我在Spring启动应用程序中使用基于java的spring安全配置。当用户单击注销链接时,用户将被重定向到登录页面。在这种情况下,我需要在注销成功URL中传递自定义参数。
e.g。当我退出时,应用被重定向到http://localhost:8080/app/login 但是我希望它有一个像下面这样的参数 http://localhost:8080/app/login?idletimeout=true
我为此创建了自定义LogoutSuccesshandle。我在处理程序中获取param值,然后构造成功URL,然后重定向到它。但是在注销时参数丢失了。
以下是我的处理程序代码。
public class LogoutSuccessHandlerImpl extends SimpleUrlLogoutSuccessHandler {
private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
@Override
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
request.getSession().invalidate();
SecurityContextHolder.clearContext();
request.setAttribute("isLoggedOut", "true");
String contextPath = request.getContextPath();
String redirectURL = "/login";
String isIdleTimeOut = request.getParameter("idleTimeout");
request.setAttribute("idleTimeout", isIdleTimeOut);
System.out.println(isIdleTimeOut + " isIdleTimeOut ");
if (isIdleTimeOut != null && isIdleTimeOut.equalsIgnoreCase("true")) {
System.out.println("in if ");
redirectURL += "?idleTimeout=" + isIdleTimeOut;
}
// setDefaultTargetUrl(redirectURL);
// response.sendRedirect(redirectURL);
// super.onLogoutSuccess(request, response, authentication);
redirectStrategy.sendRedirect(request, response, redirectURL);
}
下面是我的java配置代码。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/checkLogin")
.defaultSuccessUrl("/home")
.failureUrl("/login?login_error=1")
.usernameParameter("username")
.passwordParameter("password")
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessHandler(new LogoutSuccessHandlerImpl())
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.permitAll()
.and()
.authorizeRequests()
.antMatchers("/login**").permitAll()
.antMatchers("/error**").permitAll()
.antMatchers("/checkLogin**").permitAll()
.anyRequest()
.authenticated()
.accessDecisionManager(accessDecisionManager)
.and()
.exceptionHandling()
.accessDeniedPage("/accessDenied")
.and()
.headers()
.frameOptions()
.disable()
.and()
.sessionManagement()
.invalidSessionUrl("/login")
.maximumSessions(1);
}
答案 0 :(得分:1)
您可以做的是为您的应用准备自己的注销方法(自定义注销网址):
1)准备你的LogoutController:
@Controller
@RequestMapping(value = "/logout")
public class LogoutController {
@RequestMapping(value = {"", "/"})
public String logout(HttpServletRequest request) {
SecurityContextHolder.clearContext();
HttpSession session = request.getSession(false);
if (session != null) {
session.invalidate();
}
return "redirect:" + <your-logout-success-url>;
}
}
此处,使会话无效并清除上下文为您提供注销机制。
2)更新jsp文件中的注销URL:
<a href="/logout" id="logout_" title="Log out"><span>Log out</span></a>
3)此外,对于默认的“注销”方案,您仍然可以继续使用Spring Security注销:
<logout logout-success-url="/" invalidate-session="true" delete-cookies="JSESSIONID"
logout-url="/j_spring_security_logout"/>
因此,在此注销方法中,当用户要求注销过程时,您可以使用请求对象执行任何操作。您现在不需要传递参数。
答案 1 :(得分:0)
它应该是这样的
http
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/login?idletimeout=true"));
在xml中
<logout invalidate-session="true" logout-success-url="/login?idletimeout=true"/>