此版本仍在开发中，尚不被认为是稳定的。对于最新的稳定版本，请使用 Spring Security 6.5.3！spring-doc.cadn.net.cn

处理注销

在最终用户可以登录的应用程序中，他们也应该能够注销。spring-doc.cadn.net.cn

默认情况下，Spring Security 会建立一个/logout端点，因此不需要额外的代码。spring-doc.cadn.net.cn

本节的其余部分介绍了许多用例供您考虑：spring-doc.cadn.net.cn

我想了解 logout 的架构 spring-doc.cadn.net.cn
我想自定义注销或注销成功 URI spring-doc.cadn.net.cn
我想知道什么时候需要显式允许/logout端点 spring-doc.cadn.net.cn
我想在用户注销时清除 cookie、存储和/或缓存 spring-doc.cadn.net.cn
我正在使用 OAuth 2.0，我想与授权服务器协调注销 spring-doc.cadn.net.cn
我正在使用 SAML 2.0，并且我想与身份提供者协调注销 spring-doc.cadn.net.cn
我正在使用 CAS，并且我想与身份提供者协调注记 spring-doc.cadn.net.cn

了解 Logout 的架构

当您包含这spring-boot-starter-securityDependency或使用@EnableWebSecurity注释，Spring Security 将添加其注销支持，并且默认情况下同时响应GET /logout和POST /logout.spring-doc.cadn.net.cn

如果您提出要求GET /logout，则 Spring Security 会显示注销确认页面。除了为用户提供有价值的双重检查机制外，它还提供了一种简单的方法来提供所需的 CSRF TokensPOST /logout.spring-doc.cadn.net.cn

请注意，如果在配置中禁用了 CSRF 保护，则不会向用户显示注销确认页面，而是直接执行注销。spring-doc.cadn.net.cn

在您的应用程序中，没有必要使用GET /logout以执行注销。只要请求中存在所需的 CSRF Tokens，您的应用程序就可以简单地POST /logout以诱导注销。

如果您提出要求POST /logout，则它将使用一系列LogoutHandler实例：spring-doc.cadn.net.cn

使 HTTP 会话失效（SecurityContextLogoutHandler)spring-doc.cadn.net.cn
清除SecurityContextHolderStrategy (SecurityContextLogoutHandler)spring-doc.cadn.net.cn
清除SecurityContextRepository (SecurityContextLogoutHandler)spring-doc.cadn.net.cn
清理所有 RememberMe 身份验证 (TokenRememberMeServices / PersistentTokenRememberMeServices)spring-doc.cadn.net.cn
清除所有已保存的 CSRF Tokens (CsrfLogoutHandler)spring-doc.cadn.net.cn
开火LogoutSuccessEvent (LogoutSuccessEventPublishingLogoutHandler)spring-doc.cadn.net.cn

完成后，它将执行其默认值LogoutSuccessHandler重定向到/login?logout.spring-doc.cadn.net.cn

自定义注销 URI

由于LogoutFilter出现之前这AuthorizationFilter在过滤器链中，默认情况下没有必要显式允许/logout端点。因此，只有您自己创建的自定义注销端点通常需要permitAll配置。spring-doc.cadn.net.cn

例如，如果您想简单地更改 Spring Security 匹配的 URI，您可以在logoutDSL 如下：spring-doc.cadn.net.cn

自定义注销 URI

http
    .logout((logout) -> logout.logoutUrl("/my/logout/uri"))

http {
    logout {
        logoutUrl = "/my/logout/uri"
    }
}

<logout logout-url="/my/logout/uri"/>

并且不需要进行授权更改，因为它只是调整LogoutFilter.spring-doc.cadn.net.cn

但是，如果您建立自己的注销成功端点（或在极少数情况下，您自己的注销端点），例如使用 Spring MVC，则需要在 Spring Security 中允许它。这是因为 Spring MVC 在 Spring Security 之后处理您的请求。spring-doc.cadn.net.cn

您可以使用authorizeHttpRequests或<intercept-url>这样：spring-doc.cadn.net.cn

自定义注销端点

http
    .authorizeHttpRequests((authorize) -> authorize
        .requestMatchers("/my/success/endpoint").permitAll()
        // ...
    )
    .logout((logout) -> logout.logoutSuccessUrl("/my/success/endpoint"))

http {
    authorizeHttpRequests {
        authorize("/my/success/endpoint", permitAll)
    }
    logout {
        logoutSuccessUrl = "/my/success/endpoint"
    }
}

<http>
    <filter-url pattern="/my/success/endpoint" access="permitAll"/>
    <logout logout-success-url="/my/success/endpoint"/>
</http>

在此示例中，您告诉LogoutFilter重定向到/my/success/endpoint当它完成时。并且，您明确允许/my/success/endpointendpoint 在这AuthorizationFilter.spring-doc.cadn.net.cn

不过，指定两次可能会很麻烦。如果您使用的是 Java 配置，则可以将permitAll属性，如下所示：spring-doc.cadn.net.cn

允许自定义注销端点

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

http
    .authorizeHttpRequests((authorize) -> authorize
        // ...
    )
    .logout((logout) -> logout
        .logoutSuccessUrl("/my/success/endpoint")
        .permitAll()
    )

http
    authorizeHttpRequests {
        // ...
    }
    logout {
        logoutSuccessUrl = "/my/success/endpoint"
        permitAll = true
    }

这会将所有注销 URI 添加到许可列表中。spring-doc.cadn.net.cn

添加清理作

如果您使用的是 Java 配置，则可以通过调用addLogoutHandler方法logoutDSL，如下所示：spring-doc.cadn.net.cn

自定义注销处理程序

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

CookieClearingLogoutHandler cookies = new CookieClearingLogoutHandler("our-custom-cookie");
http
    .logout((logout) -> logout.addLogoutHandler(cookies))

http {
    logout {
        addLogoutHandler(CookieClearingLogoutHandler("our-custom-cookie"))
    }
}

