[5] LogoutFilter

原創 小菜菜咿呀 2020-06-17 02:34

LogoutFilter

介绍

    LogoutFilter是一个处理登出请求的过滤器,当请求经过LogoutFilter时,过滤器会请判断当前请求的URL是否是登出URL,如果匹配,就执行遍历执行处理登出的handlers。默认情况下,会清空SecurityContextHolder的身份认证信息,以及发送一个登出成功的事件。

代码分析

步骤1

    LogoutFilter默认登出URL是/logout,但是对于一些项目而言,并一定是/logout,如果特殊的定制化需求,可以通过WebSecurityConfigurerAdapter进行配置,LogoutFilter构造器和配置代码如下:

public LogoutFilter(LogoutSuccessHandler logoutSuccessHandler,
        LogoutHandler... handlers) {
    this.handler = new CompositeLogoutHandler(handlers);
    Assert.notNull(logoutSuccessHandler, "logoutSuccessHandler cannot be null");
    this.logoutSuccessHandler = logoutSuccessHandler;
    //默认登出URL是/logout
    setFilterProcessesUrl("/logout");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.logout().logoutUrl("/oauth2/token/remove");
}

步骤2

    doFilter()首先对request的url与配置的登出的url进行比对,若是配置的退出登录的url则与request中的url不一致,则直接执行过滤链的后续过滤器,反之则进行退出登录操作。从上下文中取出身份认证信息,然后通过注入的handler进行处理,LogoutFilter的handler是一个复合类型的handler,这个handler一个handler list,对请求和身份认证信息一次进行处理,handler list默认情况包含2个handler,SecurityContextLogoutHandler和LogoutSuccessEventPublishingLogoutHandler。前者用于清除上下文中的身份认证信息以及清空上下文,后者在用于发送一个退出登录的spring事件。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
	//判断是否需要进行登出操作,里边主要进行了一次URL匹配操作
    if (requiresLogout(request, response)) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        //这是一个复合的handler, 这个handler里维护一个handler list,遍历执行每一个handler的logout
        this.handler.logout(request, response, auth);
        //默认情况下,它是一个SimpleUrlLogoutSuccessHandler,重定向的/login?logout
        logoutSuccessHandler.onLogoutSuccess(request, response, auth);
        return;
    }
   
    chain.doFilter(request, response);
}


public void logout(HttpServletRequest request, HttpServletResponse response,
        Authentication authentication) {
    Assert.notNull(request, "HttpServletRequest required");
    if (invalidateHttpSession) {
        HttpSession session = request.getSession(false);
        if (session != null) {
            logger.debug("Invalidating session: " + session.getId());
            session.invalidate();
        }
    }

    if (clearAuthentication) {
        SecurityContext context = SecurityContextHolder.getContext();
        //清空身份认证信息
        context.setAuthentication(null);
    }
	//清空上下文信息
    SecurityContextHolder.clearContext();
}

public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
    if (eventPublisher == null) {
        return;
    }
    if (authentication == null) {
        return;
    }
    //发送一个Spring事件
    eventPublisher.publishEvent(new LogoutSuccessEvent(authentication));
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

常见的安全漏洞

跨站腳本攻擊(XSS) 存儲型XSS攻擊 常見的就是富文本編輯器保存的html,需要到頁面上渲染,如果保存了釣魚網站的超鏈接,或者惡意引導,則渲染時會觸發xss攻擊。 反射型XSS攻擊 DOM型XSS攻擊 CSP(content secur

原創 2023-12-15 12:55:35

Spring Security Bcrypt算法小结

Bcrypt本身是一種Hash算法 Bcrypt密文由以下基本部分組成 $2a$10$e9lBHmVW8KafMUzRwtPcO./yHO.0SO5OzfHLJfPK1psT3rChKvpw. 0: 固定字符 $ 1-2: 2a 表示算

