2. 程式人生 > 其它 >Spring-security原始碼-Filter之LogoutFilter(十三)

Spring-security原始碼-Filter之LogoutFilter(十三)

阿新 發佈:2021-11-10

負責處理登出相關邏輯,預設url對映是/logout

org.springframework.security.config.annotation.web.configurers.LogoutConfigurer 初始化

預設初始化處https://www.cnblogs.com/LQBlog/p/15508248.html#autoid-12-0-0

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {
        //http本質也是build 這裡都是配置預設的config configure add CsrfConfigurer
 

        http.csrf();
        //預設增加一個WebAsyncManagerIntegrationFilter
        http.addFilter(new WebAsyncManagerIntegrationFilter());
        //configures add ExceptionHandlingConfigurer
        http.exceptionHandling();
        //configures add HeadersConfigurer
        http.headers();
        //configures add SessionManagementConfigurer
 

        http.sessionManagement();
        //configure add SecurityContextConfigurer
        http.securityContext();
        //configure add RequestCacheConfigurer
        http.requestCache();
        ///configure add AnonymousConfigurer
        http.anonymous();
        ///configure add ServletApiConfigurer
        http.servletApi();
        
 
//configure DefaultLoginPageConfigurer
        http.apply(new DefaultLoginPageConfigurer<>());
        //configure LogoutConfigurer
        http.logout();
    }

通過http.logout().addLogoutHandler() 可以自定義handler

LogoutFilter

    private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //匹配是否能夠處理 預設是/logout
        if (requiresLogout(request, response)) {
            //從SecurityContextHolder 獲得Authentication資訊
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            if (this.logger.isDebugEnabled()) {
                this.logger.debug(LogMessage.format("Logging out [%s]", auth));
            }
            /**
             * 呼叫CompositeLogoutHandler 他也實現了LogoutHandler 他只是一個統一的管理器
             * 內部迴圈呼叫LogoutHandler
             * 預設有三種
             * PersistentTokenBasedRememberMeServices <1>
             * SecurityContextLogoutHandler <2>
             * LogoutSuccessEventPublishingLogoutHandler<3>
             */
            this.handler.logout(request, response, auth);
            //處理登出成功的SimpleUrlLogoutSuccessHandler 比如重定向到登入頁
            this.logoutSuccessHandler.onLogoutSuccess(request, response, auth);
            return;
        }
        chain.doFilter(request, response);
    }

<1>

org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices#logout

    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        //清除cookile
        super.logout(request, response, authentication);
        if (authentication != null) {
            //刪除token
            this.tokenRepository.removeUserTokens(authentication.getName());
        }
    }

<2>

org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler#logout

 @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        Assert.notNull(request, "HttpServletRequest required");
        if (this.invalidateHttpSession) {
            HttpSession session = request.getSession(false);
            if (session != null) {
                //清空session
                session.invalidate();
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug(LogMessage.format("Invalidated session %s", session.getId()));
                }
            }
        }
        if (this.clearAuthentication) {
            //清空
            SecurityContext context = SecurityContextHolder.getContext();
            context.setAuthentication(null);
        }
        //清空
        SecurityContextHolder.clearContext();
    }

<3>

釋出一個spring的事件我們可以監聽這個事件 知道某個使用者登出了 參考:https://www.cnblogs.com/LQBlog/p/13878553.html#_label5

org.springframework.security.web.authentication.logout.LogoutSuccessEventPublishingLogoutHandler#logout

@Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        if (this.eventPublisher == null) {
            return;
        }
        if (authentication == null) {
            return;
        }
        this.eventPublisher.publishEvent(new LogoutSuccessEvent(authentication));
    }

相關推薦

Spring-security原始碼-FilterLogoutFilter(十三)

負責處理登出相關邏輯,預設url對映是/logout org.springframework.security.config.annotation.web.configurers.LogoutConfigurer 初始化

Spring-security原始碼-FilterFilterSecurityInterceptor(十八)

FilterSecurityInterceptor最後一個過濾器,主要做認證和授權攔截,比如我們未登入訪問需要登入的頁面或者我們配置了授權的頁面

spring-security原始碼-過濾器WebAsyncManagerIntegrationFilter(十)

作用 我們獲取當前登入使用者資訊是根據SecurityContextHolder.getContext()獲取的,SecurityContextHolder.getContext()本質是ThreadLocal實現

Spring-security原始碼-許可權註解許可權原理(十八)

