前言
经过前面几个章节的学习,一一哥 已经带各位实现了两种方式的自动登录。咱们现在已经学会了如何自动登录,那么又该如何退出登录呢?接下来请再跟着 壹哥 把注销登录功能也实现一下吧。
一. 注销登录
1. 代码实现
我们直接在之前案例的基础上进行代码实现,这里还是在SecurityConfig类中配置,其实退出登录功能的实现很简单。
(debug=true) publicclassSecurityConfigextendsWebSecurityConfigurerAdapter { ("${spring.security.remember-me.key}") privateStringrememberKey; privateDataSourcedataSource; privateUserDetailsServiceuserDetailsService; protectedvoidconfigure(HttpSecurityhttp) throwsException { JdbcTokenRepositoryImpltokenRepository=newJdbcTokenRepositoryImpl(); tokenRepository.setDataSource(dataSource); http.authorizeRequests() .antMatchers("/admin/**") .hasRole("ADMIN") .antMatchers("/user/**") .hasRole("USER") .antMatchers("/app/**") .permitAll() .anyRequest() .authenticated() .and() .formLogin() .permitAll() .and() //开启记住我功能 .rememberMe() .userDetailsService(userDetailsService) //1.散列加密方案 .key(rememberKey) //2.持久化令牌方案 .tokenRepository(tokenRepository) //7天有效期 .tokenValiditySeconds(60*60*24*7) .and() //配置退出登录功能 .logout() //关联自己的退出登录接口 .logoutUrl("/user/logout") //注销成功,重定向到该路径下 .logoutSuccessUrl("/login") //与logoutSuccessUrl处理策略类似,但更灵活.//.logoutSuccessHandler(new LogoutSuccessHandler() {// @Override// public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {//处理成功退出登录后的业务// }//})//.addLogoutHandler(new LogoutHandler() {// @Override// public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {//处理退出登录业务// }//})//使得session失效 .invalidateHttpSession(true) //清除认证信息 .clearAuthentication(true) //删除指定的cookie .deleteCookies("cookie01","cookie02") .and() .csrf() .disable(); } publicPasswordEncoderpasswordEncoder() { returnNoOpPasswordEncoder.getInstance(); } }
注意:
当我们退出登录时,可能也需要处理实现一些业务,我们可以把退出的功能直接在logout接口内部实现,也可以利用logoutSuccessHandler()方法 + addLogoutHandler()方法来实现,请参考我注释掉的代码进行实现。
2. 自定义退出登录接口
如果我们想自己编写退出登录时的业务逻辑,也可以在UserController中定义一个“/logout”接口,处理退出登录功能。
("/user") publicclassUserController { ("hello") publicStringhello() { return"hello, user"; } ("/logout") publicvoidlogout(HttpSessionsession){ session.invalidate(); System.out.println("logout执行了..."); } }
3. 启动项目测试
这时候我们可以直接访问"/logout"接口直接退出,会出现下图效果:
也可以通过调用我们自定义的"/user/logout"接口退出登录,执行完后,会直接重定向到我们的登录页面。
而且我们之前保存在persistent_logins表中的令牌信息也都被清除掉了,说明我们已经实现了退出登录功能了。
这就是注销登录功能的代码实现,是不是很简单?
二. 注销登录源码分析
掌握了注销登录的代码实现后,你可能对注销登录的底层实现很好奇,那么接下来我们就分析一下这个注销登录的底层实现原理吧。
1. 默认的logout接口
认证系统往往都会带有注销登录功能,所以Spring Security中也提供了对注销登录的支持,默认带有“/logout”接口来实现该功能。
当我们编写SecurityConfig类,继承WebSecurityConfigurerAdapter类时,这时候我们打开WebSecurityConfigurerAdapter类的源码,就可以在WebSecurityConfigurerAdapter中的getHttp()方法中,发现默认就有对logout()的配置实现,如下图所示。
2. logout()方法源码实现
我们点击logout()方法,进到logout()方法的源码中,可以看到其内部实现,关联执行一个LogoutConfigurer类对象。
3. LogoutConfigurer类源码分析
我们继续进入到LogoutConfigurer类中,在该类中可以发现有对默认退出登录地址的属性定义。
并且在LogoutConfigurer类中,还通过configure()方法添加了对LogoutFilter过滤器的配置。
4. LogoutFilter过滤器
然后我们进入到LogoutFilter过滤器中,首先会发现在该过滤器的构造方法中传递进来了LogoutSuccessHandler,LogoutHandler两个重要的参数,并且添加了对“/logout”地址的配置。
因为这是一个过滤器,肯定会执行doFilter()方法,所以我们看一下doFilter()方法。我们会发现在LogoutFilter过滤器的doFilter()方法中,可以看到在这里关联执行了我们自己配置的LogoutHandler和LogoutSuccessHandler这两个接口,分别处理退出登录和退出登录成功后的业务。
以上就是Spring Security中关于退出登录功能的底层实现,大家可以按照我的思路,研究一下底层实现。
至此,壹哥 就结合着源码和底层原理,给大家讲解了如何实现退出登录了。你掌握的怎么样呢?请在评论区给 一一哥 留言,说说你的感受吧!
