logo标签列表

Spring Security 3注销功能无法正常工作

spring-securitylogout
4

我是一个新手,尚不熟悉Spring Security。我在Spring Security 3中创建了一个示例。

我遇到了一个问题。我可以成功地使用默认的登录页面登录,但是当我退出登录时,我成功地重定向到我的loggedout.jsp页面,但当我通过更改URL来检查时,我发现我仍然登录着。

Spring security.xml文件:

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <http pattern="/loggedout.jsp" security="none" />

    <http auto-config='true'>
        <intercept-url pattern="/**" access="ROLE_USER" />
        <logout logout-success-url="/loggedout.jsp" invalidate-session="true"
            delete-cookies="JSESSIONID" />

        <!-- <remember-me key="myAppKey" /> -->
        <!-- <session-management invalid-session-url="/timeout.jsp">
            <concurrency-control max-sessions="1"
                error-if-maximum-exceeded="true" />
        </session-management> -->
    </http>

    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="vrajesh" password="vrajesh"
                    authorities="ROLE_USER,ROLE_ADMIN" />
                <user name="test" password="test"
                    authorities="ROLE_USER,ROLE_ADMIN" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

    <!--
        <http pattern="/loggedout.jsp" security="none"/>
        <http use-expressions="true">
            <intercept-url pattern="/**" access="ROLE_USER" />
            <form-login />
            <logout logout-success-url="/loggedout.jsp"
                delete-cookies="JSESSIONID"/>
            <remember-me />
            <session-management invalid-session-url="/timeout.jsp">
                <concurrency-control max-sessions="1"
                    error-if-maximum-exceeded="true" />
            </session-management>
        </http>
    -->

</beans:beans>

这是我在每个页面上的登出链接:

<p><a href="j_spring_security_logout">Logout</a></p>

这是我的 loggedout.jsp 页面:

<p>
You have been logged out. <a href="<c:url value='/'/>">Start again</a>.
</p>

在我的“loggedout.jsp”页面中,如果我点击“重新开始”的链接,应该显示登录页面,但实际上没有。相反,我已经登录了应用程序。
请帮助我,并让我知道是否有什么我漏掉的东西。
请修复您发布的HTML,并澄清您正在使用的实际配置文件。另外,请说明“重新开始”链接的指向。您是否已启用DEBUG日志记录? - Peter Mularien
1
你确认仍然登录了应用程序,而不是只看到浏览器缓存的页面版本吗? - atrain
2个回答
4

每个页面上的注销链接应为:

<p><a href="/j_spring_security_logout">Logout</a></p>
0

我在引用j_spring_security_logout时遇到了问题,所以我做了以下操作:

1.- 在spring-security.xml文件中添加到section部分:

<logout logout-url="/logout.html"/>

2.- 在我的控制器中,我只有:

@RequestMapping(value = "logout.html", method = RequestMethod.GET)
    public String logout(ModelMap model, HttpServletRequest request) {
        return "loginform";
    }

3.- 在我的 .jsp 文件中:

 <a href="${pageContext.request.contextPath}/logout.html"><fmt:message key="text.exit" /></a>

它完美地运行 :)

您可以在这里检查其他注销配置。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接