因为LogoutHandler实例用于清理，它们不应抛出异常。

因为LogoutHandler是一个功能接口，您可以提供自定义接口作为 lambda。

一些注销处理程序配置非常常见，以至于它们直接在logoutDSL 和<logout>元素。一个示例是配置会话失效，另一个示例是应删除哪些其他 cookie。spring-doc.cadn.net.cn

例如，您可以配置CookieClearingLogoutHandler如上所示。spring-doc.cadn.net.cn

或者，您可以设置适当的配置值，如下所示：spring-doc.cadn.net.cn

http
    .logout((logout) -> logout.deleteCookies("our-custom-cookie"))

http {
    logout {
        deleteCookies("our-custom-cookie")
    }
}

<http>
    <logout delete-cookies="our-custom-cookie"/>
</http>

指定JSESSIONID不需要 cookie，因为SecurityContextLogoutHandler通过使会话无效来删除它。

使用 clear-site-data 注销用户

这Clear-Site-DataHTTP 标头是浏览器支持的一种标头，作为清除属于拥有网站的 cookie、存储和缓存的指令。这是一种方便且安全的方法，可确保在注销时清理所有内容（包括会话 cookie）。spring-doc.cadn.net.cn

您可以添加配置 Spring Security 来编写Clear-Site-Data标头，如下所示：spring-doc.cadn.net.cn

使用清除站点数据

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

HeaderWriterLogoutHandler clearSiteData = new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter(Directives.ALL));
http
    .logout((logout) -> logout.addLogoutHandler(clearSiteData))

val clearSiteData = HeaderWriterLogoutHandler(ClearSiteDataHeaderWriter(Directives.ALL))
http {
    logout {
        addLogoutHandler(clearSiteData)
    }
}

你给ClearSiteDataHeaderWriter构造函数，要清除的内容列表。spring-doc.cadn.net.cn

上述配置会清除所有站点数据，但您也可以将其配置为仅删除 cookie，如下所示：spring-doc.cadn.net.cn

使用清除站点数据清除 Cookie

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

HeaderWriterLogoutHandler clearSiteData = new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter(Directive.COOKIES));
http
    .logout((logout) -> logout.addLogoutHandler(clearSiteData))

val clearSiteData = HeaderWriterLogoutHandler(ClearSiteDataHeaderWriter(Directive.COOKIES))
http {
    logout {
        addLogoutHandler(clearSiteData)
    }
}

自定义注销成功

使用logoutSuccessUrl对于大多数情况来说，您可能需要在注销完成后执行与重定向到 URL 不同的事情。LogoutSuccessHandler是用于自定义注销成功作的 Spring Security 组件。spring-doc.cadn.net.cn

例如，您可能只想返回状态代码，而不是重定向。在这种情况下，可以提供成功处理程序实例，如下所示：spring-doc.cadn.net.cn

自定义注销成功以返回 HTTP 状态代码

http
    .logout((logout) -> logout.logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler()))

http {
    logout {
        logoutSuccessHandler = HttpStatusReturningLogoutSuccessHandler()
    }
}

<bean name="mySuccessHandlerBean" class="org.springframework.security.web.authentication.logout.HttpStatusReturningLogoutSuccessHandler"/>
<http>
    <logout success-handler-ref="mySuccessHandlerBean"/>
</http>

因为LogoutSuccessHandler是一个功能接口，您可以提供自定义接口作为 lambda。

创建自定义注销端点

强烈建议您使用提供的logoutDSL 配置注销。原因之一是很容易忘记调用所需的 Spring Security 组件以确保正确和完整的注销。spring-doc.cadn.net.cn

事实上，通常更简单的是注册自定义LogoutHandler而不是创建一个 Spring MVC 端点来执行注销。spring-doc.cadn.net.cn

也就是说，如果您发现自己处于需要自定义注销端点的情况，如下所示：spring-doc.cadn.net.cn

自定义注销端点

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@PostMapping("/my/logout")
public String performLogout() {
    // .. perform logout
    return "redirect:/home";
}

@PostMapping("/my/logout")
fun performLogout(): String {
    // .. perform logout
    return "redirect:/home"
}

然后，您需要让该端点调用 Spring Security 的SecurityContextLogoutHandler以确保安全、完整的注销。至少需要类似以下内容的内容：spring-doc.cadn.net.cn

自定义注销端点

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

SecurityContextLogoutHandler logoutHandler = new SecurityContextLogoutHandler();

@PostMapping("/my/logout")
public String performLogout(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
    // .. perform logout
    this.logoutHandler.logout(request, response, authentication);
    return "redirect:/home";
}

val logoutHandler = SecurityContextLogoutHandler()

@PostMapping("/my/logout")
fun performLogout(val authentication: Authentication, val request: HttpServletRequest, val response: HttpServletResponse): String {
    // .. perform logout
    this.logoutHandler.logout(request, response, authentication)
    return "redirect:/home"
}

这样将清除SecurityContextHolderStrategy和SecurityContextRepository根据需要。spring-doc.cadn.net.cn

此外，还需要显式允许终结点。spring-doc.cadn.net.cn

无法调用SecurityContextLogoutHandler意味着这SecurityContext在后续请求中仍然可用，这意味着用户实际上并未注销。

测试注销

配置注销后，您可以使用 Spring Security 的 MockMvc 支持对其进行测试。spring-doc.cadn.net.cn

处理注销

了解 Logout 的架构

自定义注销 URI

添加清理作

使用 clear-site-data 注销用户

自定义注销成功

创建自定义注销端点

测试注销

更多注销相关参考资料