Logout funktioniert nicht in Spring Security

Schreibe ich eine Sicherheits-Anwendung mit Spring Security 4.0. Als Teil der, dass ich möchte, um eine Abmeldung nennen. Es ist einfach die Request-Methode 'POST' nicht unterstützt. Hier ist mein code:

spring-security.xml

<security:http  auto-config="true">
    <security:access-denied-handler error-page="/denied"/>
        <security:form-login login-page="/login"
        username-parameter="j_username"
        password-parameter="j_password"
        login-processing-url="/j_spring_security_check"
        authentication-failure-url="/login?failed=true" 
        default-target-url="/home" always-use-default-target="true"/>
        <security:custom-filter ref="secfilter" before="FILTER_SECURITY_INTERCEPTOR" />

        <security:logout invalidate-session="true" logout-url="/j_spring_security_logout" logout-success-url="/login"/>
        <!-- <security:logout  logout-url="/j_spring_security_logout" logout-success-url="/login"/> -->

    <security:csrf /> 
</security:http>

jsp

<a href="j_spring_security_logout">  <button class="logoutbtn">logout</button></a>
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

InformationsquelleAutor Ravi Kumar Ravanam | 2016-11-30

  1. 4

    Wenn Sie CSRF-Angriffe, müssen Sie die Verwendung von HTTP POST (mit einem <form> in Ihre JSP) anstelle von HTTP GET (mit einem <a> in Ihre JSP), siehe Spring Security Referenz:

    18.5.3 Abmelden

    Hinzufügen CSRF-update der LogoutFilter nur HTTP POST verwenden. Dadurch wird sichergestellt, dass log-out erfordert ein CSRF-token, und dass ein böswilliger Benutzer nicht zwangsweise Abmelden Ihre Benutzer.

    Ein Ansatz ist es, ein Formular für die Anmeldung aus. Wenn Sie wirklich wollen, ein link, Sie können JavaScript verwenden, um die link führen Sie eine POST (also vielleicht auf eine versteckte form). Für Browser mit JavaScript-Code deaktiviert ist, können Sie Optional den link nehmen, den Benutzer Abmelden Bestätigungs-Seite, die POST.

    Siehe beispielsweise Spring Security Referenz:

    37.5.1 Automatische Token Einbeziehung

    Spring Security wird automatisch das CSRF-Token in Formularen, die die Verwendung von Spring MVC form-tag. Zum Beispiel das folgende JSP:

    <jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"
    xmlns:c="http://java.sun.com/jsp/jstl/core"
    xmlns:form="http://www.springframework.org/tags/form" version="2.0">
    <jsp:directive.page language="java" contentType="text/html" />
<html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en">
    <!-- ... -->

    <c:url var="logoutUrl" value="/logout"/>
    <form:form action="${logoutUrl}"
            method="post">
    <input type="submit"
               value="Log out" />
    <input type="hidden"
                name="${_csrf.parameterName}"
                value="${_csrf.token}"/>
    </form:form>

    <!-- ... -->
</html>
</jsp:root>

    InformationsquelleAutor dur

  2. 1

    Können Sie auch versuchen, diese in Ihre JSP-weil ich denke, dass Sie Ihre JSP-Datei ist falsch. Ersetzen Sie Ihre angegebenen code durch den folgenden code:

    <form action="/j_spring_security_logout">

    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
    <input type="submit" value="logout">

</form>

    In Ihrem Fall sind Sie nicht Sie ein Formular Einreichen, Sie machen einfach einen get-request an j_spring_security_logout aber es erfordert ein CSRF-token mit einer POST-Anforderung, so wird es wieder die Fehlermeldung, die Sie bekommen.

    Bearbeiten: rückgängig machen die änderungen, die Sie gemacht haben, aus der vorherigen Antwort, denn dies ist nur eine änderung zu dem, was Sie bereits haben.

    InformationsquelleAutor px06

  3. 0

    Ich lösen dieses problem in meinem Projekt. Den code wie folgt:

        @RequestMapping(value="/j_spring_security_logout", method = RequestMethod.GET)
    public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){
            new SecurityContextLogoutHandler().logout(request, response, auth);
            logger.info("logout ok");
        }
        return "redirect";//You can redirect wherever you want, but generally it's a good practice to show login screen again.
    }

    Ich weiß nicht, ob Sie akzeptieren kann, auf diese Weise.
    Wenn Sie öffnen CSRF,Sie müssen, verwenden Sie den post auf Anfrage der logout url. Im Frühjahr security4, der CSRF-Standardeinstellung öffnen. Diese Dokumente geben Ihnen weitere Informationen. 18.5.3 Abmelden 18.5.3 Abmelden

    es funktioniert für mich, Aber ich Verstand nicht, diesen code. Können Sie bitte geben Sie mir einige Erklärungen.Wird es zum erlöschen der Sitzung

    InformationsquelleAutor JonahCui

Schreibe einen Kommentar