository)
//7天有效期
.tokenValiditySeconds(60 * 60 * 24 * 7)
.and()
//配置退出登录功能
.logout()
//关联自己的退出登录接口
.logoutUrl("/user/logout")
//注销成功,重定向到该路径下
.logoutSuccessUrl("/login")
//与logoutSuccessUrl处理策略类似,但更灵活.
//.logoutSuccessHandler(new LogoutSuccessHandler() {
// @Override
// public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
//处理成功退出登录后的业务
// }
//})
//.addLogoutHandler(new LogoutHandler() {
// @Override
// public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
//处理退出登录业务
// }
//})
//使得session失效
.invalidateHttpSession(true)
//清除认证信息
.clearAuthentication(true)
//删除指定的cookie
.deleteCookies("cookie01","cookie02")
.and()
.csrf()
.disable();
}
@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
}
注意:
当我们退出登录时,可能也需要处理实现一些业务,我们可以把退出的功能直接在logout接口内部实现,也可以利用logoutSuccessHandler()方法 + addLogoutHandler()方法来实现,请参考我注释掉的代码进行实现。
2. 自定义退出登录接口
如果我们想自己编写退出登录时的业务逻辑,也可以在UserController中定义一个“/logout”接口,处理退出登录功能。
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping("hello")
public String hello() {
return "hello, user";
}
@RequestMapping("/logout")
public void logout(HttpSession session){
session.invalidate();
System.out.println("logout执行了...");
}
}
3. 启动项目测试
这时候我们可以直接访问"/logout"接口直接退出,会出现下图效果:
也可以通过调用我们自定义的"/user/logout"接口退出登录,执行完后,会直接重定向到我们的登录页面。
而且我们之前保存在persistent_logins表中的令牌信息也都被清除掉了,说明我们已经实现了退出登录功能了。
这就是注销登录功能的代码实现,是不是很简单?
二. 注销登录源码分析
掌握了注销登录的代码实现后,你可能对注销登录的底层实现很好奇,那么接下来我们就分析一下这个注销登录的底层实现原理吧。
1. 默认的logout接口
认证系统往往都会带有注销登录功能,所以Spring Security中也提供了对注销登录的支持,默认带有“/logout”接口来实现该功能。
当我们编写SecurityConfig类,继承WebSecurityConfigurerAdapter类时,这时候我们打开WebSecurityConfigurerAdapter类的源码,就可以在WebSecurityConfigurerAdapter中的getHttp()方法中,发现默认就有对logout()的配置实现,如下图所示。
2. logout()方法源码实现
我们点击logout()方法,进到logout()方法的源码中,可以看到其内部实现,关联执行一个LogoutConfigurer类对象。
3. LogoutConfigurer类源码分析
我们继续进入到LogoutConfigurer类中,在该类中可以发现有对默认退出登录地址的属性定义。
并且在LogoutConfigurer类中,还通过configure()方法添加了对LogoutFilter过滤器的配置。
4. LogoutFilter过滤器
然后我们进入到LogoutFilter过滤器中,首先会发现在该过滤器的构造方法中传递进来了LogoutSuccessHandler,LogoutHandler两个重要的参数,并且添加了对“/logout”地址的配置。
因为这是一个过滤器,肯定会执行doFilter()方法,所以我们看一下doFilter()方法。我们会发现在LogoutFilter过滤器的doFilter()方法中,可以看到在这里关联执行了我们自己配置的LogoutHandler和LogoutSuccessHandler这两个接口,分别处理退出登录和退出登录成功后的业务。
以上就是Spring Security中关于退出登录功能的底层实现,大家可以按照我的思路,研究一下底层实现。
至此,就结合着源码和底层原理,给大家讲解了如何实现退出登录了。你掌握的怎么样呢?请在评论区给 留言,说说你的感受吧!