Spring Security - 登出

---

---

登出是一個重要的功能，它要求使用者在登出或退出，或其當前會話因任何原因失效後，必須登入才能訪問任何受保護的資源。

Spring Security 提供了預設的登出功能，正如我們在Spring Security - 表單登入章節中所看到的。

登出功能執行以下重要功能。

• 使 Http 會話失效，並解除繫結到會話的物件。

• 它清除“記住我”cookie。

• 從 Spring 的 Security 上下文中刪除身份驗證。

登出可以明確配置如下：

protected void configure(HttpSecurity http) throws Exception {
http 
   // ... 
   .logout(config -> config  
      .logoutUrl("/logout") 
      .logoutSuccessUrl("/login")) 
   .build();
}

重要方法

以下是我們可以在 logout() 方法中配置的重要方法。

• logoutUrl ("/logout") − 這將用於登出我們的應用程式。它的預設值為 logout，可以更改為任何其他自定義值。

• logoutSuccessUrl ("/login") − 使用者成功登出後，將使用此 URL 載入登入頁面。

• invalidateHttpSession ("true") − 用於使會話失效。預設情況下，它為 true，因此當用戶登出時，其會話將失效。我們可以將其標記為 false 以便即使在登出後也保持會話活動。

• deleteCookies ("JSESSIONID") − 用於清除“記住我”cookie。

• logoutSuccessHandler(logoutSuccessHandler()); − 當我們需要在使用者登出應用程式時執行某些操作時，使用此方法。

讓我們開始使用 Spring Security 進行實際程式設計。在開始使用 Spring 框架編寫您的第一個示例之前，您必須確保已正確設定 Spring 環境，如Spring Security - 環境設定章節中所述。我們還假設您對 Spring Tool Suite IDE 有些瞭解。

現在讓我們繼續編寫一個基於 Spring MVC 並由 Maven 管理的應用程式，該應用程式將要求使用者登入，對使用者進行身份驗證，然後使用 Spring Security 表單登入功能提供登出選項。

使用 Spring Initializr 建立專案

Spring Initializr 是開始 Spring Boot 專案的好方法。它提供了一個易於使用的使用者介面來建立專案，新增依賴項，選擇 Java 執行時等。它生成一個骨架專案結構，下載後可以匯入到 Spring Tool Suite 中，然後我們可以繼續使用我們現成的專案結構。

我們選擇一個 Maven 專案，將專案命名為 formlogin，Java 版本為 21。添加了以下依賴項：

• Spring Web

• Spring Security

• Thymeleaf

• Spring Boot DevTools

Thymeleaf 是一個用於 Java 的模板引擎。它允許我們快速開發靜態或動態網頁以便在瀏覽器中呈現。它具有極高的可擴充套件性，允許我們詳細定義和定製模板的處理過程。此外，我們可以點選此連結瞭解更多關於 Thymeleaf 的資訊。

讓我們繼續生成專案並下載它。然後我們將其解壓到我們選擇的資料夾中，並使用任何 IDE 開啟它。我將使用Spring Tools Suite 4。它可以從https://springframework.tw/tools網站免費下載，並針對 Spring 應用程式進行了最佳化。

包含所有相關依賴項的 pom.xml

讓我們看看我們的 pom.xml 檔案。它應該看起來類似於以下內容：

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
   <modelVersion>4.0.0</modelVersion>
   <parent>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-parent</artifactId>
      <version>3.3.1</version>
      <relativePath/> <!-- lookup parent from repository -->
   </parent>
   <groupId>com.tutorialspoint.security</groupId>
   <artifactId>formlogin</artifactId>
   <version>0.0.1-SNAPSHOT</version>
   <name>formlogin</name>
   <description>Demo project for Spring Boot</description>
   <url/>
   <licenses>
      <license/>
   </licenses>
   <developers>
      <developer/>
   </developers>
   <scm>
      <connection/>
      <developerConnection/>
      <tag/>
      <url/>
   </scm>
   <properties>
      <java.version>21</java.version>
   </properties>
   <dependencies>
      <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-security</artifactId>
      </dependency>
      <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-thymeleaf</artifactId>
      </dependency>
      <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-web</artifactId>
      </dependency>
      <dependency>
         <groupId>org.thymeleaf.extras</groupId>
         <artifactId>thymeleaf-extras-springsecurity6</artifactId>
      </dependency>
      <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-devtools</artifactId>
         <scope>runtime</scope>
         <optional>true</optional>
      </dependency>
      <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-test</artifactId>
         <scope>test</scope>
      </dependency>
      <dependency>
         <groupId>org.springframework.security</groupId>
         <artifactId>spring-security-test</artifactId>
         <scope>test</scope>
      </dependency>
   </dependencies>
   <build>
      <plugins>
         <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
         </plugin>
      </plugins>
   </build>
</project>

Spring Security 配置類

在我們的 config 包中，我們建立了 WebSecurityConfig 類。我們將使用此類進行安全配置，因此讓我們使用 @Configuration 註解和 @EnableWebSecurity 對其進行註解。這樣，Spring Security 就會知道將此類視為配置類。正如我們所看到的，Spring 使應用程式配置變得非常容易。

