spring-security.xml的http元素当前的配置是这样的1
2
3
4
5
6
7
8<http auto-config="true" use-expressions="true">
<intercept-url pattern="/" access="permitAll" />
<intercept-url pattern="/home" access="permitAll" />
<intercept-url pattern="/admin**" access="hasRole('ADMIN')" />
<intercept-url pattern="/dba**"
access="hasRole('ADMIN') and hasRole('DBA')" />
<form-login authentication-failure-url="/Access_Denied" />
</http>
当指定了http元素的auto-config属性为true的时候,logout元素会自动配置的。此时默认的退出登录的url是/j_spring_security_logout。logout元素有如下几个属性
logout-url自定义退出登录的url;invalidate-session退出登录后是否让当前session失效,默认true;delete-cookies退出登录后删除cookie,多个cookie以逗号间隔;logout-success-url成功登录后重定向的url。对应的url应该在不登录的情况下可以访问;success-handler-ref指定用来处理成功退出登录的LogoutSuccessHandler的引用。