Printemps de sécurité de déconnexion de la manipulation

Selon Printemps De Sécurité 4.0.0 document:

4.2.4 Déconnexion De La Manipulation

La déconnexion de l'élément ajoute la prise en charge de déconnexion, en accédant à un
URL particulière. La déconnexion par défaut l'URL est /déconnexion, mais vous pouvez le régler
pour quelque chose d'autre à l'aide de la déconnexion-url de l'attribut. Plus d'informations sur
d'autres attributs peuvent être trouvés dans l'espace de noms de l'annexe.

Cependant, en suivant le paramètre de sécurité dans la doc, l'URL /déconnexion n'affiche pas la page de déconnexion. Au lieu de cela, il montre

Printemps de sécurité de déconnexion de la manipulation

Au contraire, l'URL /login fonctionne correctement.

Printemps de sécurité de déconnexion de la manipulation

Voici ma configuration:

Framework Spring 4.1.6

Printemps De Sécurité 4.0.0

Web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    version="3.0">
    <display-name>Test8</display-name>
    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
        <welcome-file>default.html</welcome-file>
        <welcome-file>default.htm</welcome-file>
        <welcome-file>default.jsp</welcome-file>
    </welcome-file-list>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/security-config.xml</param-value>
    </context-param>


</web-app>

security-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security.xsd">
    <http>
        <intercept-url pattern="/**" access="hasRole('USER')" />
        <form-login />
        <logout />
    </http>

    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="aaa" password="111" authorities="ROLE_USER, ROLE_ADMIN" />
                <user name="bbb" password="222" authorities="ROLE_USER" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</beans:beans>
InformationsquelleAutor cht | 2015-04-09
  1. 12

    Printemps de sécurité active automatiquement csrf, qui automatiquement désactivé OBTENIR des déconnexions.
    Vous pouvez résoudre ce problème en désactivant la protection csrf par les paramètres <csrf disabled="true"/> dans le <http> , ou tout simplement à l'aide d'un POST.

    Voir http://docs.spring.io/spring-security/site/docs/4.0.1.RELEASE/reference/htmlsingle/#csrf-logout

    InformationsquelleAutor f.khantsis
  2. 5

    Simplement, placez le code suivant dans la page jsp où vous voulez avoir la déconnexion-

    <c:url var="logoutUrl" value="/j_spring_security_logout" />
    <form action="${logoutUrl}" id="logout" method="post">
        <input type="hidden" name="${_csrf.parameterName}"
            value="${_csrf.token}" />
    </form>
    <a href="#" onclick="document.getElementById('logout').submit();">Logout</a>

    Entrée correspondante dans la fève fichier de configuration-

    <security:logout logout-url="/j_spring_security_logout" logout-success-url="/whateverPageYouWant" invalidate-session="true" />

    -Ce qui a fonctionné pour moi pour le printemps-sécurité-4.*

    InformationsquelleAutor xomoni
  3. 2

    https://docs.spring.io/spring-security/site/docs/5.1.0.RELEASE/reference/htmlsingle/

    Manipulation Des Déconnexions

    Lors de l'utilisation de la WebSecurityConfigurerAdapter, déconnexion capacités sont automatiquement appliquées. La valeur par défaut est que l'accès à l'URL /déconnexion pour déconnecter l'utilisateur par:

    Invalider la Session HTTP
    Nettoyage de tous les RememberMe d'authentification qui a été configuré
    De compensation de la SecurityContextHolder
    Rediriger vers /login?déconnexion
    Semblable à la configuration de la connexion capacités, cependant, vous avez également différentes options pour personnaliser davantage votre déconnexion exigences:

    protected void configure(HttpSecurity http) throws Exception {
    http.logout()                                                                
        .logoutUrl("/my/logout")                                                 
        .logoutSuccessUrl("/my/index")                                           
        .logoutSuccessHandler(logoutSuccessHandler)                              
        .invalidateHttpSession(true)                                             
        .addLogoutHandler(logoutHandler)                                         
        .deleteCookies(cookieNamesToClear)                                       
        .and()
        ...

}

    1. Offre de déconnexion de soutien. Ceci est automatiquement appliquée lors de l'utilisation de WebSecurityConfigurerAdapter.

    2. L'URL qui déclenche log out (la valeur par défaut est /déconnexion). Si la protection CSRF est activé (par défaut), alors la demande doit aussi être un POST. Pour plus d'informations, veuillez consulter la JavaDoc.

    3. L'URL de redirection après déconnexion a eu lieu. La valeur par défaut est /login?fermeture de la session. Pour plus d'informations, veuillez consulter la JavaDoc.

    4. Vous permet de spécifier une coutume LogoutSuccessHandler. Si cela est spécifié, logoutSuccessUrl() est ignoré. Pour plus d'informations, veuillez consulter la JavaDoc.

    5. Spécifier si pour invalider la HttpSession au moment de la déconnexion. C'est le cas par défaut. Configure le SecurityContextLogoutHandler sous les couvertures. Pour plus d'informations, veuillez consulter la JavaDoc.

    6. Ajoute un LogoutHandler. SecurityContextLogoutHandler est ajouté comme dernier LogoutHandler par défaut.

    7. Permet de spécifier les noms des témoins pour être retiré lors de la déconnexion de la réussite. C'est un raccourci pour ajouter un CookieClearingLogoutHandler explicitement.

    • Pouvez-vous s'il vous plaît ajouter le code de mise en forme?
    InformationsquelleAutor dheeraj kumar
  4. 1
    @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
   //...
   http.logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout"));
  }
}
    InformationsquelleAutor Brice Roncace
  5. 0

    Noter qu'il n'y a pas de "page de déconnexion". l' /déconnexion est le Printemps du point de terminaison, qui permettent de Printemps savoir que l'application demande de déconnexion d'un utilisateur, de sorte qu'il appelle un gestionnaire spécifique.

    Après l'enregistrement de l'utilisateur, le Printemps redirige vers une autre page, et vous pouvez configurer la "cible par défaut" dans votre XML.

    InformationsquelleAutor OhadR
  6. 0

    Ajouter à la Sécurité Printemps:

    <logout
 logout-success-url="/anonymous.html"
 logout-url="/perform_logout"
 delete-cookies="JSESSIONID" />

    sous http tag

    InformationsquelleAutor Chris Sim