`
kong0itey
  • 浏览: 306128 次
社区版块
存档分类
最新评论

《Spring Security3》第三章第二部分翻译(退出功能的实现)(转载)

阅读更多

 

理解退出功能

术语退出( Logout )指的是用户使其安全 session失效 的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“ Log Out ”的链接,并再次访问站点以了解其如何实现功能的。

在站点页头上添加“ Log Out ”链接

正如我们在第二章中讨论的那样, Spring Security 将会监视一些特殊的 URL ,这些 URL 将会触发过滤器链中的一个或多个过滤器。用户实现退出的 URL 标识为 /j_spring_security_logout 。在 header.jsp 中添加一个退出的链接与为一个锚标签(即 a 标签)添加适合的 href 属性:

 

 

Html代码  收藏代码
  1. < c:url   value = "/j_spring_security_logout"   var = "logoutUrl" />   
  2. < li > < a   href = "${logoutUrl}" > Log Out </ a > </ li >   
 

 

如果你重新加载站点并点击“ Log Out ”链接,你会发现被重置到登录 form 的界面。现在看来,登录和退出是很有趣的!

【使用 JSTL URL 标签来处理相对 URL 。我们使用了 JSTL 核心库中的 url 标签来保证提供的 URL 在部署的 web 应用中能够被正确处理。 url 标签将提供的 URL 按照相对路径(以 / 开始)进行处理。你可能会见过其他类似的实现技术如使用 JSP 的代码( (<%= request.getContextPath() %>) ),但是 JSTL url 标签能够使得你免于编写内联的代码。】

让我们看一下在这个简单操作的背后都发生了什么。

退出是怎么实现的

当我们点击退出链接时,到底发生了什么?

需要记住的一点是任何 URL 请求在被 servlet 处理之前,都会经过 Spring Security 的过滤器链。所以, /j_spring_security_logout 这个 URL 请求并非对应系统中的一个 JSP ,也不必有一个真正的 JSP 或者 Spring MVC 的目标来对其进行处理。这种类型的 URL 通常被称为虚拟 URL

 

请求 /j_spring_security_logout URL o.s.s.web.authentication.logout.LogoutFilter 过滤器所拦截。在 Spring Security 的众多默认过滤器中, LogoutFilter 专门匹配这个虚拟 URL 并执行相应的操作。

 

让我们快速地查看一下 Spring Security security 命名空间提供的默认退出功能:

 

Xml代码  收藏代码
  1. < http   auto-config = "true"   use-expressions = "true" >   
  2.   < logout   invalidate-session = "true"   
  3.       logout-success-url = "/"   
  4.       logout-url = "/j_spring_security_logout" />   
  5. </ http >   

  

 

基于这个基本配置,系统将会寻找在 logout-url 属性配置的 URL 并实现用户的退出。使得用户退出系统将会涉及如下的三个步骤:

1.       使得 HTTP session 失效(如果 invalidate-session 属性被设置为 true );

2.       清除 SecurityContex (真正使得用户退出);

3.       将页面重定向至 logout-success-url 指明的 URL

以下的图片阐述了退出的过程:



 o.s.s.web.authentication.logout.LogoutHandler 接口的实现类可以在用户通过 LogoutFilter 退出时被调用。你可以实现自己的 LogoutHandler (尽管比较复杂)并将其关联到 LogoutFilter 的生命周期中。通过 LogoutFilter 默认设置的 LogoutHandler 将会清除 session 以及 remember me 相关的功能,所以用户的 session 中不会再持有认证相关的信息。最后,通过一个 o.s.s.web.

authentication.logout.LogoutSuccessHandler 接口的默认实现,页面得以重定向到一个 URL 。默认实现中会将页面重定向到我们配置的成功退出 URL 地址(默认为 / ),但是我们自定义任何系统在用户退出时想要的操作。值得注意的是,退出的处理不应该抛出异常,因为很重要的一点是要在用户的安全 session 中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录。

修改 logout URL

让我们尝试重写默认的 logout URL 来提供一个修改自动设置的简单例子。我们将会修改 logout URL /logout

修改 dogstore-security.xml 配置文件来包含 <logout> 元素如下的代码所示:

 

 

Xml代码  收藏代码
  1. < http   auto-config = "true"   use-expressions = "true" >   
  2. ...  
  3. ..< logout   invalidate-session = "true"   
  4.       logout-success-url = "/"   
  5.       logout-url = "/logout" />   
  6. </ http >   
 

 

修改 /common/header.jsp 文件来改变 logout 链接的 herf 属性以匹配新的 URL:

 

 

Html代码  收藏代码
  1. < c:url   value = "/logout"   var = "logoutUrl" />   
  2. < li > < a   href = "${logoutUrl}" > Log Out </ a > </ li >   
 

 

重新启动应用并进行尝试。你可以发现使用 /logout URL 取代了 /j_spring_security_logout 实现用户的退出。你可能也会发现当你尝试 /j_spring_security_logout 这个地址时,你会得到一个 Page not Found(404) 的错误,是因为这个 URL 不与任何一个实际的 servlet 资源相对应并且不会被过滤器所处理。

Logout 配置命令

<logout> 元素包含其他的配置指令以实现更复杂的退出功能,介绍如下:

属性

描述

invalidate-session

如果被设置为 true ,用户的 HTTP session 将会在退出时被失效。在一些场景下,这是必要的(如用户拥有一个购物车时)

logout-success-url

用户在退出后将要被重定向到的 URL 。默认为 / 。将会通过 HttpServletResponse.redirect 来处理。

logout-url

LogoutFilter 要读取的 URL (在例子中,我们改变了它的设置)。

success-handler-ref

对一个 LogoutSuccessHandler 实现的引用。

分享到:
评论

相关推荐

    Spring Security3中文文档

    ### 第二章:深入理解Spring Security3 本章深入探讨了Spring Security3的内部机制,包括安全过滤器链、认证管理器(Authentication Manager)的工作原理以及如何定制这些组件以满足特定需求。 ### 第三章:高级安全...

