Programming Framework/Spring

[Spring] 스프링 시큐리티 로그아웃 설정(Security Logout)

HoZang 2019. 1. 23. 21:49

 

[Spring] 스프링 시큐리티 로그아웃 설정(Security Logout)

 

기본 로그아웃 경로는 /logout 이고 로그아웃 된 후에 기본 이동경로는 /login?logout이다.

security 설정에서 이 정보는 수정할 수있다.

1. JAVA configure

protected void configure(HttpSecurity http) throws Exception {
	http.logout()
    	.logoutUrl("/admin/logout.do")
        .logoutSuccessUrl("/admin/login.do")
        .logoutSuccessHandler(customLogoutSuccessHandler)
        .invalidateHttpSession(true).deleteCookies("JSESSIONID")
        .and()
        ...
}

 

2. context XML

<http pattern="/admin/**" >
	...
    <logout logout-url="/admin/logout.do" 
    	logout-success-url="/admin/login.do"
        success-handler-ref="customLogoutSuccessHandler"
        invalidate-session="true"
        delete-cookies="JSESSIONID">
	</logout>
</http>

 

  1. logout-url(logoutUrl) : 로그아웃을 요청할 경로이고 기본값은 /logout이다. 사용자가 원하는 경로를 지정할 수 있으며 기본적으로 POST method로 요청할 수 있고 csrf가 적용되어있다.
  2. logout-success-url(logoutSuccessUrl) : 로그아웃이 처리된 후 이동될 경로이고 기본값은 /login?logout이다. 사용자가 임의로 지정할 수있다.
  3. success-handler-ref(logoutSuccessHandler) : 로그아웃 후 처리될 내용을 담은 클래스를 지정할 수있다. Handler가 지정되면 logout-success-url 값으 무시된다.
  4. invalidate-session(invalidateHttpSession) : 로그아웃 시 세션정보를 제거할 지 여부를 지정한다. 기본값은 TRUE이고 세션정보를 제거한다.
  5. delete-dookies(deleteDookies) : 로그아웃 시 제거할 쿠키이름을 지정한다.

 

주로 사용되는 로그아웃 설정 요소들과 각 요소의 설정 내용이다.

 

사용자가 직접 로그아웃 경로를 지정하더라도 해당경로는 POST method로만 요청할 수있다. <form> 태그를 사용해서 post로 요청을 해줘도 된다. 하지만 보통의 웹관리자의 경우 a link를 이용해서 로그아웃을 요청하는데 이 경우 404화면을 보게 된다.

 

3. 지정된 로그아웃 경로 GET method로 RequestMapping

@Controller
public class AdminLogInOutt {

	@RequestMapping(value = "/admin/login.do") 
    public String login(HttpServletRequest request) throws Exception {
    	return "login";
    }
    
    @RequestMapping(value = "/admin/logout.do", method = RequestMethod.GET)
    public String loout(HttpServletRequest request, HttpServletResponse response) throws Exception {
    	Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null) {
        	new SecurityContextLogoutHandler().logout(request, response, auth);
        }
        return "redirect:/admin/login.do";
    }

}

하지만 이렇게 GET method를 통해 로그아웃 처리를 하는 경우 success-hendler를 무시된다.

요청된 GET method의 Controller안에서 필요한 처리과정을 거친후 redirect 시켜주자.

 

 

도움이 되셨다면 공감이나 좋아요 부탁드립니다~♡

광고를 클릭해주시면 더욱 감사하구요~♡v♡/

혹시 더 궁금하신 점이나 부족한 부분, 잘못된 내용이 있다면 댓글 부탁드립니다~~

 

저작자표시 비영리 변경금지 (새창열림)