Spring Security:注销时出现 404

Posted

技术标签:

【中文标题】Spring Security:注销时出现 404【英文标题】:Spring Security: 404 on logout 【发布时间】:2014-06-04 21:51:04 【问题描述】:

当我尝试访问我的 Spring 应用程序的注销 URL 时,我在服务器日志中收到 404 错误和No mapping found for HTTP Request with URI [/logout] in DispatcherServlet with name 'mvc-dispatcher'

我已经尝试过Call to j_spring_security_logout not working、Issue with Spring security's logout 以及几乎所有关于 SO 的相关结果。

我包括完整的配置文件,因为我还不太清楚 Spring xml 结构。

我的安全配置:

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/resources/**" security="none" />

    <http auto-config="true">
        <intercept-url pattern="/login*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login login-page="/login" default-target-url="/"/>
        <logout logout-url="/logout" />
        <csrf />
    </http>

    <global-method-security secured-annotations="enabled" />

    <authentication-manager>
        <authentication-provider user-service-ref="userDetailsService" />
    </authentication-manager>

</beans:beans>

我的web.xml 是这个:

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

    <display-name>XYZ</display-name>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring/*-config.xml</param-value>
    </context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <servlet>
        <servlet-name>mvc-dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>mvc-dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
</web-app>

如何使注销页面正常工作?

【问题讨论】:

我真的看不出有什么问题。由于某种原因,spring security 的过滤器似乎没有收到您的注销请求。我会尝试在那里设置断点并尝试查看调试器中发生了什么。另外,虽然没关系,也许尝试更改 spring 安全版本,但有一个版本存在一些关于注销的错误。 【参考方案1】:

如果您在 CSRF 中使用注销,则必须执行 POST。见http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-logout

【讨论】:

啊,这听起来很明智。我稍后会试试看。 注意,使用spring的&lt;form:form&gt;标签会自动为你添加_csrf隐藏令牌。 @BrettRyan 但是你必须使用命令对象。遇到这种情况,你会用什么? 当我的客户端是 AngularJS 时如何注销,请求将从那里的 html 文件发送。【参考方案2】:

从 Spring 3.2 迁移到 Spring 4 后我遇到了同样的问题,但我想使用视图上的链接注销。

Spring doco (http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-include-csrf-token-form) 解释了如何在视图中执行此操作。

我在 JSP 中使用了这个 sn-p 来进行注销:

<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
<form:form action="$pageContext.request.contextPath/logout" method="POST">
    <input type="submit" value="Logout" />
</form:form>

【讨论】:

使用此操作对我有用:$pageContext.request.contextPath/j_spring_security_logout 并在安全上下文中启用:&lt;security:intercept-url pattern="/j_spring_security_logout" access="permitAll" /&gt;&lt;security:logout logout-success-url="/loggedout" logout-url="/j_spring_security_logout"/&gt;【参考方案3】:

为了解决这个问题,通常需要将注销链接转换为带有隐藏 CSRF 令牌的 POST 表单按钮,可以通过以下方式实现:

<a href="#" onclick="document.getElementById('logout-form').submit();"> Logout </a>

<form id="logout-form" action="<c:url value="/logout"/>" method="post">
    <input type="hidden" name="$_csrf.parameterName" value="$_csrf.token"/>
</form>

【讨论】:

【参考方案4】:

试试这个,用 HTTP.GET 注销

WebSecurityConfigurerAdapter

// In HttpSecurity configure
...
.logout()
...
.logoutRequestMatcher(new AntPathRequestMatcher("/logout", “GET”))
...
...

HTML

<a href="/logout">Logout</a>

【讨论】:

以上是关于Spring Security:注销时出现 404的主要内容,如果未能解决你的问题,请参考以下文章

尝试在 Thymeleaf 和 Spring Security 项目中插入图像时出现 404 错误

使用 Spring MVC 和 Spring Security 进行 404 注销

春季注销时出现错误 404

Spring Social - facebook登录时出现404错误

尝试使用 Thymeleaf 加载 HTML 文件时出现 Spring Boot 404

启动jar时出现spring boot错误404