Spring Security：注销不起作用 - “请求的资源不可用”答案

【问题标题】：Spring Security: Logout Isn't working - "requested resource not available"Spring Security：注销不起作用 - “请求的资源不可用”
【发布时间】：2016-02-04 03:22:06
【问题描述】：

所以，我正在尝试让我的第一个练习应用程序与 Spring Security 一起工作。在继续进行更复杂的实现之前，这只是一个简单的测试，看看我是否可以让基础工作正常。

我正在使用 Spring Security 4 顺便说一句，Spring 4.2.2。

现在，我有一个欢迎页面和一个管理页面。尝试访问管理页面被拦截并重定向到默认的 Spring Security 登录表单。从那里，我可以登录并通过身份验证访问管理页面。

在管理页面上，我有一个注销链接。这就是它出错的地方。我现在有两个注销链接，我尝试了两种不同的方法来完成这项工作。

第一个是一个简单的 URL。它使用标签，其中包含 JSTL 标签。我正在尝试在那里调用注销 URL。当我这样做时，我得到一个 HTTP 状态 404 页面，其中描述说请求的资源不可用。

第二种方式是使用表格。我尝试在表单中有一个提交按钮，表单的操作属性设置为注销 URL，方法设置为发布。

这给了我一个更复杂的错误，我将在这里复制并粘贴：

标题：HTTP 状态 403 - 在请求参数“_csrf”或标头“X-CSRF-TOKEN”上发现无效的 CSRF 令牌“null”。

类型：状态报告

消息：在请求参数“_csrf”或标头“X-CSRF-TOKEN”上发现无效的 CSRF 令牌“null”。

说明：对指定资源的访问已被禁止。

顺便说一句，两种情况下错误页面的 url 都是 localhost:8080/spring-security/logout。 spring-security 是这个测试应用程序的名称。

所以，我有点迷路了。这是我第一次使用 Spring Security，我真的不知道我做错了什么。任何帮助将不胜感激。

下面我将粘贴我的 admin.jsp 页面和 spring-security.xml 页面。

提前致谢。

admin.jsp 页面：

<%@ page session="true" %>
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<%@ include file="jstl-stub.jsp" %> <!-- Include links to JSTL Libraries -->
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Admin Page</title>
</head>
<body>

<h1>Title: ${title}</h1>

<h1>Message: ${message}</h1>

<c:if test="${pageContext.request.userPrincipal.name != null}">
    <h2>Welcome: ${pageContext.request.userPrincipal.name}
    | <a href="<c:url value="/logout"/>">Logout</a></h2>

    <br><br>

    <form action="logout" method="post">
        <input type="submit" value="logout"/>
    </form>
</c:if>

</body>
</html>

spring-security.xml：

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-4.0.xsd
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.2.xsd">

<security:http auto-config="true">
    <security:intercept-url pattern="/admin" access="hasRole('ROLE_USER')"/>
    <security:logout logout-url="/logout" logout-success-url="/welcome"/>
</security:http>

<security:authentication-manager>
    <security:authentication-provider >
        <security:user-service>
            <security:user name="user" password="password" authorities="ROLE_USER"/>
        </security:user-service>
    </security:authentication-provider>
</security:authentication-manager>

</beans:beans>

【问题讨论】：

标签： spring spring-mvc spring-security

【解决方案1】：

我认为第二个问题是您的 post 方法。我看到你用的是security 4.0，4.0默认开启了csrf保护。如果你不想拥有这个，你必须禁用它。

从 Spring Security 4.0 开始，CSRF 保护默认启用 XML 配置。如果您想禁用 CSRF 保护，对应的XML配置见下。
<http>
  
  <csrf disabled="true"/>
</http>

请看下面的链接 http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#csrf-configure

但是如果要添加csrf保护，则需要在post方法中添加header。

本教程可能会对您有所帮助。

http://myshittycode.com/2015/03/30/spring-security-invalid-csrf-token-null-was-found-on-the-request-parameter-_csrf-or-header-x-csrf-token/

【讨论】：

【解决方案2】：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
    // other code ...
}

禁用 csrf 将为您工作。并允许你通过get方法调用/logout。

【讨论】：