Spring Security OAuth2.0登出的实现
更新时间:2026年03月12日 09:02:16 作者:后会无期77
本文主要介绍了Spring Security OAuth2.0登出的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
退出
Spring security 默认实现了logout 退出,访问/logout ,即可直接退出。
http://localhost:8080/security-springboot/logout
退出后,可以通过访问其他url 判断是否退出成功。
如何自定义退出
在Spring Security中自定义退出(Logout)功能,主要通过配置SecurityConfig中的logout()相关方法实现。以下是详细步骤和示例代码:
1. 基础配置:自定义退出路径和重定向
通过LogoutConfigurer配置退出路径、退出成功后的重定向地址及需要清除的凭证(如Cookie、Session):
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.logout()
.logoutUrl("/custom-logout") // 自定义退出请求路径(默认/logout)
.logoutSuccessUrl("/login") // 退出成功后重定向的页面
.invalidateHttpSession(true) // 使Session失效(默认true)
.deleteCookies("JSESSIONID") // 删除指定Cookie
.and()
// ...其他配置(如授权、认证等)
}
}
2. 添加自定义退出逻辑(如日志、业务操作)
通过addLogoutHandler()或logoutSuccessHandler()实现退出前/后的自定义逻辑:
http
.logout()
.logoutUrl("/custom-logout")
.addLogoutHandler(customLogoutHandler()) // 退出前执行(如清理Token)
.logoutSuccessHandler(customSuccessHandler()) // 退出后处理(如返回JSON)
// 示例:自定义LogoutHandler(清理用户Token)
@Bean
public LogoutHandler customLogoutHandler() {
return (request, response, authentication) -> {
// 获取当前用户Token并标记失效(需结合具体Token存储方案)
String token = request.getHeader("Authorization");
tokenService.invalidateToken(token);
};
}
// 示例:自定义LogoutSuccessHandler(返回JSON响应)
@Bean
public LogoutSuccessHandler customSuccessHandler() {
return (request, response, authentication) -> {
response.setContentType("application/json;charset=UTF-8");
response.getWriter().write("{\"code\":200, \"msg\":\"退出成功\"}");
};
}
3. 集成CSRF保护(默认启用)
退出请求默认需要CSRF Token验证。前端需在退出请求中携带X-CSRF-TOKEN(可从Cookie或Meta标签获取),或在配置中禁用CSRF(不推荐):
http
.csrf().disable() // 禁用CSRF(仅测试环境使用)
- 注意:如果让logout在GET请求下生效,必须关闭防止CSRF攻击csrf().disable() 。如果开启了CSRF,必须使用post方式请求/logout
4. 处理并发会话退出
若需强制用户在其他终端的会话退出,可结合SessionRegistry:
@Autowired
private SessionRegistry sessionRegistry;
http
.sessionManagement()
.maximumSessions(1) // 最大会话数
.sessionRegistry(sessionRegistry)
.and()
.logout()
.logoutUrl("/custom-logout")
.logoutSuccessHandler((request, response, authentication) -> {
// 强制所有会话退出
new SecurityContextLogoutHandler().logout(request, response, authentication);
sessionRegistry.getAllSessions(authentication.getName(), false)
.forEach(sessionInformation -> sessionInformation.expireNow());
})
5. 退出时清除自定义安全上下文
若使用自定义SecurityContext(如存储额外用户信息),需在退出时手动清理:
http
.logout()
.logoutUrl("/custom-logout")
.addLogoutHandler((request, response, authentication) -> {
SecurityContextHolder.clearContext(); // 清除安全上下文
})
logoutHandler:
一般来说,LogoutHandler的实现类被用来执行必要的清理,因而他们不应该抛出异常。
下面是Spring Security提供的一些实现:
- PersistentTokenBasedRememberMeServices 基于持久化token的RememberMe功能的相关清理
- TokenBasedRememberMeService 基于token的RememberMe功能的相关清理
- CookieClearingLogoutHandler 退出时Cookie的相关清理
- CsrfLogoutHandler 负责在退出时移除csrfToken
- SecurityContextLogoutHandler 退出时SecurityContext的相关清理
常见问题解决
- 退出后仍能访问受保护资源:检查是否清除了Session/Cookie,或重定向路径是否正确。
- CSRF Token缺失:确保前端退出请求携带有效Token,或配置
http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())。 - Token未失效:在自定义
LogoutHandler中实现Token黑名单机制(如Redis存储失效Token)。
通过以上配置,可灵活实现退出路径定制、业务逻辑扩展、会话管理及安全凭证清理。具体实现需结合项目使用的认证方式(如Session、JWT、OAuth2)调整细节。
到此这篇关于Spring Security OAuth2.0登出的实现的文章就介绍到这了,更多相关Spring Security OAuth登出内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
您可能感兴趣的文章:
- Springsecurity Oauth2如何设置token的过期时间
- 详解使用Spring Security OAuth 实现OAuth 2.0 授权
- Spring Security OAuth2实现使用JWT的示例代码
- 基于Spring Security的Oauth2授权实现方法
- Spring Security整合Oauth2实现流程详解
- SpringSecurityOAuth2 如何自定义token信息
- SpringSecurity OAuth2单点登录和登出的实现
- SpringBoot的Security和OAuth2的使用示例小结
- Spring Security OAuth过期的解决方法
- Spring Security OAuth2认证授权示例详解
相关文章
这篇文章主要为大家详细介绍了java实现一个桌球小游戏,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-07-07
这篇文章主要为大家详细介绍了Java环境配置与编译运行的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-03-03
Java之SpringCloudAlibaba Sentinel组件案例讲解
这篇文章主要介绍了Java之SpringCloudAlibaba Sentinel组件案例讲解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下2021-07-07
这篇文章主要为大家详细介绍了Java static关键字的用法与好处,感兴趣的朋友可以参考一下2016-05-05
钉钉的出现为企业节约了大量人力成本,其中也开放了大量的外部api接口方便企业使用。本文主要介绍了Java使用钉钉创建企业内部机器人的实现,感兴趣的可以了解一下2021-11-11
这篇文章主要介绍了LCN分布式事务解决方案详解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下2021-08-08
Elasticsearch算分优化方案之rescore_query示例详解
这篇文章主要为大家介绍了Elasticsearch算分优化方案之rescore_query示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-08-08
@Documented和@Deprecated注解长得有点像,@Deprecated是用来标注某个类或者方法不建议再继续使用,@Documented只能用在注解上,本文将通过示例详细说说@Documented注解的作用,需要的可以参考一下2022-09-09
这篇文章主要介绍了maven打包zip包含bin下启动脚本,本文给大家讲解的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-10-10
Spring Security是Spring生态中的安全框架,提供认证、授权、攻击防护及OAuth2/JWT集成等核心功能,支持灵活配置如内存/数据库认证与密码加密,适用于构建安全应用,本文给大家介绍Java中Spring Security的使用及最佳实践,感兴趣的朋友一起看看吧2025-07-07
最新评论