Spring Security：注销时出现 404

Posted 2023-02-27

【中文标题】Spring Security：注销时出现 404

【英文标题】：Spring Security: 404 on logout

【发布时间】：2014-06-04 21:51:04

【问题描述】：

当我尝试访问我的 Spring 应用程序的注销 URL 时，我在服务器日志中收到 404 错误和No mapping found for HTTP Request with URI [/logout] in DispatcherServlet with name 'mvc-dispatcher'。

我已经尝试过Call to j_spring_security_logout not working、Issue with Spring security's logout 以及几乎所有关于 SO 的相关结果。

我包括完整的配置文件，因为我还不太清楚 Spring xml 结构。

我的安全配置：

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/resources/**" security="none" />

    <http auto-config="true">
        <intercept-url pattern="/login*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login login-page="/login" default-target-url="/"/>
        <logout logout-url="/logout" />
        <csrf />
    </http>

    <global-method-security secured-annotations="enabled" />

    <authentication-manager>
        <authentication-provider user-service-ref="userDetailsService" />
    </authentication-manager>

</beans:beans>

我的web.xml 是这个：

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

    <display-name>XYZ</display-name>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring/*-config.xml</param-value>
    </context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <servlet>
        <servlet-name>mvc-dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>mvc-dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
</web-app>

如何使注销页面正常工作？

【问题讨论】：

我真的看不出有什么问题。由于某种原因，spring security 的过滤器似乎没有收到您的注销请求。我会尝试在那里设置断点并尝试查看调试器中发生了什么。另外，虽然没关系，也许尝试更改 spring 安全版本，但有一个版本存在一些关于注销的错误。

【参考方案1】：

如果您在 CSRF 中使用注销，则必须执行 POST。见http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-logout

【讨论】：

啊，这听起来很明智。我稍后会试试看。

注意，使用spring的<form:form>标签会自动为你添加_csrf隐藏令牌。

@BrettRyan 但是你必须使用命令对象。遇到这种情况，你会用什么？

当我的客户端是 AngularJS 时如何注销，请求将从那里的 html 文件发送。

【参考方案2】：

从 Spring 3.2 迁移到 Spring 4 后我遇到了同样的问题，但我想使用视图上的链接注销。

Spring doco (http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-include-csrf-token-form) 解释了如何在视图中执行此操作。

我在 JSP 中使用了这个 sn-p 来进行注销：

<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
<form:form action="$pageContext.request.contextPath/logout" method="POST">
    <input type="submit" value="Logout" />
</form:form>

【讨论】：

使用此操作对我有用：$pageContext.request.contextPath/j_spring_security_logout 并在安全上下文中启用：<security:intercept-url pattern="/j_spring_security_logout" access="permitAll" /> 和 <security:logout logout-success-url="/loggedout" logout-url="/j_spring_security_logout"/>

【参考方案3】：

为了解决这个问题，通常需要将注销链接转换为带有隐藏 CSRF 令牌的 POST 表单按钮，可以通过以下方式实现：

<a href="#" onclick="document.getElementById('logout-form').submit();"> Logout </a>

<form id="logout-form" action="<c:url value="/logout"/>" method="post">
    <input type="hidden" name="$_csrf.parameterName" value="$_csrf.token"/>
</form>

【参考方案4】：

试试这个，用 HTTP.GET 注销

WebSecurityConfigurerAdapter

// In HttpSecurity configure
...
.logout()
...
.logoutRequestMatcher(new AntPathRequestMatcher("/logout", “GET”))
...
...

HTML

<a href="/logout">Logout</a>