- 浏览: 298959 次
文章分类
最新评论
-
流年末年:
那四个参数还是没看懂.....能不能解释下showPassst ...
我写的密码强度验证方法(原创) -
kingcs2008:
// 验证pws.jsshowPassstrength(&qu ...
我写的密码强度验证方法(原创) -
h957355152:
请问博主这个怎么用呢?我直接放到jsp里面调用showPass ...
我写的密码强度验证方法(原创) -
qq_15138059:
我写的全国省市县三级联动菜单,拿出来和大家分享了(原创) -
valenon:
评论呢?从MAIL FROM命令开始貌似就出错了:500 Er ...
如何发送伪造的电子邮件
理解退出功能
术语退出( Logout )指的是用户使其安全 session失效 的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“ Log Out ”的链接,并再次访问站点以了解其如何实现功能的。
在站点页头上添加“ Log Out ”链接
正如我们在第二章中讨论的那样, Spring Security 将会监视一些特殊的 URL ,这些 URL 将会触发过滤器链中的一个或多个过滤器。用户实现退出的 URL 标识为 /j_spring_security_logout 。在 header.jsp 中添加一个退出的链接与为一个锚标签(即 a 标签)添加适合的 href 属性:
- < c:url value = "/j_spring_security_logout" var = "logoutUrl" />
- < li > < a href = "${logoutUrl}" > Log Out </ a > </ li >
如果你重新加载站点并点击“ Log Out ”链接,你会发现被重置到登录 form 的界面。现在看来,登录和退出是很有趣的!
【使用 JSTL URL 标签来处理相对 URL 。我们使用了 JSTL 核心库中的 url 标签来保证提供的 URL 在部署的 web 应用中能够被正确处理。 url 标签将提供的 URL 按照相对路径(以 / 开始)进行处理。你可能会见过其他类似的实现技术如使用 JSP 的代码( (<%= request.getContextPath() %>) ),但是 JSTL 的 url 标签能够使得你免于编写内联的代码。】
让我们看一下在这个简单操作的背后都发生了什么。
退出是怎么实现的
当我们点击退出链接时,到底发生了什么?
需要记住的一点是任何 URL 请求在被 servlet 处理之前,都会经过 Spring Security 的过滤器链。所以, /j_spring_security_logout 这个 URL 请求并非对应系统中的一个 JSP ,也不必有一个真正的 JSP 或者 Spring MVC 的目标来对其进行处理。这种类型的 URL 通常被称为虚拟 URL 。
请求 /j_spring_security_logout 的 URL 被 o.s.s.web.authentication.logout.LogoutFilter 过滤器所拦截。在 Spring Security 的众多默认过滤器中, LogoutFilter 专门匹配这个虚拟 URL 并执行相应的操作。
让我们快速地查看一下 Spring Security 的 security 命名空间提供的默认退出功能:
- < http auto-config = "true" use-expressions = "true" >
- < logout invalidate-session = "true"
- logout-success-url = "/"
- logout-url = "/j_spring_security_logout" />
- </ http >
基于这个基本配置,系统将会寻找在 logout-url 属性配置的 URL 并实现用户的退出。使得用户退出系统将会涉及如下的三个步骤:
1. 使得 HTTP session 失效(如果 invalidate-session 属性被设置为 true );
2. 清除 SecurityContex (真正使得用户退出);
3. 将页面重定向至 logout-success-url 指明的 URL 。
以下的图片阐述了退出的过程:
o.s.s.web.authentication.logout.LogoutHandler
接口的实现类可以在用户通过
LogoutFilter
退出时被调用。你可以实现自己的
LogoutHandler
(尽管比较复杂)并将其关联到
LogoutFilter
的生命周期中。通过
LogoutFilter
默认设置的
LogoutHandler
将会清除
session
以及
remember me
相关的功能,所以用户的
session
中不会再持有认证相关的信息。最后,通过一个
o.s.s.web.
authentication.logout.LogoutSuccessHandler 接口的默认实现,页面得以重定向到一个 URL 。默认实现中会将页面重定向到我们配置的成功退出 URL 地址(默认为 / ),但是我们自定义任何系统在用户退出时想要的操作。值得注意的是,退出的处理不应该抛出异常,因为很重要的一点是要在用户的安全 session 中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录。
修改 logout URL
让我们尝试重写默认的 logout URL 来提供一个修改自动设置的简单例子。我们将会修改 logout URL 为 /logout 。
修改 dogstore-security.xml 配置文件来包含 <logout> 元素如下的代码所示:
- < http auto-config = "true" use-expressions = "true" >
- ...
