《Spring Security 3》 【第三章】增强用户体验(2)
2013-08-03 15:44
211 查看
《Spring Security 3》 【第三章】增强用户体验(2)
摘要: 术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。 |
【使用JSTL URL标签来处理相对URL。我们使用了JSTL核心库中的url标签来保证提供的URL在部署的web应用中能够被正确处理。url标签将提供的URL按照相对路径(以/开始)进行处理。你可能会见过其他类似的实现技术如使用JSP的代码((<%= request.getContextPath() %>)),但是JSTL的url标签能够使得你免于编写内联的代码。】
让我们看一下在这个简单操作的背后都发生了什么。
退出是怎么实现的
当我们点击退出链接时,到底发生了什么?需要记住的一点是任何URL请求在被servlet处理之前,都会经过Spring Security的过滤器链。所以,/j_spring_security_logout这个URL请求并非对应系统中的一个JSP,也不必有一个真正的JSP或者Spring MVC的目标来对其进行处理。这种类型的URL通常被称为虚拟URL。
请求/j_spring_security_logout的URL被o.s.s.web.authentication.logout.LogoutFilter过滤器所拦截。在Spring Security的众多默认过滤器中,LogoutFilter专门匹配这个虚拟URL并执行相应的操作。
让我们快速地查看一下Spring Security的security命名空间提供的默认退出功能:
使得HTTP session失效(如果invalidate-session属性被设置为true);
清除SecurityContex(真正使得用户退出);
将页面重定向至logout-success-url指明的URL。
以下的图片阐述了退出的过程:
o.s.s.web.authentication.logout.LogoutHandler接口的实现类可以在用户通过LogoutFilter退出时被调用。你可以实现自己的LogoutHandler(尽管比较复杂)并将其关联到LogoutFilter的生命周期中。通过LogoutFilter默认设置的LogoutHandler将会清除session以及remember me相关的功能,所以用户的session中不会再持有认证相关的信息。最后,通过一个o.s.s.web.
authentication.logout.LogoutSuccessHandler接口的默认实现,页面得以重定向到一个URL。默认实现中会将页面重定向到我们配置的成功退出URL地址(默认为/),但是我们自定义任何系统在用户退出时想要的操作。值得注意的是,退出的处理不应该抛出异常,因为很重要的一点是要在用户的安全session中避免可能出现的潜在不一致性。所以在实现自己的安全处理时要保证异常被正确的处理和记录。
修改logout URL
让我们尝试重写默认的logout URL来提供一个修改自动设置的简单例子。我们将会修改logout URL为/logout。修改dogstore-security.xml配置文件来包含<logout>元素如下的代码所示:
<http auto-config="true" use-expressions="true">
...
<logout invalidate-session="true"
logout-success-url="/"
logout-url="/logout"/>
</http>
修改/common/header.jsp文件来改变logout链接的herf属性以匹配新的URL:
<c:url value="/logout" var="logoutUrl"/>
<li><a href="${logoutUrl}">Log
Out</a></li>
重新启动应用并进行尝试。你可以发现使用/logout URL取代了/j_spring_security_logout实现用户的退出。你可能也会发现当你尝试/j_spring_security_logout这个地址时,你会得到一个Page not Found(404)的错误,是因为这个URL不与任何一个实际的servlet资源相对应并且不会被过滤器所处理。
Logout配置命令
<logout>元素包含其他的配置指令以实现更复杂的退出功能,介绍如下:属性 | 描述 |
invalidate-session | 如果被设置为true,用户的HTTP session将会在退出时被失效。在一些场景下,这是必要的(如用户拥有一个购物车时) |
logout-success-url | 用户在退出后将要被重定向到的URL。默认为/。将会通过HttpServletResponse.redirect来处理。 |
logout-url | LogoutFilter要读取的URL(在例子中,我们改变了它的设置)。 |
success-handler-ref | 对一个LogoutSuccessHandler实现的引用。 |
他的博客地址:http://lengyun3566.iteye.com
他的新浪微博:http://weibo.com/1920428940
本书源代码的地址:http://www.packtpub.com/support?nid=4435
本文链接:领悟书生教程网,转自http://sishuok.com
相关文章推荐
- 《Spring Security 3》 【第三章】增强用户体验(1)
- 谈谈如何增强用户体验的愉悦感
- (转)iOS Wow体验 - 第三章 - 用户体验的差异化策略
- 使用HTML5、CSS3和jQuery增强网站用户体验
- Windows Server 2012 R2超级虚拟化之二 增强的用户体验
- 用JFreeChart增强JSP报表的用户体验
- 使用HTML5、CSS3和jQuery增强网站用户体验[留存]
- 改进UCHOME的记录发布,增强可访问性用户体验
- 增强用户体验友好性之jquery easyui window 窗口关闭时的提示
- 转载 - 使用HTML5、CSS3和jQuery增强网站用户体验
- 打造增强用户体验的图片缓存方案(包含OOM处理技术)
- 使用Spring的@Async解决界面耗时操作,增强用户的体验度
- 使用HTML5、CSS3和jQuery增强网站用户体验
- 以“社会化设计”为中心,增强用户间的交互体验
- Web中使用多线程来增强用户体验
- 【转】使用ASP.NET 2.0新增加的SetFocus和MaintainScrollPositionOnPostback增强用户体验
- 未来的移动用户体验——增强现实 (转)
- 利用JFreeChart增强网页的报表用户体验
- 傲游云浏览器开创业界先例 无缝浏览增强用户体验