[转载]spring security 的 logout 功能

原文地址：security 的 logout 功能">spring security 的 logout 功能作者：sumnny

转载自：http://lengyun3566.iteye.com/blog/1114464

理解退出功能

术语退出（Logout）指的是用户使其安全session失效的一种操作。一般来说，用户在退出后，将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log
Out”的链接，并再次访问站点以了解其如何实现功能的。

在站点页头上添加“Log
Out”链接

正如我们在第二章中讨论的那样，Spring
Security将会监视一些特殊的URL，这些URL将会触发过滤器链中的一个或多个过滤器。用户实现退出的URL标识为/j_spring_security_logout。在header.jsp中添加一个退出的链接与为一个锚标签（即a标签）添加适合的href属性：

Html代码

• Log Out
• " quality="high"
  type="application/x-shockwave-flash"
  pluginspage="http://www.macromedia.com/go/getflashplayer"> security 的 logout 功能">

1. <c:url value="/j_spring_security_logout" var="logoutUrl"/>
2. <li><a href="${logoutUrl}">Log Out</a></li>

如果你重新加载站点并点击“Log Out”链接，你会发现被重置到登录form的界面。现在看来，登录和退出是很有趣的！

【使用JSTL
URL标签来处理相对URL。我们使用了JSTL核心库中的url标签来保证提供的URL在部署的web应用中能够被正确处理。url标签将提供的URL按照相对路径（以/开始）进行处理。你可能会见过其他类似的实现技术如使用JSP的代码（(<%=
request.getContextPath()
%>)），但是JSTL的url标签能够使得你免于编写内联的代码。】

让我们看一下在这个简单操作的背后都发生了什么。

退出是怎么实现的

当我们点击退出链接时，到底发生了什么？

需要记住的一点是任何URL请求在被servlet处理之前，都会经过Spring
Security的过滤器链。所以，/j_spring_security_logout这个URL请求并非对应系统中的一个JSP，也不必有一个真正的JSP或者Spring
MVC的目标来对其进行处理。这种类型的URL通常被称为虚拟URL。

请求/j_spring_security_logout的URL被o.s.s.web.authentication.logout.LogoutFilter过滤器所拦截。在Spring
Security的众多默认过滤器中，LogoutFilter专门匹配这个虚拟URL并执行相应的操作。

让我们快速地查看一下Spring Security的security命名空间提供的默认退出功能：

Xml代码  " quality="high"
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer"> security 的 logout 功能">

1. <http auto-config="true" use-expressions="true">
2. <logout invalidate-session="true"
3. logout-success-url="/"
4. logout-url="/j_spring_security_logout"/>
5. </http>

基于这个基本配置，系统将会寻找在logout-url属性配置的URL并实现用户的退出。使得用户退出系统将会涉及如下的三个步骤：

1.      使得HTTP
session失效（如果invalidate-session属性被设置为true）；

2.       清除SecurityContex（真正使得用户退出）；

3.       将页面重定向至logout-success-url指明的URL。

以下的图片阐述了退出的过程：

o.s.s.web.authentication.logout.LogoutHandler接口的实现类可以在用户通过LogoutFilter退出时被调用。你可以实现自己的LogoutHandler（尽管比较复杂）并将其关联到LogoutFilter的生命周期中。通过LogoutFilter默认设置的LogoutHandler将会清除session以及remember
me相关的功能，所以用户的session中不会再持有认证相关的信息。最后，通过一个o.s.s.web.

authentication.logout.LogoutSuccessHandler接口的默认实现，页面得以重定向到一个URL。默认实现中会将页面重定向到我们配置的成功退出URL地址（默认为/），但是我们自定义任何系统在用户退出时想要的操作。值得注意的是，退出的处理不应该抛出异常，因为很重要的一点是要在用户的安全session中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录。

修改logout URL

让我们尝试重写默认的logout URL来提供一个修改自动设置的简单例子。我们将会修改logout URL为/logout。

修改dogstore-security.xml配置文件来包含<logout>元素如下的代码所示：

Xml代码  ... .. " quality="high"
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer"> security 的 logout 功能">

1. <http auto-config="true" use-expressions="true">
2. ...
3. ..<logout invalidate-session="true"
4. logout-success-url="/"
5. logout-url="/logout"/>
6. </http>

修改/common/header.jsp文件来改变logout链接的herf属性以匹配新的URL:

Html代码

• Log Out
• " quality="high"
  type="application/x-shockwave-flash"
  pluginspage="http://www.macromedia.com/go/getflashplayer"> security 的 logout 功能">

1. <c:url value="/logout" var="logoutUrl"/>
2. <li><a href="${logoutUrl}">Log Out</a></li>

重新启动应用并进行尝试。你可以发现使用/logout
URL取代了/j_spring_security_logout实现用户的退出。你可能也会发现当你尝试/j_spring_security_logout这个地址时，你会得到一个Page
not Found(404)的错误，是因为这个URL不与任何一个实际的servlet资源相对应并且不会被过滤器所处理。

Logout配置命令

<logout>元素包含其他的配置指令以实现更复杂的退出功能，介绍如下：

属性	描述
invalidate-session	如果被设置为true，用户的HTTP session将会在退出时被失效。在一些场景下，这是必要的（如用户拥有一个购物车时）
logout-success-url	用户在退出后将要被重定向到的URL。默认为/。将会通过HttpServletResponse.redirect来处理。
logout-url	LogoutFilter要读取的URL（在例子中，我们改变了它的设置）。
success-handler-ref	对一个LogoutSuccessHandler实现的引用。