如何在 spring 安全中传递参数以及注销成功 url?
How to pass parameter along with logout success url in spring security?
我在 spring 启动应用程序中使用基于 java 的 spring 安全配置。当用户单击注销 link 时,用户将被重定向到登录页面。这里,在这种情况下,我需要在注销成功url中传递一个自定义参数。
例如当我注销时,应用程序被重定向到 http://localhost:8080/app/login
但我希望它有一个像下面这样的参数
http://localhost:8080/app/login?idletimeout=true
我为此创建了自定义的 LogoutSuccesshandle。我在处理程序中获取参数值,然后构造成功 url,然后重定向到它。但是在注销时该参数丢失。
下面是我的处理程序代码。
public class LogoutSuccessHandlerImpl extends SimpleUrlLogoutSuccessHandler {
private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
@Override
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
request.getSession().invalidate();
SecurityContextHolder.clearContext();
request.setAttribute("isLoggedOut", "true");
String contextPath = request.getContextPath();
String redirectURL = "/login";
String isIdleTimeOut = request.getParameter("idleTimeout");
request.setAttribute("idleTimeout", isIdleTimeOut);
System.out.println(isIdleTimeOut + " isIdleTimeOut ");
if (isIdleTimeOut != null && isIdleTimeOut.equalsIgnoreCase("true")) {
System.out.println("in if ");
redirectURL += "?idleTimeout=" + isIdleTimeOut;
}
// setDefaultTargetUrl(redirectURL);
// response.sendRedirect(redirectURL);
// super.onLogoutSuccess(request, response, authentication);
redirectStrategy.sendRedirect(request, response, redirectURL);
}
下面是我的 java 配置代码。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/checkLogin")
.defaultSuccessUrl("/home")
.failureUrl("/login?login_error=1")
.usernameParameter("username")
.passwordParameter("password")
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessHandler(new LogoutSuccessHandlerImpl())
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.permitAll()
.and()
.authorizeRequests()
.antMatchers("/login**").permitAll()
.antMatchers("/error**").permitAll()
.antMatchers("/checkLogin**").permitAll()
.anyRequest()
.authenticated()
.accessDecisionManager(accessDecisionManager)
.and()
.exceptionHandling()
.accessDeniedPage("/accessDenied")
.and()
.headers()
.frameOptions()
.disable()
.and()
.sessionManagement()
.invalidSessionUrl("/login")
.maximumSessions(1);
}
应该是这样的
http
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/login?idletimeout=true"));
在xml
<logout invalidate-session="true" logout-success-url="/login?idletimeout=true"/>
您可以为您的应用程序准备自己的注销方法(自定义注销url):
1) 准备您的 LogoutController:
@Controller
@RequestMapping(value = "/logout")
public class LogoutController {
@RequestMapping(value = {"", "/"})
public String logout(HttpServletRequest request) {
SecurityContextHolder.clearContext();
HttpSession session = request.getSession(false);
if (session != null) {
session.invalidate();
}
return "redirect:" + <your-logout-success-url>;
}
}
在这里,使会话无效并清除上下文为您提供了注销机制。
2) 在 jsp 文件中更新您的注销 urls:
<a href="/logout" id="logout_" title="Log out"><span>Log out</span></a>
3) 此外,对于默认的"log out"场景,您仍然可以继续使用Spring安全注销:
<logout logout-success-url="/" invalidate-session="true" delete-cookies="JSESSIONID"
logout-url="/j_spring_security_logout"/>
因此,在这种注销方法中,当用户要求注销过程时,您可以对请求对象做任何您想做的事情。现在不需要传递参数了。
我在 spring 启动应用程序中使用基于 java 的 spring 安全配置。当用户单击注销 link 时,用户将被重定向到登录页面。这里,在这种情况下,我需要在注销成功url中传递一个自定义参数。
例如当我注销时,应用程序被重定向到 http://localhost:8080/app/login 但我希望它有一个像下面这样的参数 http://localhost:8080/app/login?idletimeout=true
我为此创建了自定义的 LogoutSuccesshandle。我在处理程序中获取参数值,然后构造成功 url,然后重定向到它。但是在注销时该参数丢失。
下面是我的处理程序代码。
public class LogoutSuccessHandlerImpl extends SimpleUrlLogoutSuccessHandler {
private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
@Override
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
request.getSession().invalidate();
SecurityContextHolder.clearContext();
request.setAttribute("isLoggedOut", "true");
String contextPath = request.getContextPath();
String redirectURL = "/login";
String isIdleTimeOut = request.getParameter("idleTimeout");
request.setAttribute("idleTimeout", isIdleTimeOut);
System.out.println(isIdleTimeOut + " isIdleTimeOut ");
if (isIdleTimeOut != null && isIdleTimeOut.equalsIgnoreCase("true")) {
System.out.println("in if ");
redirectURL += "?idleTimeout=" + isIdleTimeOut;
}
// setDefaultTargetUrl(redirectURL);
// response.sendRedirect(redirectURL);
// super.onLogoutSuccess(request, response, authentication);
redirectStrategy.sendRedirect(request, response, redirectURL);
}
下面是我的 java 配置代码。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/checkLogin")
.defaultSuccessUrl("/home")
.failureUrl("/login?login_error=1")
.usernameParameter("username")
.passwordParameter("password")
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessHandler(new LogoutSuccessHandlerImpl())
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.permitAll()
.and()
.authorizeRequests()
.antMatchers("/login**").permitAll()
.antMatchers("/error**").permitAll()
.antMatchers("/checkLogin**").permitAll()
.anyRequest()
.authenticated()
.accessDecisionManager(accessDecisionManager)
.and()
.exceptionHandling()
.accessDeniedPage("/accessDenied")
.and()
.headers()
.frameOptions()
.disable()
.and()
.sessionManagement()
.invalidSessionUrl("/login")
.maximumSessions(1);
}
应该是这样的
http
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/login?idletimeout=true"));
在xml
<logout invalidate-session="true" logout-success-url="/login?idletimeout=true"/>
您可以为您的应用程序准备自己的注销方法(自定义注销url):
1) 准备您的 LogoutController:
@Controller
@RequestMapping(value = "/logout")
public class LogoutController {
@RequestMapping(value = {"", "/"})
public String logout(HttpServletRequest request) {
SecurityContextHolder.clearContext();
HttpSession session = request.getSession(false);
if (session != null) {
session.invalidate();
}
return "redirect:" + <your-logout-success-url>;
}
}
在这里,使会话无效并清除上下文为您提供了注销机制。
2) 在 jsp 文件中更新您的注销 urls:
<a href="/logout" id="logout_" title="Log out"><span>Log out</span></a>
3) 此外,对于默认的"log out"场景,您仍然可以继续使用Spring安全注销:
<logout logout-success-url="/" invalidate-session="true" delete-cookies="JSESSIONID"
logout-url="/j_spring_security_logout"/>
因此,在这种注销方法中,当用户要求注销过程时,您可以对请求对象做任何您想做的事情。现在不需要传递参数了。