oauth2.0 注销登录再次访问authorize授权接口会跳过登录页面问题解决

子系统前后端分离时,退出并不能正确的清除SSO的login的用户信息,因为它是存在服务器上的,前端无法清除,用后端清除但因为是前后端分离,注销并不能正确携带request给服务器来清空用户登录信息,所以会出现,注销登录再次访问authorize授权接口会默认使用cookie导致登录成功跳过登录页面

解决方案:做AOP切入authorize接口,在使用authorize获取code之前,做一次清除用户信息的操作,使得每次获取code都是未登录状态,避免跳过登录页面

代码直接粘就完了!!!



import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.validation.BindingResult;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.Enumeration;
import java.util.List;

/**
 * 清除authorize用户信息
 * <p>
 */
@Component
@Aspect
@Order(4)
public class ManagerProjectAOP {

    /**
     * 切入点,切入oauth2.0中的授权码授权的方法
     */
    @Pointcut("execution(* org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint.authorize(..))  ")
    public void check() {
    }

    /**
     * 前置通知,
     * 主要作用是,子系统前后端分离时,退出并不能正确的清除SSO的login的用户信息,因为它是存在服务器上的,前端无法清除,用后端清除但因为是前后端分离,
     * 注销并不能正确携带request给服务器来清空用户登录信息,所以会出现,注销登录再次访问authorize授权接口会默认使用cookie导致登录成功跳过登录页面
     * 功能:切入authorize接口,在使用authorize获取code之前,做一次清除用户信息的操作,使得每次获取code都是未登录状态
     * @param
     * @return Object
     * @throws Throwable
     */
    @Before(("check()"))
    public void beforeMethod(JoinPoint joinPoint) {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        //清除用户信息
        request.getSession().invalidate();
    }
}

相关推荐
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页