Зміст
У цій статті буде розказано про можливості виходу користувача з системи (logout) та пов'язані з цим моменти в Spring Security версії 3.x.
Найпростіший спосіб вийти для авторизованого користувача - це використовувати посилання з дією /j_spring_security_logout. Це стандартна дія Spring Security, завдяки якій всі дії щодо виходу користувача з системи бере на себе Spring Security. Приклад коду:
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<%@ taglib prefix="sec"
uri="http://www.springframework.org/security/tags"%>
<%@ page session="false"%>
<html>
<body>
<a href="<c:url value="/j_spring_security_logout"/>">Logout</a>
</body>
</html>
Але давайте глибше розберемося в питанні Logout. Як основа в цій статті буде використовуватися приклад з першої частини статті "Вступ в Spring Security. Hello World!". Створіть проект, слідуючи інструкціям зі статті, або скачайте файл проекту для його використання в цій статті.
Перше, що зробимо, - змінимо код таким чином, що посилання Logout буде відображатися тільки авторизованим користувачам. Найпростіший спосіб зробити це - використовувати теги Spring Security. jsp-сторінка буде виглядати наступним чином:
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<%@ taglib prefix="sec"
uri="http://www.springframework.org/security/tags"%>
<%@ page session="false"%>
<html>
<head>
<title>Home</title>
</head>
<body>
<sec:authorize access="isAuthenticated()">
<a href="<c:url value="/j_spring_security_logout"/>">Logout</a>
</sec:authorize>
</body>
</html>
Для того щоб використовувати теги Spring Security, необхідно додати залежність spring-security-taglibs в файл pom.xml:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${org.springframework-version}</version>
</dependency>
Весь файл pom.xml виглядає так:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.seostella</groupId>
<artifactId>springsecuritylogout</artifactId>
<name>spring-security-logout</name>
<packaging>war</packaging>
<version>1.0.0-BUILD-SNAPSHOT</version>
<properties>
<java-version>1.6</java-version>
<org.springframework-version>3.1.0.RELEASE</org.springframework-version>
<org.aspectj-version>1.6.9</org.aspectj-version>
<org.slf4j-version>1.5.10</org.slf4j-version>
</properties>
<dependencies>
<!-- Spring -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context</artifactId>
<version>${org.springframework-version}</version>
<exclusions>
<!-- Exclude Commons Logging in favor of SLF4j -->
<exclusion>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${org.springframework-version}</version>
</dependency>
<!-- Spring Security -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-core</artifactId>
<version>${org.springframework-version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${org.springframework-version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${org.springframework-version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${org.springframework-version}</version>
</dependency>
<!-- AspectJ -->
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjrt</artifactId>
<version>${org.aspectj-version}</version>
</dependency>
<!-- Logging -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>${org.slf4j-version}</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<version>${org.slf4j-version}</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>${org.slf4j-version}</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.15</version>
<exclusions>
<exclusion>
<groupId>javax.mail</groupId>
<artifactId>mail</artifactId>
</exclusion>
<exclusion>
<groupId>javax.jms</groupId>
<artifactId>jms</artifactId>
</exclusion>
<exclusion>
<groupId>com.sun.jdmk</groupId>
<artifactId>jmxtools</artifactId>
</exclusion>
<exclusion>
<groupId>com.sun.jmx</groupId>
<artifactId>jmxri</artifactId>
</exclusion>
</exclusions>
<scope>runtime</scope>
</dependency>
<!-- @Inject -->
<dependency>
<groupId>javax.inject</groupId>
<artifactId>javax.inject</artifactId>
<version>1</version>
</dependency>
<!-- Servlet -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>javax.servlet.jsp</groupId>
<artifactId>jsp-api</artifactId>
<version>2.1</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
</dependency>
<!-- Test -->
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.7</version>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<artifactId>maven-eclipse-plugin</artifactId>
<version>2.9</version>
<configuration>
<additionalProjectnatures>
<projectnature>org.springframework.ide.eclipse.core.springnature</projectnature>
</additionalProjectnatures>
<additionalBuildcommands>
<buildcommand>org.springframework.ide.eclipse.core.springbuilder</buildcommand>
</additionalBuildcommands>
<downloadSources>true</downloadSources>
<downloadJavadocs>true</downloadJavadocs>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.6</source>
<target>1.6</target>
<compilerArgument>-Xlint:all</compilerArgument>
<showWarnings>true</showWarnings>
<showDeprecation>true</showDeprecation>
</configuration>
</plugin>
<plugin>
<groupId>org.codehaus.mojo</groupId>
<artifactId>exec-maven-plugin</artifactId>
<version>1.2.1</version>
<configuration>
<mainClass>org.test.int1.Main</mainClass>
</configuration>
</plugin>
</plugins>
</build>
</project>
Тепер в jsp-файлах є можливість використовувати теги Spring Security. Нам знадобиться тільки один з них - authorize (іншим тегам буде присвячена окрема стаття). Додайте в jsp-файлі, в якому Ви хочете використовувати посилання Logout, наступну бібліотеку:
<%@ taglib prefix="sec"
uri="http://www.springframework.org/security/tags"%>
А посилання буде виглядати так:
<sec:authorize access="isAuthenticated()">
<a href="<c:url value="/j_spring_security_logout"/>">Logout</a>
</sec:authorize>
Вміст тега sec:authorize буде відображено тільки якщо користувач увійшов в систему, що описується виразом isAuthenticated().
