spring security 簡介

        spring security 的核心功能主要包括：

     其核心就是一組過濾器鏈，項目啟動后將會自動配置。最核心的就是 Basic Authentication Filter 用來認證用戶的身份，一個在spring security中一種過濾器處理一種認證方式。

本文將介紹在Spring Security框架下如何實現用戶的"退出"logout的功能。其實這是一個非常簡單的功能，我見過很多的程序員在使用了Spring Security之后，仍然去自己寫controller方法實現logout功能，這種做法就好像耕地，你有機械設備你不用，你非要用牛。

一、logout最簡及最佳實踐

其實使用Spring Security進行logout非常簡單，只需要在spring Security配置類配置項上加上這樣一行代碼:http.logout()。關于spring Security配置類的其他很多實現、如：HttpBasic模式、formLogin模式、自定義登錄驗證結果、使用權限表達式、session會話管理，在本號的之前的文章已經都寫過了。本節的核心內容就是在原有配置的基礎上，加上這樣一行代碼:http.logout()。

@Configuration@EnableWebSecuritypublic class SecSecurityConfig extends WebSecurityConfigurerAdapter {  @Override  protected void configure(final HttpSecurity http) throws Exception {    http.logout();  }}

加上logout配置之后，在你的“退出”按鈕上使用/logtou作為請求登出的路徑。

<a href="/logout" rel="external nofollow" >退出</a>

logout功能我們就完成了。實際上的核心代碼只有兩行。

二、默認的logout做了什么？

雖然我們簡簡單單的實現了logout功能，是不是還不足夠放心？我們下面就來看一下Spring Security默認在logout過程中幫我們做了哪些動作。

通常對于一個應用來講，以上動作就是logout功能所需要具備的功能了。

三、個性化配置

雖然Spring Security默認使用了/logout作為退出處理請求路徑，登錄頁面作為退出之后的跳轉頁面。這符合絕大多數的應用的開發邏輯，但有的時候我們需要一些個性化設置，如下：

 http.logout()   .logoutUrl("/signout")   .logoutSuccessUrl("/aftersignout.html")   .deleteCookies("JSESSIONID")

四、LogoutSuccessHandler

如果上面的個性化配置，仍然滿足不了您的應用需求。可能您的應用需要在logout的時候，做一些特殊動作，比如登錄時長計算，清理業務相關的數據等等。你可以通過實現LogoutSuccessHandler 接口來實現你的業務邏輯。

@Componentpublic class MyLogoutSuccessHandler implements LogoutSuccessHandler {    @Override  public void onLogoutSuccess(HttpServletRequest request,                 HttpServletResponse response,                 Authentication authentication)                 throws IOException, ServletException {    //這里書寫你自己的退出業務邏輯        // 重定向到登錄頁    response.sendRedirect("/login.html");  }}