    Spring Security 3多用户登录实现之十一 退出

    Spring Security 3中,可以开启CSRF保护,确保登出请求是用户主动发起的,而不是恶意第三方的伪造请求。 5. **重定向策略**: 登出成功后,用户通常会被重定向到一个特定的URL,这可以通过`logout-success-url`...

    spring security + oauth 2.0 实现单点登录、认证授权

    - OAuth 2.0是一个授权框架,允许第三方应用在用户授权下访问其存储在另一服务提供商上的私有资源。在SSO中,OAuth 2.0常用于获取访问令牌,以便客户端应用能够代表用户进行操作。 - OAuth 2.0的主要流程包括授权...

    Spring Security3 中文版 张卫滨 推荐

    ### 第二章:Spring Security起步 这一章重点介绍了如何快速集成Spring Security到现有的项目中。 - **安全的核心概念**:深入浅出地解释了安全领域的重要概念,如认证、授权等。 - **实现Spring Security的XML...

    spring security3中文文档

    #### 第二章:Spring Security起步 - **安全的核心概念**:深入探讨认证与授权等核心概念。 - **认证**:详细介绍认证的过程及其实现方式。 - **授权**:讲解授权的概念以及在Spring Security中的实现方式。 - **三...

    spring security 参考手册中文版

    第二部分 架构与实现 73 9.技术概述 73 9.1运行环境 73 9.2核心组件 74 9.2.1 SecurityContextHolder,SecurityContext和认证对象 74 获取有关当前用户的信息 75 9.2.2 UserDetailsService 75 9.2.3授予权力 77 ...

    SpringSecurity 中文

    #### 第二章:Spring Security 起步 **安全的核心概念** - **认证**:验证用户身份的过程。 - **授权**:根据用户的角色和权限决定其可以访问哪些资源。 **三步之内使我们的应用变得安全** 1. **配置Spring ...

    springsecurity.pdf

    SiteMinder认证机制是一种与第三方安全解决方案集成的方式,适用于大型企业级应用。 ##### 9.2 配置 配置SiteMinder认证机制需要与SiteMinder服务器进行交互,设置相应的认证代理和会话管理参数。 #### 九、Run-...

    SpringSecurity的配套示例源码

    - 支持OAuth2协议,实现第三方登录功能,如Google、Facebook等。 9. **SpringSecurity测试** - 提供了模拟用户认证的`@WithMockUser`和`@WithUserDetails`注解,方便进行安全相关的单元测试。 10. **Spring...

    SpringSecurity_03 整合SpringBoot1

    整合认证第二版的步骤包括:创建自定义登录页面、配置 SpringSecurity 路径权限、连接数据库以存储用户信息,并实现认证逻辑。这通常涉及配置 `UserDetailsService` 和 `AuthenticationProvider`,以及可能的密码...

    springboot-06-security security的页面模板(06).zip

    它集成了大量常用的第三方库配置,如 JDBC、MongoDB、JPA、RabbitMQ、Quartz 等,使得开发者能够快速构建稳定、生产级别的应用。在这个"springboot-06-security"项目中,我们主要关注的是Spring Security,它是...

    springcloud+auth2

    而OAuth2则是一种授权框架,用于保护资源服务器的安全,允许第三方应用安全地访问用户的数据。当我们结合Spring Cloud和OAuth2时,我们可以构建一个支持单点登录(Single Sign-On, SSO)的系统,提供高效且安全的...

    Spring boot 中文.pdf

    - **Actuator Security**:Spring Boot Actuator 提供了监控和管理功能,可以对其进行安全性配置。 - **使用 SQL 数据库**: - **配置 DataSource**:如何配置数据源,以便与关系型数据库交互。 - **使用 ...

    java web jsp 常用模块1数据库连接2登陆退出3字符处理4目录处理5分页显示

    而"ch03"可能是教程或代码示例的第三章,可能详细讲解了这些模块中的某一个或几个。"说明.txt"则可能包含更详细的解释或使用指南。 总的来说,这些模块覆盖了Java Web开发中的基础和核心部分,对于初学者或有经验的...

    spring boot 项目,Meeting会议管理系统

    这通常涉及到邮件或消息推送服务的集成,Spring Boot提供了多种方式来集成第三方服务,如使用JavaMailSender接口发送邮件。 3. **日程提醒与通知**:系统可以设置自动提醒功能,确保每个参与者都能在会议开始前提前...

    基于SSM框架开发的一个博客系统项目+源代码+文档说明

    一、项目主要功能 使用SSM框架开发的一个博客系统,包含的功能大致有: ...2.安全框架:Spring-Security 3.数据库:Mysql 4.缓存技术:Redis 5.消息中间件:ActiveMQ 6.搜索引擎:solr 7.富文本

    shiro用户教程pdf

    ### 第三章:授权 #### 3.1 授权方式 Shiro支持多种授权方式,包括基于角色的访问控制(Role-Based Access Control, RBAC)和基于权限的访问控制(Permission-Based Access Control)。 #### 3.2 权限...

Global site tag (gtag.js) - Google Analytics