Spring Security 3.2.0RC2注销网址仅限POST?

 实现毛_424 发布于 2023-02-13 13:31
  • java
  • config
  • spring
  • uri
  • post
  • get

    • 我正在使用javaconfig试验Spring Security 3.2.0.RC2,看来注销网址只是POST.这是设计,是否有任何方法可以使用GET请求注销用户?

    protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/resources/**", "/signup", "/about", "/password").permitAll()                  
        .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated().and()
        .formLogin()
            .loginPage("/login")
            .permitAll();        
}

    Rob Winch.. 15

    这是有意的,并在CSRF文档中记录.原因是防止强制将用户从应用程序中注销的CSRF攻击.如果您想支持非POST请求,可以使用以下Java配置来执行此操作:

    protected void configure(HttpSecurity http) throws Exception {
  http
    // ...
    .logout()
       .logoutRequestMatcher(new AntPathRequestMatcher("/logout"));
}

    您还可以在LogoutConfigurer的Javadoc上找到有关配置注销的信息(即http.logout()方法返回的对象).

    1 个回答

    • 这是有意的,并在CSRF文档中记录.原因是防止强制将用户从应用程序中注销的CSRF攻击.如果您想支持非POST请求,可以使用以下Java配置来执行此操作:

      protected void configure(HttpSecurity http) throws Exception {
  http
    // ...
    .logout()
       .logoutRequestMatcher(new AntPathRequestMatcher("/logout"));
}

      您还可以在LogoutConfigurer的Javadoc上找到有关配置注销的信息(即http.logout()方法返回的对象).

      2023-02-13 13:32 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有