상세 컨텐츠

본문 제목

[Spring] 스프링 시큐리티 로그아웃 설정(Security Logout)

Programing/Spring

by 호짱 HoZang 2019. 1. 23. 21:49

본문

[Spring] 스프링 시큐리티 로그아웃 설정(Security Logout)


기본 로그아웃 경로는 /logout 이고 로그아웃 된 후에 기본 이동경로는 /login?logout이다.

security 설정에서 이 정보는 수정할 수있다.

1. JAVA configure

protected void configure(HttpSecurity http) throws Exception {
    http
        .logout()
        .logoutUrl("/admin/logout.do")
        .logoutSuccessUrl("/admin/login.do")
        .logoutSuccessHandler(customLogoutSuccessHandler)
        .invalidateHttpSession(true)
        .deleteCookies(JSESSIONID)
        .and()
	...
}


2. context XML

<http pattern="/admin/**" >
    ...
    <logout 
        logout-url="/admin/logout.do" 
        logout-success-url="/admin/login.do" 
        success-handler-ref="customLogoutSuccessHandler" 
        invalidate-session="true" 
        delete-cookies="JSESSIONID">
    </logout>
</http>


  1. logout-url(logoutUrl) : 로그아웃을 요청할 경로이고 기본값은 /logout이다. 사용자가 원하는 경로를 지정할 수 있으며 기본적으로 POST method로 요청할 수 있고 csrf가 적용되어있다.
  2. logout-success-url(logoutSuccessUrl) : 로그아웃이 처리된 후 이동될 경로이고 기본값은 /login?logout이다. 사용자가 임의로 지정할 수있다.
  3. success-handler-ref(logoutSuccessHandler) : 로그아웃 후 처리될 내용을 담은 클래스를 지정할 수있다. Handler가 지정되면 logout-success-url 값으 무시된다.
  4. invalidate-session(invalidateHttpSession) : 로그아웃 시 세션정보를 제거할 지 여부를 지정한다. 기본값은 TRUE이고 세션정보를 제거한다.
  5. delete-dookies(deleteDookies) : 로그아웃 시 제거할 쿠키이름을 지정한다.


주로 사용되는 로그아웃 설정 요소들과 각 요소의 설정 내용이다.


사용자가 직접 로그아웃 경로를 지정하더라도 해당경로는 POST method로만 요청할 수있다. <form> 태그를 사용해서 post로 요청을 해줘도 된다. 하지만 보통의 웹관리자의 경우 a link를 이용해서 로그아웃을 요청하는데 이 경우 404화면을 보게 된다.


3. 지정된 로그아웃 경로 GET method로 RequestMapping

@Controller
public class AdminLogInOutt {

    @RequestMapping(value = "/admin/login.do")
    public String login(HttpServletRequest request) throws Exception {
        return "login";
    }

    @RequestMapping(value = "/admin/logout.do", method = RequestMethod.GET)
    public String loout(HttpServletRequest request, HttpServletResponse response) throws Exception {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){    
            new SecurityContextLogoutHandler().logout(request, response, auth);
        }
        return "redirect:/admin/login.do";
    }

}

하지만 이렇게 GET method를 통해 로그아웃 처리를 하는 경우 success-hendler를 무시된다.

요청된 GET method의 Controller안에서 필요한 처리과정을 거친후 redirect 시켜주자.



도움이 되셨다면 공감이나 좋아요 부탁드립니다~♡

광고를 클릭해주시면 더욱 감사하구요~♡v♡/

혹시 더 궁금하신 점이나 부족한 부분, 잘못된 내용이 있다면 댓글 부탁드립니다~~


관련글 더보기

댓글 영역