注销在 Spring Boot 应用程序中不起作用（不支持 POST 方法）

Question

我有一个具有以下配置的 Spring Boot 应用程序

@Configuration
@EnableWebSecurity
open class WebSecurityConfig : WebSecurityConfigurerAdapter() {
    override fun configure(http:HttpSecurity) {
        http
            .authorizeRequests()
                .antMatchers("/css/**", "/js/**", "/fonts/**")
                .permitAll().and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .logout() 
                .logoutSuccessUrl("/login") 
                .permitAll()
            .and().csrf().disable()
    }
    @Autowired
    fun configureGlobal(auth:AuthenticationManagerBuilder) {
        auth
            .inMemoryAuthentication()
                .withUser("usr@provider.com").password("test").roles("USER")
    }
}

当我尝试注销时，我得到了错误

出现意外错误（类型=不允许的方法，状态=405）。 不支持请求方法“POST”

我该如何解决？

如何重现

1. 查看this repository的代码。
2. gradle bootRun
3. 转到http://localhost:8080，分别输入usr@provider.com 和test 作为用户名和密码。
4. 按注销按钮。

更新 1：这也不起作用。

http
    .authorizeRequests()
        .antMatchers("/css/**", "/js/**", "/fonts/**", "/logout‌​")
        .permitAll().and()
    .formLogin()
        .loginPage("/login")
        .permitAll()
        .and()
    .authorizeRequests()
        .anyRequest().authenticated()
        .and()
    .csrf().disable()

Answer 1

您是否尝试过指定注销路径？

.logout() 
    .logoutSuccessUrl("/login")
    .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
    .permitAll()

Answer 2

您可以将"/logout" 添加到允许路径的第一部分。

但是你为什么要使用 a 和 a 来注销呢？您可以使用将发出 GET 请求的简单链接 ()。

Answer 3

我不熟悉 Thymeleaf，但至少这会给你一些想法。

问题不在于您的 SecurityConfig，而在于

th:action="@{/logout}"

（不重定向到 /logout，检查 Chrome 或 Firefox 中的网络选项卡）。

如果我用

替换它

action="/logout"

然后它就完美地工作了。