前言

经过前面几个章节的学习,一一哥 已经带各位实现了两种方式的自动登录。咱们现在已经学会了如何自动登录,那么又该如何退出登录呢?接下来请再跟着 壹哥 把注销登录功能也实现一下吧。

一. 注销登录

1. 代码实现

我们直接在之前案例的基础上进行代码实现,这里还是在Security Config类中配置,其实退出登录功能的实现很简单。

@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${spring.security.remember-me.key}")
    private String rememberKey;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);

        http.authorizeRequests()
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("/user/**")
                .hasRole("USER")
                .antMatchers("/app/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .permitAll()
                .and()
                //开启记住我功能
                .rememberMe()
                .userDetailsService(userDetailsService)
                //1.散列加密方案
                .key(rememberKey)
                //2.持久化令牌方案
                .tokenRepository(tokenRepository)
                //7天有效期
                .tokenValiditySeconds(60 * 60 * 24 * 7)
                .and()
                //配置退出登录功能
                .logout()
             //关联自己的退出登录接口
                .logoutUrl("/user/logout")
                //注销成功,重定向到该路径下
                .logoutSuccessUrl("/login")
                //与logoutSuccessUrl处理策略类似,但更灵活.
                //.logoutSuccessHandler(new LogoutSuccessHandler() {
                //    @Override
                //    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                          //处理成功退出登录后的业务
                //    }
                //})
                //.addLogoutHandler(new LogoutHandler() {
                //    @Override
                //    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
                         //处理退出登录业务
                //    }
                //})
                //使得session失效
                .invalidateHttpSession(true)
                //清除认证信息
                .clearAuthentication(true)
                //删除指定的cookie
                .deleteCookies("cookie01","cookie02")
                .and()
                .csrf()
                .disable();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
    
}

注意:

当我们退出登录时,可能也需要处理实现一些业务,我们可以把退出的功能直接在logout接口内部实现,也可以利用logout Success Handler()方法 + add Logout Handler()方法来实现,请参考我注释掉的代码进行实现。

2. 自定义退出登录接口

如果我们想自己编写退出登录时的业务逻辑,也可以在UserController中定义一个“/logout”接口,处理退出登录功能。

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("hello")
    public String hello() {

        return "hello, user";
    }

    @RequestMapping("/logout")
    public void logout(HttpSession session){
        session.invalidate();
        System.out.println("logout执行了...");
    }

}

3. 启动项目测试

这时候我们可以直接访问"/logout"接口直接退出,会出现下图效果:


springsecurity 超时自动登出 springsecurity关闭登录_java-ee


也可以通过调用我们自定义的"/user/logout"接口退出登录,执行完后,会直接重定向到我们的登录页面。


springsecurity 超时自动登出 springsecurity关闭登录_java-ee_02


而且我们之前保存在persistent_logins表中的令牌信息也都被清除掉了,说明我们已经实现了退出登录功能了。


springsecurity 超时自动登出 springsecurity关闭登录_java-ee_03


这就是注销登录功能的代码实现,是不是很简单?

二. 注销登录源码分析

掌握了注销登录的代码实现后,你可能对注销登录的底层实现很好奇,那么接下来我们就分析一下这个注销登录的底层实现原理吧。

1. 默认的logout接口

认证系统往往都会带有注销登录功能,所以Spring Security中也提供了对注销登录的支持,默认带有“/logout”接口来实现该功能

当我们编写SecurityConfig类,继承Web Security Configurer Adapter 类时,这时候我们打开Web Security Configurer Adapter 类的源码,就可以在Web Security Configurer Adapter中的getHttp()方法中,发现默认就有对logout()的配置实现,如下图所示。


springsecurity 超时自动登出 springsecurity关闭登录_底层实现_04


2. logout()方法源码实现

我们点击logout()方法,进到logout()方法的源码中,可以看到其内部实现,关联执行一个LogoutConfigurer类对象。


springsecurity 超时自动登出 springsecurity关闭登录_底层实现_05


3. LogoutConfigurer类源码分析

我们继续进入到LogoutConfigurer类中,在该类中可以发现有对默认退出登录地址的属性定义。


springsecurity 超时自动登出 springsecurity关闭登录_底层实现_06


并且在LogoutConfigurer类中,还通过configure()方法添加了对LogoutFilter过滤器的配置。


springsecurity 超时自动登出 springsecurity关闭登录_代码实现_07


4. LogoutFilter过滤器

然后我们进入到LogoutFilter过滤器中,首先会发现在该过滤器的构造方法中传递进来了LogoutSuccessHandler,LogoutHandler两个重要的参数,并且添加了对“/logout”地址的配置。


springsecurity 超时自动登出 springsecurity关闭登录_ide_08


因为这是一个过滤器,肯定会执行doFilter()方法,所以我们看一下doFilter()方法。我们会发现在LogoutFilter过滤器的doFilter()方法中,可以看到在这里关联执行了我们自己配置的LogoutHandler和LogoutSuccessHandler这两个接口,分别处理退出登录和退出登录成功后的业务。


springsecurity 超时自动登出 springsecurity关闭登录_java-ee_09


以上就是Spring Security中关于退出登录功能的底层实现,大家可以按照我的思路,研究一下底层实现。