WebSecurityConfig

package com.tutorialspoint.security.formlogin.config; 

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain; 

@Configuration 
@EnableWebSecurity
public class WebSecurityConfig  { 

   @Bean 
   protected UserDetailsService userDetailsService() {
      UserDetails user = User.builder()
         .username("user")
         .password(passwordEncoder().encode("user123"))
         .roles("USER")
         .build();
      UserDetails admin = User.builder()
         .username("admin")
         .password(passwordEncoder().encode("admin123"))
         .roles("USER", "ADMIN")
         .build();
      return new InMemoryUserDetailsManager(user, admin);
   }

   @Bean 
   protected PasswordEncoder passwordEncoder() { 
      return new BCryptPasswordEncoder(); 
   }

   @Bean
   protected SecurityFilterChain filterChain(HttpSecurity http) throws Exception { 
      return http
         .csrf(AbstractHttpConfigurer::disable)
         .authorizeHttpRequests(
            request -> request.requestMatchers("/login").permitAll()
            .requestMatchers("/**").authenticated()
         )
         .formLogin(form -> form.loginPage("/login")
            .defaultSuccessUrl("/")
            .failureUrl("/login?error=true")
            .permitAll())       
         .logout(config -> config  
            .logoutUrl("/logout") 
            .logoutSuccessUrl("/login")
            .invalidateHttpSession(true)
            .deleteCookies("JSESSIONID"))
         .build();
   }   
}

在這裡，我們提到了要用於登出的 logout url，這是 Spring Security 提供的預設 url。我們不需要為此建立一個特殊的登出頁面。同樣，一旦使用者登出，使用者將看到登入頁面，這是標準做法。

控制器類

在這個類中，我們為 "/" 端點和 "/login" 端點建立了對映，分別用於該應用程式的索引頁面和登入頁面。

AuthController.java

package com.tutorialspoint.security.formlogin.controllers; 

import org.springframework.stereotype.Controller; 
import org.springframework.web.bind.annotation.GetMapping; 

@Controller 
public class AuthController { 
   @GetMapping("/") 
   public String home() { 
      return "index"; 
   }
   @GetMapping("/login") 
   public String login() { 
      return "login"; 
   }
}

檢視

讓我們在/src/main/resources/templates資料夾中建立 index.html，其內容如下，作為主頁並顯示已登入的使用者名稱。

index.html

<!DOCTYPE html> 
<html xmlns="http://www.w3.org/1999/xhtml" 
   xmlns:th="https://www.thymeleaf.org" 
   xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> 
   <head> 
      <title>
         Hello World!
      </title> 
   </head>
   <body> 
      <h1 th:inline="text">Hello <span sec:authentication="name"></span>!</h1> 
      <form th:action="@{/logout}" method="post"> 
         <input type="submit" value="Sign Out"/> 
      </form>
   </body> 
<html> 

在這裡，我們使用了一個帶有提交按鈕的表單來登出使用者。

<form th:action="@{/logout}" method="post"> 
   <input type="submit" value="Sign Out"/> 
</form>

我們也可以使用連結，如下所示：

<a href="/logout" alt="logout">Sign Out</a>

login.html

讓我們在/src/main/resources/templates資料夾中建立 login.html，其內容如下，作為登入頁面。我們使用預設名稱username和password作為文字欄位。如果使用其他名稱，我們也需要在 Spring Security 配置類中設定相同的名稱。

<!DOCTYPE html> 
<html xmlns="http://www.w3.org/1999/xhtml"      
   xmlns:th="https://www.thymeleaf.org" 
   xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> 
   <head> 
      <title>Spring Security Example</title> 
   </head> 
   <body> 
      <div th:if="${param.error}"> 
         <p>Bad Credentials</p>
      </div> 
      <div th:if="${param.logout}">You have been logged out.</div> 
      <form th:action="@{/login}" method="post">
         <div> 
            <h1>Please sign in</h1> 
            <label for="username">
               <b>Username</b>
            </label> 
            <input type="text" placeholder="Enter Username" name="username" id="username" required> 
            <label for="password"><b>Password</b></label> 
            <input type="password" placeholder="Enter Password" name="password" id="password" required> 
            <input type="submit"  value="Sign In" /> 
         </div> 
      </form> 
   </body>
</html>

在 login.html 中，我們使用${param.error}讀取請求引數error。如果為真，則列印錯誤訊息憑據錯誤。類似地，我們使用${param.logout}讀取請求引數logout。如果為真，則列印登出訊息。

在登入表單中，我們使用 POST 方法登入，同時使用名稱和 ID 為username和password的輸入欄位。

執行應用程式

由於我們所有元件都已準備好，讓我們執行應用程式。右鍵單擊專案，選擇以...執行，然後選擇Spring Boot 應用。

它將啟動應用程式，並且應用程式啟動後，我們可以執行 localhost:8080 來檢查更改。

輸出

現在開啟 localhost:8080，您可以看到我們的自定義登入頁面。

登入頁面

主頁

輸入有效的憑據，它將載入主頁。

登出後

現在單擊登出按鈕，它將再次載入登入頁面。