- ..< logout invalidate-session = "true"
- logout-success-url = "/"
- logout-url = "/logout" />
- </ http >
修改 /common/header.jsp 文件来改变 logout 链接的 herf 属性以匹配新的 URL:
- < c:url value = "/logout" var = "logoutUrl" />
- < li > < a href = "${logoutUrl}" > Log Out </ a > </ li >
重新启动应用并进行尝试。你可以发现使用 /logout URL 取代了 /j_spring_security_logout 实现用户的退出。你可能也会发现当你尝试 /j_spring_security_logout 这个地址时,你会得到一个 Page not Found(404) 的错误,是因为这个 URL 不与任何一个实际的 servlet 资源相对应并且不会被过滤器所处理。
Logout 配置命令
<logout> 元素包含其他的配置指令以实现更复杂的退出功能,介绍如下:
属性 |
描述 |
invalidate-session |
如果被设置为 true ,用户的 HTTP session 将会在退出时被失效。在一些场景下,这是必要的(如用户拥有一个购物车时) |
logout-success-url |
用户在退出后将要被重定向到的 URL 。默认为 / 。将会通过 HttpServletResponse.redirect 来处理。 |
logout-url |
LogoutFilter 要读取的 URL (在例子中,我们改变了它的设置)。 |
success-handler-ref |
对一个 LogoutSuccessHandler 实现的引用。 |
发表评论
-
spring-security3 配置和使用(二)承上
2011-12-22 06:42 9652、xml配置,配置内容如下: Xml代码 ... -
spring-security3 配置和使用 (一)(转载)
2011-12-22 06:43 863最近项目中要使用到spring-security,可能研究 ... -
SpringSecurity3.X--一个简单实现(转载)
2011-12-22 06:43 2615作者对springsecurity研究不深,算是个初学者吧,最 ... -
SpringSecurity3.X--验证码(转载)
2011-12-22 06:44 1009一般来说,登录时都会要求用户输入验证码,以防止恶意登录。 可 ... -
SpringSecurity3.X--前台与后台登录认证(转载)
2011-12-23 06:33 3380不过一般我们在管理系统时都会分前台与后台,也就是说,前台与后台 ... -
SpringSecurity3.X--remember-me(转载)
2011-12-22 06:44 1690笔者在SpringSecurity中配置remember-me ... -
《Spring Security3》第六章第七部分翻译(认证事件处理与小结)
2011-12-23 06:34 1247认证事件处理 ... -
《Spring Security3》第六章第六部分翻译(Spring Security基于bean的高级配置)
2011-12-23 06:34 1016Spring Security 基于bean 的高级配 ... -
《Spring Security3》第六章第五部分翻译(手动配置Spring Security设施的bean)(转载)
2011-12-23 06:34 965手动配置Spring Security 设施的be ... -
《Spring Security3》第六章第四部分翻译(异常处理)(转载)
2011-12-23 06:34 1160理解和配置异常处理 ... -
《Spring Security3》第六章第三部分翻译(Session的管理和并发)(转载)
2011-12-24 10:20 4194Session 的管理和并发 ... -
《Spring Security3》第六章第二部分翻译(自定义AuthenticationProvider)(转载)
2011-12-24 10:21 1430实现自定义的 AuthenticationProvide ... -
《Spring Security3》第六章第一部分翻译(自定义安全过滤器)(转载)
2011-12-24 10:21 1053第六章 高级配置和扩展 到目前为止,我 ... -
《Spring Security3》第五章第四部分翻译(方法安全的高级知识和小结)(转载)
2011-12-24 10:22 991方法安全的高级知 ... -
《Spring Security3》第五章第三部分翻译(保护业务层)
2011-12-24 10:22 847保护业务层 到目前为止,在 ... -
《Spring Security3》第五章第二部分翻译下(实现授权精确控制的方法——页面级权限)(转载)
2011-12-25 00:47 995使用控制器逻辑进行有条件渲染内容 ... -
《Spring Security3》第五章第二部分翻译上(实现授权精确控制的方法——页面级权限)(转载)
2011-12-25 00:47 894实现授权精确控制的方法 精确的授权指的是基于用 ... -
《Spring Security3》第五章第一部分翻译(重新思考应用功能和安全) (转载)
2011-12-25 00:47 919第五章 精确的 ... -
《Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)(转载)
2011-12-25 00:47 1213将 Remember me 功能 ... -
《Spring Security3》第四章第三部分翻译下(密码加salt)(转载)
2011-12-25 00:48 1735你是否愿意在密码上添加点salt ? 如果安 ...
相关推荐
本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。本文通过实例代码讲解的非常详细,具有一定的参考借鉴价值,需要的朋友参考下吧
项目应用到spring3,security3,hibernate4,struts2;应用中涉及到安全认证,目前项目有独立的统一认证网关,所以登录时只需要将安全认证网关的认证后信息塞到spring security中,由security3来管理用户的权限设置。...
spring security3 中文版本
Spring Security 3.pdf Spring Security 3.pdf Spring Security 3.pdf Spring Security 3.pdf
spring security spring security 中文文档
简单的 springSecurity3例子代码
第二章:springsecurity起步 第三章:增强用户体验 第四章:凭证安全存储 第五章:精确的访问控制 第六章:高级配置和扩展 第七章:访问控制列表(ACL) 第八章:对OpenID开放 第九章:LDAP目录服务 第十章:使用...
Spring Security三份资料,实战Spring Security 3.x.pdf;Spring Security 3.pdf;Spring Security使用手册.pdf
用STS(Spring Tool Suite)开发的,spring mvc + spring security 实现的最简单的登录系统,无数据库。
springSecurity 实现登陆验证、传参,包括源代码和MYSQL的建库脚本。 传参的功能可以实现记录登陆之前打开的页面,登陆之后自动跳转到之前打开的页面。
springboot+ spring security实现登录认证
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不...
3、Spring Security 2.x Overview 4、Dive Into Spring Security Authentication Authorization 5、Development Experiences & Demo 6、Q & A 张明星 5年以上保险、电信大中型项目开发经验,对JavaEE有较深入理解...
Spring Security3 Demo ,根据Spring Security 安全权限管理手册 整理出的例子。 通过eclipse部署。
Spring Security:spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security3
(1)该项目是基于spring3+struts2+hibernate3+spring security3的权限管理项目 (2)后台我已经实现了权限管理,包括用户,角色和资源的分配。前台实现了spring security3的管理 (3)网上案例普遍是后台单一登陆。...
Spring Security in Action
Spring Security 3 By Peter Mularien和翻译 Publisher: Packt Publishing 2010 | 420 Pages | ISBN: 1847199747 | PDF | 5 MB
spring security2.5 jar 和spring security2.5 整合必须的jar包