Spring Security-退出登录和CSRF
一、退出登录
用户只需要向Spring Security项目中发送/logout退出请求即可。
1.退出实现
实现退出非常简单,只要在页面中添加/logout的超链接即可。
<a href="/logout">退出登录
为了实现更好的效果,通常添加退出的配置。默认的退出url为/logout,退出成功后跳转到/login?logout!
如果不希望使用默认值,可以通过下面的方法进行修改。
http.logout() .logoutUrl(**"/logout"**) .logoutSuccessUrl(**"/login.html"**);
2.logout其他常用配置源码解读
2.1.addLogoutHandler(LogoutHandler)
默认是contextLogoutHandler!
默认实例内容
2.2clearAuthentication(boolean)
是否清除认证状态,默认为true!
2.3invalidateHttpSession(boolean)
是否销毁HttpSession对象,默认为true
2.4logoutSuccessHandler(LogoutSuccessHandler)
退出成功处理器。
也可以自己进行定义退出成功处理器。只要实现了LogoutSuccessHandler接口。与之前讲解的登录成功处理器和登录失败处理器极其类似。
二、Spring Security中CSRF
从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。
1.什么是CSRF
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。
客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。在跨域的情况下,session id可能被第三方恶意劫持,通过这个session id向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。
2.Spring Security中CSRF
从Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理。CSRF为了保证不是其他第三方网站访问,要求访问时携带参数名为_csrf值为token(token在服务端产生)的内容,如果token和服务端的token匹配成功,则正常访问。
2.1实现步骤
2.1.1 编写控制器方法
编写控制器方法,跳转到templates中login.html页面。
@GetMapping("/showLogin")
public String showLogin() {
return "login";
}
2.1.2新建login.html
在项目resources下新建templates文件夹,并在文件夹中新建login.html页面。红色部分是必须存在的否则无法正常登录。
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action = "/login" method="post">
<input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}"/>
用户名:<input type="text" name="username"/><br/>
密码:<input type="password" name="password"/><br/>
<input type="submit" value="登录"/>
</form>
</body>
</html>
2.1.3修改配置类
在配置类中注释掉CSRF防护失效
//关闭csrf防护
//http.csrf().disable();