Spring security 的注销问题

Question

我在 Spring 框架中注销时遇到问题。

首先，当我希望 j_spring_security_logout 为我处理它时，我得到 404 j_spring_security_logout not found： 示例-security.xml：

<http>
    <intercept-url pattern="/messageList.htm*" access="ROLE_USER,ROLE_GUEST" />
    <intercept-url pattern="/messagePost.htm*" access="ROLE_USER" />
    <intercept-url pattern="/messageDelete.htm*" access="ROLE_ADMIN" />
    <form-login login-page="/login.jsp" default-target-url="/messageList.htm"
        authentication-failure-url="/login.jsp?error=true" />
    <logout/>
</http>

JSP 页面中用于注销的示例 url 链接：

<a href="<c:url value="/j_spring_security_logout" />">Logout</a>

当我尝试使用自定义 JSP 页面时，即为此目的使用登录表单时，我会得到更好的结果，至少它可以进入登录页面，但另一个问题是你不会被注销，因为你可以直接输入应该保护的网址无论如何你都可以通过它。

对之前的列表稍作修改：

<http>
    <intercept-url pattern="/messageList.htm*" access="ROLE_USER,ROLE_GUEST" />
    <intercept-url pattern="/messagePost.htm*" access="ROLE_USER" />
    <intercept-url pattern="/messageDelete.htm*" access="ROLE_ADMIN" />
    <form-login login-page="/login.jsp" default-target-url="/messageList.htm"
        authentication-failure-url="/login.jsp?error=true" />
    <logout logout-success-url="/login.jsp" />
</http>

<a href="<c:url value="/login.jsp" />">Logout</a>

感谢您的帮助

Answer 1

在您的页面中尝试此链接，其中包含注销链接：

<h:outputLink value="#{request.contextPath}/logout.jsp">Logout</h:outputLink>

并使用以下代码在您的“webcontent”文件夹中创建一个 logout.jsp 文件：

<% response.sendRedirect("/#{request.contextPath}/j_spring_security_logout"); %>

如果发生错误，请尝试将“#{request.contextPath}”更改为您的项目名称 例如：我的项目名称是“security”，所以我在 logout.jsp 文件中使用：

<% response.sendRedirect("/security/j_spring_security_logout"); %>

Answer 2

我遇到了同样的问题，在失去希望之后，我终于偶然找到了答案。 当然，通过阅读和使用其他人的代码，我们学到了很多东西，并且通过这样做，我们继承了我们不太了解的设置。

这就是我在使用 Spring Security 编程时发生的事情。

在 Spring Security XML 中，在 http 标记内，有这样一行：

<logout invalidate-session="true" logout-success-url="/login" logout-url="/logout" />

我在研究过程中从一些教程或示例中得到了这条线。在与 j_spring_security_logout 关键字苦苦挣扎 2 天后，除了错误 404 什么也没有得到，我想通了。

在我使用的 logout 标记中，有这个 logout-url 参数设置为“/logout”。然后我意识到根据我的设置，我的 spring 期望接收 /logout 而不是 /j_spring_security_logout。

一旦我相应地更新了我的代码，它就像一个魅力。

Answer 3

你应该做 POST 请求。类似的东西：

<form action="${logoutUrl}" method="post" id="logoutForm">
            <input type="hidden" 
                    name="${_csrf.parameterName}"
                    value="${_csrf.token}" />
</form>

<script>
    function formSubmit() {
                document.getElementById("logoutForm").submit();
    }
</script>

<c:if test="${pageContext.request.userPrincipal.name != null}">
           <h2>
                Welcome : ${pageContext.request.userPrincipal.name} | 
                 <a href="javascript:formSubmit()"> Logout</a>
            </h2>
</c:if>

Answer 4

我刚遇到这个问题。

您需要确保在web.xml 中您的安全过滤器与 url /j_spring_security_logout 匹配

例如

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/j_spring_security_logout</url-pattern>
</filter-mapping>

Answer 5

我遇到了同样的问题。

似乎是 3.0.6 的一个错误！

我刚刚降级到 3.0.5，一切正常。

Answer 6

注销链接是否知道上下文路径？

例如，如果你的上下文路径是“myapp”，那么上面提到的链接指向哪里？

“http://localhost:8080/myapp/j_spring_security_logout”还是“http://localhost:8080/j_spring_security_logout”？

事实上，j_spring_security_logout 只在 webapp 的上下文中有效，所以只有第一个链接会导致正确的 url