Выход из Spring Spring Security не работает с аутентификацией httpBasic

Question

Выход из Spring Spring Security не работает с аутентификацией httpBasic

1

Я использую базовую аутентификацию для обеспечения начального веб-сервиса REST, над которым я работаю. Кажется, все работает нормально, за исключением того, что путь выхода из системы не работает. Он перенаправляется на "/login? Logout", как задокументировано, но мой пользователь, похоже, фактически не вышел из системы. (т.е. я все равно могу получить доступ к странице X, а не странице Y, как ожидалось).

Конфигурация приложения:

@Configuration
@ComponentScan
@EnableAutoConfiguration(exclude = ManagementSecurityAutoConfiguration.class)
@EnableWebSecurity
@EnableSwagger
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
    @Configuration
    protected static class ApplicationSecurity extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.httpBasic()
            .and().authorizeRequests().antMatchers("/manage/**").hasRole("ADMIN")
            .anyRequest().fullyAuthenticated()
            .and().logout().permitAll().logoutRequestMatcher(new AntPathRequestMatcher("/logout", HttpMethod.GET.toString())).invalidateHttpSession(true);
        }

        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.inMemoryAuthentication().withUser("admin").password("admin").roles("ADMIN", "USER").and().withUser("user").password("user").roles("USER");
        }
    }
}

Обратите внимание, что безопасность в целом, похоже, работает. Я могу открыть новую вкладку инкогнито, и проверка подлинности/безопасности будет работать, как ожидалось.

bvulaj 07 авг. 2014, в 23:17

Источник

1

Вы тестируете с помощью браузера? Вы уверены, что это не кэширование учетных данных и их повторное использование «за вашей спиной»? Вы должны проверить запрос / ответ туда и обратно, чтобы убедиться.
GPI 07 авг. 2014, в 20:54
0

Я не думаю, что это происходит. Я отключил кэширование в данный момент, и в журналах кажется, что сеанс даже очищался при доступе к защищенному пути «USER»: 2014-08-07 16:58:36.931 INFO 2132 --- [nio-8080-exec-2] osbaaudit.listener.AuditListener : AuditEvent [timestamp=Thu Aug 07 16:58:36 EDT 2014, principal=user, type=AUTHENTICATION_SUCCESS, data={details=org.springframework.security.web.authentication.WebAuthenticationDetails@957e: RemoteIpAddress: 127.0.0.1; SessionId: null}]
bvulaj 07 авг. 2014, в 21:00
0

Если это имеет значение, выход из системы работает , когда используется с formLogin () ... Могу ли я недопонимание , как предполагается , путь выхода из системы , чтобы работать?
bvulaj 07 авг. 2014, в 21:19
1

Как говорит GPI, вы должны убедиться, что ваш браузер не пересылает учетные данные автоматически, что характерно для базовой аутентификации и не зависит от какой-либо концепции выхода из системы на стороне сервера. Также включите ведение журнала отладки на сервере.
Shaun the Sheep 07 авг. 2014, в 23:23
1

Как уже упоминалось в @LukeTaylor, выход из системы не работает с базовой / дайджест-аутентификацией. После проверки подлинности Afaik браузер продолжает посылать заголовки в приложение, которое эффективно выполнит новый вход в систему после выхода из системы.
M. Deinum 08 авг. 2014, в 06:14

Показать ещё 3 комментария

Теги:

java

spring-boot

spring-security

spring

1 ответ

Ещё вопросы

Вы тестируете с помощью браузера? Вы уверены, что это не кэширование учетных данных и их повторное использование «за вашей спиной»? Вы должны проверить запрос / ответ туда и обратно, чтобы убедиться.
Я не думаю, что это происходит. Я отключил кэширование в данный момент, и в журналах кажется, что сеанс даже очищался при доступе к защищенному пути «USER»: 2014-08-07 16:58:36.931 INFO 2132 --- [nio-8080-exec-2] osbaaudit.listener.AuditListener : AuditEvent [timestamp=Thu Aug 07 16:58:36 EDT 2014, principal=user, type=AUTHENTICATION_SUCCESS, data={details=org.springframework.security.web.authentication.WebAuthenticationDetails@957e: RemoteIpAddress: 127.0.0.1; SessionId: null}]
Если это имеет значение, выход из системы работает , когда используется с formLogin () ... Могу ли я недопонимание , как предполагается , путь выхода из системы , чтобы работать?
Как говорит GPI, вы должны убедиться, что ваш браузер не пересылает учетные данные автоматически, что характерно для базовой аутентификации и не зависит от какой-либо концепции выхода из системы на стороне сервера. Также включите ведение журнала отладки на сервере.
Как уже упоминалось в @LukeTaylor, выход из системы не работает с базовой / дайджест-аутентификацией. После проверки подлинности Afaik браузер продолжает посылать заголовки в приложение, которое эффективно выполнит новый вход в систему после выхода из системы.

Sezin Karli · Accepted Answer · 2014-08-26T09-43-00.000Z

Вы не можете выйти из базовой HTTP-аутентификации с помощью ссылки выхода.

Пожалуйста, проверьте аналогичную тему здесь.