[Spring] Spring Security(스프링 시큐리티) Logout처리, LogoutFilter

 

🌱 전체적인 로그아웃 로직

시큐리티를 통해 로그아웃을 하게 되면

• 세션 무효화
• 인증 토큰 삭제
• 삭제할 쿠키 정보가 있다면 삭제
• 로그인 페이지 리다이렉트

해당 작업을 수행하게 된다.

 

 

 

로그아웃 API

• logout : 로그아웃 기능 활성화
• logoutUrl : 로그아웃 url 정보 전달 (form 태그에서 url 변경 가능)
• logoutSuccessUrl : 로그아웃 성공할 때 이동할 url
• deleteCookies : 쿠키를 발급했을 경우에 삭제가 필요한데 쿠키를 삭제함
  • remember-me 같은 경우는 나중에 로그인할 때 remember-me 인증이 있는데 서버에서 만든 쿠키를 삭제하는 것
• logoutSuccessHandler : 로그아웃이 성공적으로 수행되고 후속 작업을 하는 핸들러

 

 

로그아웃 filter

 

• 로그아웃이 시작되면 LogoutFilter로 이동
• AntPathRequestMatcher의 url이랑 요청 url이 맞는다면 Authentication이동, 아니라면 doFilter이동
• 인증 객체를 담고 있는 SecurityContext로부터 인증 객체를 꺼내오고 LogoutHandler로 넘겨줌
• SecurityContextLogoutHandler
  • 세션 무효화
  • 쿠키 삭제
  • SecurityContextHolder.clearContext 작동
  • 인증 객체 null처리
  • Get 방식으로 할  때는 컨트롤러에서 따로 사용
• 성공하면 SimpleUrlLogoutSuccessHandler를 통해 로그인 페이지로 이동

 

 

➕ 로그아웃은 기본적으로 POST방식으로 하는 것이 좋다고 해서 POST 방식을 사용해서 폼을 submit 했는데 submit을 인식하지 못해서 뭔가 하고 보니까 form태그 안의 form태그였었다.

찾아보니까 form은 중첩으로 사용하지 못한다고 해서!! 로그아웃 버튼을 첫 번째 form태그 안에 넣고 다른 form태그는 그다음 순서에 놓고 클릭하면 다음 form태그가 submit 되도록 만들었다.!!!

 

---

해당 글은 인프런의 스프링시큐리티-Spring Boot 기반으로 개발하는 Spring Security를 보고 작성한 글입니다.