Проте, щоб використовувати вираз isAuthenticated() в jsp-файлі необхідно змінити конфігурацію безпеки (файл application-security.xml) наступним чином. Блок http:
<http auto-config="true">
<intercept-url pattern="/secure/**" access="ROLE_USER" />
<intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
</http>
замініть наступним кодом:
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/secure/**" access="hasRole('ROLE_USER')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
</http>
Вся справа в атрибуті use-expressions тега http. Цим тегом в Spring Security позначається, що будуть використовуватися вирази. Їх (виразів) існує безліч і наступна частина статей про Spring Security буде присвячена ім.
Також є можливість змінити адресу /j_spring_security_logout для виходу з системи. Все, що потрібно, - додати в тег http тег logout з атрибутом logout-url:
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/secure/**" access="hasRole('ROLE_USER')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
<logout logout-url="/logout" />
</http>
Тепер jsp-сторінку можна змінити адресу для Logout:
<%@ taglib prefix="sec"
uri="http://www.springframework.org/security/tags"%>
А посилання буде виглядати так:
<sec:authorize access="isAuthenticated()">
<a href="<c:url value="/logout"/>">Logout</a>
</sec:authorize>
У тега logout є ще кілька корисних атрибутів:
Атрибут delete-cookies - це список кукі (cookies), розділений комами, які будуть вилучені, коли користувач вийде з системи.
Атрибут invalidate-session - якщо Ви хочете анулювати сесію при виході користувача із системи, встановіть цей атрибут в true, інакше - false. За замовчуванням - true.
Атрибут logout-success-url - адреса, на яку буде перенаправлений користувач після того, як він вийшов з системи. За замовчуванням - корінь "/".
Атрибут logout-url - адреса, використовуючи яку користувач вийде з системи. За замовчуванням - "/j_spring_security_logout".
Атрибут success-handler-ref - сервіс, успадкований від LogoutSuccessHandler, який контролює навігацію користувача після того, як останній вийшов з системи.
Розглянемо приклад з останнім атрибутом success-handler-ref. Змінимо тег logout наступним чином:
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/secure/**" access="hasRole('ROLE_USER')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
<logout logout-url="/logout" success-handler-ref="customLogoutSuccessHandler"/>
</http>
Код сервісу CustomLogoutSuccessHandler представлений нижче:
package com.seostella.springsecuritylogout.service;
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.logout.SimpleUrlLogoutSuccessHandler;
import org.springframework.stereotype.Service;
@Service
public class CustomLogoutSuccessHandler extends SimpleUrlLogoutSuccessHandler{
@Override
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
Authentication authentication) throws IOException, ServletException{
Object principal = authentication.getPrincipal();
if (principal instanceof User) {
User user = (User) principal;
if( user.getUsername().equals("user") ){
response.sendRedirect( request.getContextPath() + "/logout/user" );
}
}
response.sendRedirect( request.getContextPath() + "/" );
}
}
Клас цього сервісу має бути успадкований від SimpleUrlLogoutSuccessHandler. Якщо Ви хочете змінити логіку виходу користувача з системи, необхідно перевизначити метод onLogoutSuccess(). Також в цьому методі Ви можете зробити необхідні Вам дії для обробки виходу користувача з системи.
У нашому прикладі якщо ім'я користувача user, то він перенаправляється на адресу "/logout/user", всі інші користувачі після виходу потрапляють на домашню сторінку.
Щоб цей код працював необхідно зробити адресу "/logout/user" доступною для незареєстрованих користувачів. Тобто, додати в application-security.xml наступний рядок:
<http pattern="/logout/user/" security="none" />
Також буде потрібно трохи змінити структуру конфігурації проекту:
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<!-- The definition of the Root Spring Container shared by all Servlets
and Filters -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/spring/root-context.xml
/WEB-INF/spring/application-security.xml
</param-value>
</context-param>
<!-- Creates the Spring Container shared by all Servlets and Filters -->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!-- Processes application requests -->
<servlet>
<servlet-name>appServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring/appServlet/servlet-context.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>appServlet</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/mvc"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd">
<annotation-driven />
<resources mapping="/resources/**" location="/resources/" />
<beans:bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<beans:property name="prefix" value="/WEB-INF/views/" />
<beans:property name="suffix" value=".jsp" />
</beans:bean>
<context:component-scan base-package="com.seostella.springsecuritylogout" />
</beans:beans>
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd">
<http pattern="/css/**" security="none" />
<http pattern="/logout/user/" security="none" />
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/secure/**" access="hasRole('ROLE_USER')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
<logout logout-url="/logout" success-handler-ref="customLogoutSuccessHandler"/>
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="adminpassword" authorities="ROLE_USER, ROLE_ADMIN" />
<user name="user" password="userpassword" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/mvc"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd">
</beans:beans>
На цьому закінчимо розгляд logout.
Завантажити робочий проект Ви можете за наступним посиланням - Завантажити spring-security-logout.zip.
< | Як отримати користувача в Spring Security | Spring EL expressions в Spring Security | > |
8 серпня 2012 р. 20:36
|
Спасибо! Отличная подборка! Продолжайте в том же духе!
|
16 січня 2017 р. 12:56
|
Спасибо очень помогло.
|