Spring Security 5 OAuth 2 社交注销

Question

我已添加到我的 Spring Boot MVC Web 应用程序社交登录功能。它允许用户使用 GitHub、Facebook 或 Google 帐户登录我的应用程序。但我正在努力让 /logout 功能正常工作。即使调用了 /logout 并加载了 logoutSuccessUrl，如果用户再次单击登录链接，则不会再次要求用户提供其用户名或密码。看起来用户仍然是经过身份验证的。

你们如何使用新的 Spring Security 5 OAuth 2 客户端支持实现 /logout？

我使用了新的 OAuth 2 客户端支持。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

spring.security.oauth2.client.registration.facebook.client-id =  
spring.security.oauth2.client.registration.facebook.client-secret = 

这是我的 HTTPSecurity 配置的样子：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/").permitAll()
        .anyRequest().authenticated()
        .and()
        .oauth2Login()
        .and()
        .logout().logoutSuccessUrl("/");
}

我也试过这种方法：

@覆盖 受保护的无效配置（HttpSecurity http）抛出异常{ http

        .authorizeRequests()
        .antMatchers("/").permitAll()
        .antMatchers(HttpMethod.POST,"/logout").permitAll()
        .anyRequest().authenticated()
        .and()
        .oauth2Login()
        .and()
        .logout()
        .invalidateHttpSession(true)
        .clearAuthentication(true)
        .deleteCookies("JSESSIONID")
        .logoutSuccessUrl("/").permitAll()
        .and()
            .csrf()
            .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

}

你们如何使用新的 Spring Security OAuth 2 客户端支持注销使用社交 OAuth 2 登录提供程序之一进行身份验证的用户？

Answer 1

我目前在我的 chrome 浏览器上登录谷歌，可以查看我的 gmail 等，所以我与谷歌有一个活跃的会话。 如果我要访问您的 spring 应用程序并使用 google 登录，您的 spring 应用程序会将我重定向到 google 身份验证服务器，该服务器检测到我已经登录到 google，因此它知道我是谁，因此它只需要问我同意您的应用程序请求的范围，如果我同意向您的应用程序颁发访问令牌。 现在，如果我想退出您的应用程序，spring security 将使您的应用程序上的会话无效，但它无法控制我与谷歌打开的会话，事实上我不想也退出谷歌。 因此，如果您想再次进入第 3 方的登录屏幕，您需要转到他们的页面并注销。