原創 2023-01-10 22:09:41

163 SpringBoot常用注解大全

  轉自:https://mp.weixin.qq.com/s/PzZ31ju32-5epXpQeTZsNA 備份文件路徑:   1.整體圖         2.具體講解   平時使用SpringBoot開發項目,少不了要使用到它

20190513 2022-12-21 12:51:12

Spring Security 登录时异常信息抛出了未获取到

在項目中用到了Spring Security 進行登錄校驗,我們實現了其UserDetailsService接口的loadUserByUsername()方法,並在其中定義了異常信息,通過UsernameNotFoundException異

原創 2022-04-30 13:30:35

Spring Cloud 2021.X Eureka Cannot execute request on any known server

    最近用SpringCloud 2021搭建項目玩,遇到一個有點煩人的問題,卡了我一個小時,不是大問題,但值的記錄一下,主要是思路和突破口的尋找。     先說一下前因後果吧。找了一圈各類註冊中心,發現符合我目前需求的依然是Eurek

原創 2022-04-30 13:18:11

spring security 之前端加密,后端解密

前端加密 這個先留着,以後再寫。  後端解密 後端解密主要是使用DaoAuthenticationProvider DaoAuthenticationProvider 的繼承關係如下: DaoAuthenticationProvid

原創 2022-04-30 10:56:42

BCrypt和MD5密码加密介绍及实现

需求 對於用戶密碼的保護,通常都會進行加密。我們通常對密碼進行加密,然後存放在數據庫中,在用戶進行登錄的時候,將其輸入的密碼與數據庫中存放的密文進行比較,以驗證用戶密碼是否正確。 BCrypt和MD5介紹 BCrypt加密: 一種加鹽的

黃瓜與土豆 2022-04-30 06:06:41

Spring Security教程之session管理

  1.1     檢測session超時 1.2     concurrency-control 1.3     session 固定攻擊保護          Spring Security通過http元素下的子元素session

osc_vyztkm1b 2021-12-25 21:35:15

spring security 通过外部配置适配bcrypt和sm2两种加密方式自由切换

1、引入依賴 <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId>

原創 2021-12-25 21:12:32

使用 Spring Security 时,在 bean 中获取当前用户名(即 SecurityContext)信息的正确方法是什么?

問題: I have a Spring MVC web app which uses Spring Security.我有一個使用 Spring Security 的 Spring MVC Web 應用程序。 I want to know

fyin1314 2021-10-09 21:19:38

一个奇怪的登录需求

@[toc] 一個奇怪的登錄需求。 這是小夥伴們在微信羣裏的一個提問,我覺得很有意思: 雖然這並非一個典型需求,但是把這個問題解決了,有助於加深大家對於 Spring Security 的理解。 因此,松哥打算擼一篇文章和大家稍微聊聊這個

原創 2021-09-27 21:21:02

通过Spring进行RESTful身份验证 - RESTful Authentication via Spring

問題: Problem: 問題: We have a Spring MVC-based RESTful API which contains sensitive information. 我們有一個基於Spring MVC的RESTf

javail 2021-09-23 09:15:56

再见,Spring Security OAuth!!

官宣新品 最近,Spring 官方又推出了《Spring Authorization Server》項目: 本次將 《Spring Authorization Server》項目正式上線,去掉了之前的體驗狀態,此舉恰逢 0.2.0 版本發

原創 2021-08-29 21:33:47

Spring官宣新家族成员:Spring Authorization Server!

8月17日,Spring官方宣佈 Spring Authorization Server 已正式脫離實驗狀態,並進入Spring-Project家族! 官方聲明 此舉恰逢本週的 0.2.0 版本發佈,這是第一個

程序猿DD 2021-08-19 09:42:47

OAuth2.1授权服务器Spring Authorization Server正式孵化成功进入Spring项目家族

今天Spring官方宣佈 Spring Authorization Server 已正式退出實驗狀態並進入Spring 項目的產品家族! 此舉恰逢本週的 0.2.0 版本發佈,這是第一個正式支持的生產就緒版本。 自2020 年 4 月S

原創 2021-08-18 09:10:18