我是Spring和Spring-Security的新手.我一直在阅读这里的教程
未经登录,不允许用户点击添加员工页面.因此,如果您点击添加员工页面,您将被定向到登录页面,当登录成功时,您将被自动定向到添加员工页面.
但是一旦用户登录,即使在用户注销后也可以访问添加员工链接.即使在重新启动服务器后也可以访问它,我不得不关闭浏览器窗口以便销毁登录凭据.
当我将注销URL保持为"j_spring_security_logout"时,我不想使用它.我想使用自定义字段名称和网址,是否可能?
这就是我的spring-security.xml的样子
这就是我的LoginController的外观
@Controller公共类LoginController {
@RequestMapping(value = "/login", method = RequestMethod.GET) public String login() { return "login"; } @RequestMapping(value = "/logout", method = RequestMethod.GET) public String logout(HttpServletRequest request) { HttpSession session = request.getSession(false); session.invalidate(); return "logout"; } @RequestMapping(value = "/accessdenied", method = RequestMethod.GET) public String accessdenied() { return "accessdenied"; }
}
您的配置错误,您必须指定logout-url
属性而不是logout-success-url
.后者是您在注销成功后发送到的URL.
<logout logout-url="/logout" invalidate-session="true" delete-cookies="true" />
delete-cookies
采用逗号分隔的字符串和要删除的cookie的名称,我怀疑你有一个名为的cookie true
,默认情况下会话无效.所以基本上以下给出了相同的结果.
<logout logout-url="/logout" />
如果你想改变参数的名称用于指定的用户名/密码分别增加username-parameter
和password-parameter
在上form-login
的元素.
<form-login login-page="/login" default-target-url="/list" authentication-failure-url="/accessdenied" username-parameter="my-username-param" password-parameter="my-password-param"/>
有关命名空间的解释,我建议阅读参考指南.