《Spring Security3》第三章第二部分翻译（退出功能的实现）（转载）

 

理解退出功能

术语退出（ Logout ）指的是用户使其安全 session失效 的一种操作。一般来说，用户在退出后，将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“ Log Out ”的链接，并再次访问站点以了解其如何实现功能的。

在站点页头上添加“ Log Out ”链接

正如我们在第二章中讨论的那样， Spring Security 将会监视一些特殊的 URL ，这些 URL 将会触发过滤器链中的一个或多个过滤器。用户实现退出的 URL 标识为 /j_spring_security_logout 。在 header.jsp 中添加一个退出的链接与为一个锚标签（即 a 标签）添加适合的 href 属性：

 

 

<
c:url
 
value
=
"/j_spring_security_logout"
 
var
=
"logoutUrl"
/>

<
li
>
<
a
 
href
=
"${logoutUrl}"
>
Log Out
</
a
>
</
li
>

 

 

如果你重新加载站点并点击“ Log Out ”链接，你会发现被重置到登录 form 的界面。现在看来，登录和退出是很有趣的！

【使用 JSTL URL 标签来处理相对 URL 。我们使用了 JSTL 核心库中的 url 标签来保证提供的 URL 在部署的 web 应用中能够被正确处理。 url 标签将提供的 URL 按照相对路径（以 / 开始）进行处理。你可能会见过其他类似的实现技术如使用 JSP 的代码（ (<%= request.getContextPath() %>) ），但是 JSTL 的 url 标签能够使得你免于编写内联的代码。】

让我们看一下在这个简单操作的背后都发生了什么。

退出是怎么实现的

当我们点击退出链接时，到底发生了什么？

需要记住的一点是任何 URL 请求在被 servlet 处理之前，都会经过 Spring Security 的过滤器链。所以， /j_spring_security_logout 这个 URL 请求并非对应系统中的一个 JSP ，也不必有一个真正的 JSP 或者 Spring MVC 的目标来对其进行处理。这种类型的 URL 通常被称为虚拟 URL 。

 

请求 /j_spring_security_logout 的 URL 被 o.s.s.web.authentication.logout.LogoutFilter 过滤器所拦截。在 Spring Security 的众多默认过滤器中， LogoutFilter 专门匹配这个虚拟 URL 并执行相应的操作。

 

让我们快速地查看一下 Spring Security 的 security 命名空间提供的默认退出功能：

 

<
http
 
auto-config
=
"true"
 
use-expressions
=
"true"
>

  <
logout
 
invalidate-session
=
"true"

      logout-success-url
=
"/"

      logout-url
=
"/j_spring_security_logout"
/>

</
http
>

  

 

基于这个基本配置，系统将会寻找在 logout-url 属性配置的 URL 并实现用户的退出。使得用户退出系统将会涉及如下的三个步骤：

1.       使得 HTTP session 失效（如果 invalidate-session 属性被设置为 true ）；

2.       清除 SecurityContex （真正使得用户退出）；

3.       将页面重定向至 logout-success-url 指明的 URL 。

以下的图片阐述了退出的过程：

 o.s.s.web.authentication.logout.LogoutHandler 接口的实现类可以在用户通过 LogoutFilter 退出时被调用。你可以实现自己的 LogoutHandler （尽管比较复杂）并将其关联到 LogoutFilter 的生命周期中。通过 LogoutFilter 默认设置的 LogoutHandler 将会清除 session 以及 remember me 相关的功能，所以用户的 session 中不会再持有认证相关的信息。最后，通过一个 o.s.s.web.

authentication.logout.LogoutSuccessHandler 接口的默认实现，页面得以重定向到一个 URL 。默认实现中会将页面重定向到我们配置的成功退出 URL 地址（默认为 / ），但是我们自定义任何系统在用户退出时想要的操作。值得注意的是，退出的处理不应该抛出异常，因为很重要的一点是要在用户的安全 session 中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录。

修改 logout URL

让我们尝试重写默认的 logout URL 来提供一个修改自动设置的简单例子。我们将会修改 logout URL 为 /logout 。

修改 dogstore-security.xml 配置文件来包含 <logout> 元素如下的代码所示：

 

 

<
http
 
auto-config
=
"true"
 
use-expressions
=
"true"
>

...

..<
logout
 
invalidate-session
=
"true"

      logout-success-url
=
"/"

      logout-url
=
"/logout"
/>

</
http
>

 

 

修改 /common/header.jsp 文件来改变 logout 链接的 herf 属性以匹配新的 URL:

 

 

<
c:url
 
value
=
"/logout"
 
var
=
"logoutUrl"
/>

<
li
>
<
a
 
href
=
"${logoutUrl}"
>
Log Out
</
a
>
</
li
>

 

 

重新启动应用并进行尝试。你可以发现使用 /logout URL 取代了 /j_spring_security_logout 实现用户的退出。你可能也会发现当你尝试 /j_spring_security_logout 这个地址时，你会得到一个 Page not Found(404) 的错误，是因为这个 URL 不与任何一个实际的 servlet 资源相对应并且不会被过滤器所处理。

Logout 配置命令

<logout> 元素包含其他的配置指令以实现更复杂的退出功能，介绍如下：

属性	描述
invalidate-session	如果被设置为 true ，用户的 HTTP session 将会在退出时被失效。在一些场景下，这是必要的（如用户拥有一个购物车时）
logout-success-url	用户在退出后将要被重定向到的 URL 。默认为 / 。将会通过 HttpServletResponse.redirect 来处理。
logout-url	LogoutFilter 要读取的 URL （在例子中，我们改变了它的设置）。
success-handler-ref	对一个 LogoutSuccessHandler 实现的引用。