Анализ исходного кода Spring Security восьмой: выход из Spring Security

Spring Security - это основа безопасности, которая может предоставить декларативные решения для управления безопасностью доступа для весенних корпоративных прикладных систем. Он обеспечивает набор бобов, которые можно настроить в контексте пружинного приложения, что делает полное использование пружинного IOC, DI (инверсия управления диспетцем, ди: инъекций зависимости) и функциями AOP (APCECT, ориентированная на программировании) для обеспечения применения систем с декларативным доступом. Управляющие возможности снижают усилие пишета много повторяющихся кода для контроля безопасности системы предприятия.

Принцип выхода

1. чистыйCookie
2. Очистить текущий пользовательremember-meзаписывать
3. делать текущимsessionнедействителен
4. Опустошает токSecurityContext
5. Перенаправить на экран входа

Spring Securityзапрос на выход (по умолчанию/logout)Зависит отLogoutFilterОбработка перехвата фильтра.

Выйти из реализации

1. Добавьте ссылку выхода на главную страницу

<a href="/signOut">退出</a>

2. настроитьMerryyouSecurityConfig

......
				.and()
                .logout()
                .logoutUrl("/signOut")//自定义退出的地址
                .logoutSuccessUrl("/register")//退出之后跳转到注册页面
                .deleteCookies("JSESSIONID")//删除当前的JSESSIONID
                .and()
......

Результаты следующие

Анализ исходного кода

LogoutFilter#doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		//#1.匹配到/logout请求
		if (requiresLogout(request, response)) {
			Authentication auth = SecurityContextHolder.getContext().getAuthentication();

			if (logger.isDebugEnabled()) {
				logger.debug("Logging out user '" + auth
						+ "' and transferring to logout destination");
			}
			//#2.处理1-4步
			this.handler.logout(request, response, auth);
			//#3.重定向到注册界面
			logoutSuccessHandler.onLogoutSuccess(request, response, auth);

			return;
		}

		chain.doFilter(request, response);
	}

1. Совпадает с текущими перехваченными запросами
2. очистить процессCookie,remember-me,sessionиSecurityContext
3. Перенаправить на экран входа

handler

1. CookieClearingLogoutHandlerпустойCookie
2. PersistentTokenBasedRememberMeServicesпустойremember-me
3. SecurityContextLogoutHandlerделать текущимsessionНедействительно, очистить текущийSecurityContext

CookieClearingLogoutHandler#logout

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		for (String cookieName : cookiesToClear) {
			//# 1.Cookie置为null
			Cookie cookie = new Cookie(cookieName, null);
			String cookiePath = request.getContextPath();
			if (!StringUtils.hasLength(cookiePath)) {
				cookiePath = "/";
			}
			cookie.setPath(cookiePath);
			cookie.setMaxAge(0);
			response.addCookie(cookie);
		}
	}

1. Cookieустановить на ноль

PersistentTokenBasedRememberMeServices#logout

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		super.logout(request, response, authentication);

		if (authentication != null) {
			//#1.清空persistent_logins表中记录
			tokenRepository.removeUserTokens(authentication.getName());
		}
	}

1. Пустые записи в таблице persist_logins

SecurityContextLogoutHandler#logout

public void logout(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) {
		Assert.notNull(request, "HttpServletRequest required");
		if (invalidateHttpSession) {
			HttpSession session = request.getSession(false);
			if (session != null) {
				logger.debug("Invalidating session: " + session.getId());
				//#1.使当前session失效
				session.invalidate();
			}
		}

		if (clearAuthentication) {
			SecurityContext context = SecurityContextHolder.getContext();
			//#2.清空当前的`SecurityContext`
			context.setAuthentication(null);
		}

		SecurityContextHolder.clearContext();
	}

1. аннулировать текущий сеанс
2. очистить текущийSecurityContext

AbstractAuthenticationTargetUrlRequestHandler#handle

	protected void handle(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		//#1.获取配置的跳转地址
		String targetUrl = determineTargetUrl(request, response);

		if (response.isCommitted()) {
			logger.debug("Response has already been committed. Unable to redirect to "
					+ targetUrl);
			return;
		}
		//#2.跳转请求
		redirectStrategy.sendRedirect(request, response, targetUrl);
	}

1. Получить настроенный адрес перехода
2. Запрос на прыжок

загрузка кода

Скачать с моего гитхаба,GitHub.com/Longfeizhen…