La réponse est probablement simple : Comment puis-je déconnecter manuellement l'utilisateur actuellement connecté dans spring security ? Est-il suffisant d'appeler :
SecurityContextHolder.getContext().getAuthentication().setAuthenticated(false); ?
Il m'est difficile de dire avec certitude si votre code est suffisant. Cependant, l'implémentation standard de Spring-security pour la déconnexion est différente. Si vous jetez un coup d'oeil à SecurityContextLogoutHandler vous verriez qu'ils le font :
SecurityContextHolder.clearContext();De plus, ils invalident éventuellement la HttpSession :
if (invalidateHttpSession) {
HttpSession session = request.getSession(false);
if (session != null) {
session.invalidate();
}
}Vous pouvez trouver plus d'informations dans une autre question sur la déconnexion dans Spring Security. et en regardant le code source de org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler .
Dans le conteneur Servlet 3.0, la fonctionnalité de déconnexion de Spring est intégrée à la servlet et il suffit d'invoquer logout() sur votre HttpServletRequest . Il faut encore écrire un contenu de réponse valide.
Selon documentation (Printemps 3.2) :
La méthode HttpServletRequest.logout() peut être utilisée pour déconnecter l'utilisateur actuel.
Typiquement, cela signifie que le SecurityContextHolder sera effacé. le HttpSession sera invalidé, toute authentification "Remember Me" sera nettoyée, etc. sera nettoyée, etc.
Avoir un NPE au niveau de Tomcat 7 org.apache.catalina.connector.Request#logout pour Spring 3.1.2 / Grails 2.2.0. Aucune erreur de ce type avec clearContext() .
@PavelVlasov Je pense que c'est une erreur dans la configuration de Spring, lisez le SecurityContextHolder.
J'utilise le même code dans LogoutFilter, en réutilisant les LogoutHandlers comme suit :
public static void myLogoff(HttpServletRequest request, HttpServletResponse response) {
CookieClearingLogoutHandler cookieClearingLogoutHandler = new CookieClearingLogoutHandler(AbstractRememberMeServices.SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY);
SecurityContextLogoutHandler securityContextLogoutHandler = new SecurityContextLogoutHandler();
cookieClearingLogoutHandler.logout(request, response, null);
securityContextLogoutHandler.logout(request, response, null);
}
Pour déconnecter un utilisateur dans une application Web, vous pouvez également le rediriger vers la page de déconnexion. Le LogoutFilter fait alors tout le travail à votre place.
L'url de la page de déconnexion est définie dans la configuration de la sécurité :
<sec:http ...>
...
<sec:logout logout-url="/logout" logout-success-url="/login?logout_successful=1" />
...
</sec:http>
Ça n'a pas marché pour moi. Ce n'est pas aussi simple que vous le suggérez. Vous avez d'autres détails de configuration ?
Il ne devrait y avoir aucune autre configuration nécessaire pour que cela fonctionne. Vous redirigez simplement l'utilisateur vers une URL comme " exemple.com/votrectx/logout ".
Vous pouvez également utiliser SessionRegistry comme :
sessionRegistry.getSessionInformation(sessionId).expireNow();Si vous voulez forcer la déconnexion dans toutes les sessions d'un utilisateur, utilisez alors getAllSessions et appeler la méthode expireNow de chaque information de session.
Editar
Cela nécessite ConcurrentSessionFilter (ou tout autre filtre de la chaîne), qui vérifie SessionInformation et appelle tous les gestionnaires de déconnexion, puis effectue une redirection.
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
0 votes
Merci beaucoup pour vos réponses les gars, je vais les vérifier.