Question

我正在使用javaconfig试验Spring Security 3.2.0.RC2，看来注销网址只是POST。这是设计的，有没有办法让它注销一个有GET请求的用户？

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/resources/**", "/signup", "/about", "/password").permitAll()                  
        .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated().and()
        .formLogin()
            .loginPage("/login")
            .permitAll();        
}

Answer 1

这是故意的，并记录在CSRF documentation中。原因是防止强制将用户从应用程序中注销的CSRF攻击。如果您想支持非POST请求，可以使用以下Java配置来执行此操作：

protected void configure(HttpSecurity http) throws Exception {
  http
    // ...
    .logout()
       .logoutRequestMatcher(new AntPathRequestMatcher("/logout"));
}

您还可以在Javadoc of the LogoutConfigurer上找到有关配置注销的信息（即http.logout()方法返回的对象）。

Spring Security 3.2.0RC2注销网址仅限POST？

1 个答案: