注销不适用于 Spring Boot、Spring Security 和 Thymleaf
[英]Logout doesn't work with Spring Boot, Spring Security and Thymleaf
问题描述
我正在尝试为我们的 Spring 引导应用程序添加注销 function 但 Spring 注销不起作用...经过身份验证的用户仍然存在并且它没有清除安全上下文。 真正让我吃惊的是,它有时有效,有时无效。 我不知道为什么!
Thymeleaf:
<li><a class="dropdown-item" href="javascript: document.logoutForm.submit()" role="menuitem"><i class="fas fa-sign-out-alt"></i> Logout</a></li>
<form name="logoutForm" th:action="@{/logout}" method="post" th:hidden="true">
<input hidden type="submit" value="Sign Out"/>
</form>
这是我的注销代码块;
.logout()
.clearAuthentication(true)
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.logoutSuccessUrl("/oauth2/authorization/login")
.addLogoutHandler(new HeaderWriterLogoutHandler(
new ClearSiteDataHeaderWriter(
ClearSiteDataHeaderWriter.Directive.CACHE,
ClearSiteDataHeaderWriter.Directive.COOKIES,
ClearSiteDataHeaderWriter.Directive.STORAGE)));
我也尝试过,但没有帮助;
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
有谁知道为什么它有这种奇怪的行为?
2 个解决方案
解决方案1
1 已采纳 2021-03-03 23:47:27
让我假设问题是 oauth2 登录/注销配置的配置不完整:
@EnableWebSecurity
public class WebSecurity extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/").permitAll()
.anyRequest().authenticated()
.and()
.logout()
.logoutSuccessHandler(logoutSuccessHandler())
.invalidateHttpSession(true)
.clearAuthentication(true)
.deleteCookies("JSESSIONID")
.and()
.oauth2Login();
}
private LogoutSuccessHandler logoutSuccessHandler() {
...
}
}
注意两个时刻:
-
.oauth2Login()- 使用 OAuth 2.0 配置身份验证支持 -
.logoutSuccessHandler(...)- 为结束 session 的用户重定向到正确的 oauth2 服务器注销端点。 不幸的是,我不知道您的 oauth2 提供商,无论如何我建议查看OidcClientInitiatedLogoutSuccessHandler以了解如何重定向到注销 url。 如果您不使用openidoauth2 提供程序,您可以基于SimpleUrlLogoutSuccessHandler实现自己的注销处理程序,您应该只知道注销 url 和 url 参数,用于在 oauth2 服务器上成功注销后重定向。
解决方案2
0 2021-02-26 14:13:16
我有类似的问题。 现在已经解决了。 我使用了以下代码:
.and().logout().logoutSuccessUrl("/logoutSuccess").deleteCookies("JSESSIONID").invalidateHttpSession(true);
试试这个。 它正在我的机器上工作。
UsernameNotFoundException:Spring Boot + Spring Security中的登录表单不起作用
[英]UsernameNotFoundException: Login form in Spring Boot + Spring Security doesn't work
没有Spring Boot的Spring Security身份验证与Spring Boot和类似配置不兼容
[英]Spring security authentication without spring boot doesn't work as opposed to with spring boot and similar configuration
Spring Boot Actuator Endpoints 安全性不适用于自定义 Spring 安全配置
[英]Spring Boot Actuator Endpoints security doesn't work with custom Spring Security Configuration
使用JSP作为视图引擎注销的Spring Boot安全性不起作用
[英]spring boot security using JSP as view engine logout does not work
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Spring Security Logout不适用于Spring 4 CORS
UsernameNotFoundException:Spring Boot + Spring Security中的登录表单不起作用
没有Spring Boot的Spring Security身份验证与Spring Boot和类似配置不兼容
Thymeleaf 安全性无法正常工作(Spring Boot)
Spring Boot Actuator Endpoints 安全性不适用于自定义 Spring 安全配置
使用JSP作为视图引擎注销的Spring Boot安全性不起作用
Spring Security @PreAuthorize注释不起作用
CrossOrigin注释不适用于Spring Security
春季安全+休息不起作用
使用 Spring 保护应用程序安全不起作用
相关标签