使用方式參考:https://www.cnblogs.com/LQBlog/p/15505361.html#autoid-0-0-0 使用註解許可權需要通過以下方式啟用

Spring Ioc原始碼分析 Bean的載入(三):各個 scope 的 Bean 建立

Spring中Bean有許多不同的作用域,例如:singleton、prototype、request等等,本篇文章就來分析一下各個scope的Bean是怎麼建立的

Spring Ioc原始碼分析 Bean的載入(六):迴圈依賴處理

在上篇文章中,我們詳細分析了doCreateBean()中的第2步:例項化bean,本文接著分析doCreateBean()的第4步“迴圈依賴處理”,也就是populateBean()方法。

Spring Ioc原始碼分析 Bean的載入(一)

前言 在之前的文章中,我們分析了Spring的Ioc的初始化過程,實際上就是把 beanName 和 BeanDefinition 註冊到DefaultListableBeanFactory的map中。

Spring Ioc原始碼分析 Bean的載入(二)

在上篇文章中Spring Ioc Bean的載入(一),我們分析了Spring Ioc中Bean的載入 doGetBean() 方法的2.2從快取中獲取單例bean和2.3獲取最終的bean例項物件兩個步驟,我們接著分析餘下幾個步驟。

Spring ioc 原始碼分析--beanFactory.registerResolvableDependency()方法

背景: 在spring ioc refresh()方法中,看到了如下邏輯: 要理解該邏輯的原理,先看場景:有個介面InterFaceA,它有2個實現類A1和A2 那麼,如果一個類C 依賴了InterFaceA,此時sprig不知道要注入哪個實現類:

spring security原始碼分析

目錄1.spring security的啟動機制1.1.框架介面設計1.2.spring security的啟動流程1.3.security介面總結2.spring security執行流程2.2.核心過濾器講解2.2.認證過程2.3.授權過程2.3.1.hasAuthority vs hasRole不同3.sp

spring security 4 filter 順序及作用(轉)

spring security 4 filter 順序及作用 Spring Security 有兩個作用:認證和授權 一、Srping security 4 filter 別名及順序

(二)Spring Security 入門體驗——使用者密碼配置

Spring Security使用者密碼配置 除了上面Spring Security在不進行任何配置下預設給出的使用者user密碼隨專案啟動生成隨機字串,我們還可以通過以下方式配置

spring-boot原始碼分析beanFactory · 肆

前言 昨天我們又分析了容器的建立過程,從容器的建立過程中,我們找到了beanFactory例項化後最基本的初始化——註冊需要忽略的介面(ignoreDependencyInterface)、註冊配置處理器(registerAnnotationConfigProces

爆破專欄丨Spring Security系列教程Spring Security的四種許可權控制方式

前言 在前面的章節中,一一哥已經給大家介紹了Spring Security的很多功能,在這些眾多功能中,我們知道其核心功能其實就是認證+授權。

走進Spring Boot原始碼學習路和淺談入門

作為筆者見解,Spring Boot 不算是一個全新的框架,Spring Boot 底層還是大量依賴於Spring Framework,而Spring Framework很早以前版本就已提供基於註解、Java Config而不僅是XML配置程式設計;Spring Boot採用約定

Spring Cloud 原始碼分析OpenFeign

OpenFeign是一個遠端客戶端請求代理,它的基本作用是讓開發者能夠以面向介面的方式來實現遠端呼叫,從而遮蔽底層通訊的複雜性,它的具體原理如下圖所示。

Spring Security 原始碼學習(一): 初識 Spring Security

【參考文章】: 官網地址 1. 簡介 Spring Security 一個基於 Spring AOP 和 Servlet 過濾器的一個功能強大且高度可定製的身份驗證和訪問控制框架。在 Web 請求級和方法呼叫級處理認證和授權。

Spring Security 原始碼學習(二): Spring Security自動配置(初始化流程)

【深度好文】: 「和耳朵」SpringSecurity是如何代理過濾器鏈的? 1. 自動配置security的bean資訊

Spring Security 原始碼學習(三): Spring Security認證流程

【參考文章】: Spring Security 認證流程 (寫的很形象) 認證功能由 springSecurityFilterChain 中的 UsernamePasswordAuthenticationFilter 實現

Spring Security原理介紹、原始碼解析——授權過程

流程簡述 當我們成功登入,獲取access_token,即可使用該token來訪問有許可權的介面。如上文所講,JwtAuthenticationFilter將access_token轉化為系統可識別的Authentication放入安全上下文,