自己定义一个退出方法:
@RequestMapping({"/admin/logout.htm"})
public String logout(HttpServletRequest request, HttpServletResponse response) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null) {//清除认证
new SecurityContextLogoutHandler().logout(request, response, auth);
}
return "redirect:/admin/login.htm";
}
首先是确定,用户点击登出链接的时候,是否是在已验证的前提下(这里可能是用户的session失效等情况): SecurityContextHolder.getContext().getAuthentication()
如果上述代码获取的Authentication对象不为空,然后我们调用 SecurityContextLogoutHandler().logout(request, response, auth) 来对用户进行登出操作。
登出的操作需要进行下面几个步骤:
1、使HTTP Session失效,然后解绑Session上的所以已绑定的对象。
2、将用户的认证信息从spring security的SecurityContext中移除,以防止并发请求的问题。
3、从当前线程中,完全的清除相关的属性值。
到这就完成了。