Почему не срабатывает logout?

Question

[Nightmare058]

Доброго времени суток.
Ознакомившись с рекомендованным материалом из прошлого вопроса, передал код и решил добавить логаут.
Гугл мне подсказал, что в этом мне поможет logout().
Но по какой-то, неведомой мне, причине разлогина не происходит
У меня закрадываются подозрения, что дело в том, что я не тот метод выбрал.

Моя задача в том, чтобы после того, как пользователь перейдет на /logout, произойдет разлогин и редирект на указанную страницу. Проверив работу выявил, что редирект после логаута происходит, но я все так же могу получить доступ к закрытым ресурсам.
Возможно я как-то не так чищу куки?
Код логаута взят на баэлдунге, мб должно быть другое значение deleteCookies.

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.authorizeRequests().antMatchers("/", "/registration").permitAll()
                .anyRequest().authenticated()
                .and()
                .httpBasic()
                .and()
                .sessionManagement().disable();
        http.logout()
                .invalidateHttpSession(true)
                .deleteCookies("JSESSIONID")
                .logoutSuccessUrl("/after_login");
    }

Comments

[Максим Федоров]

но я все так же могу получить доступ к закрытым ресурсам.

Может у вас не закрыты роуты ?

[Nightmare058]

Максим Федоров, я думал, что после разлогина доступ опять закроется

@RestController
public class MainController {

    @GetMapping("/")
    public String main() {
        return "Main";
    }

    @GetMapping("/login")
    public String login() {return "Login";}

    @GetMapping("/after_login")
    public String logout() {return "Logout";}
}

[сергей кузьмин]

если это рест приложение но неясно как rest клиент может переходить со страницы на страницу
а если мвс то похоже там все сложнее и все аннотировано специальным образом чтоб не пускать делать методы кроме нескольких а на логауте делается редирект на такой метод куда пускают

взламывать мвс не пробовал раньше но вот попробовал:

curl --verbose  http://localhost:8080/anywhere

< HTTP/1.1 302
< Set-Cookie: JSESSIONID=AF20A2647F4FDC413BF6DBAAACC83FFB; Path=/; HttpOnly
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Cache-Control: no-cache, no-store, max-age=0, must-revalidate
< Pragma: no-cache
< Expires: 0
< X-Frame-Options: DENY
< Location: http://localhost:8080/login

как то связно с

.anyRequest().authenticated().and()
				.formLogin()
				.loginPage("/login").failureUrl("/login?error")

это из некого чужого проекта который читаю чтоб узнать как все внутри

[Nightmare058]

сергей кузьмин, в данном случае я просто через браузер обращаюсь по url. Я обратил внимание, что в примерах rest api никто не прописывает logout.
Как тогда происходит разлогин?

[сергей кузьмин]

Nightmare058, мне кажется вы не правильно ставите вопрос - в рест приложении нету браузера кажный вызов в базовом случае одноразовый - нет там сервлетов с фильтрами сессий жизненного цикла и т.п.
для веба есть мвс https://spring.io/guides/gs/serving-web-content/
никто не запрещает responsebody и в mvc делать из кода хотя наверное затратно
как говорится поправьте меня если ошибаюсь

[Nightmare058]

сергей кузьмин, получается для rest api мне нужен токен? Нет токена - нет инфы?

[сергей кузьмин]

мне кажется когда Spring REST vs SpringMVC приложение - а их сравнивают кому не лень - то о каком токене говорить если нет сессии и вообще ничего нет кроме одного вызова одного метода

https://youtu.be/qVTAB8Z2VmA?t=426

REST как
простейшее возможное решение для таких случаев

к которому можно прикрутить части которые обычно присутвтвуют в MVC (обычно JDBC, JPA, annotations, swagger, test frameworks, а уже потом секъюрити ) ясно что если добавлять одно за другим рано или поздно граница сотрется и уж трудно будет сказать что оно REST или MVC

но на уровне простейших амеб граница думаю есть
а если вы задумали что то там серьезное писать то и придется делать что то сложнее

[Nightmare058]

сергей кузьмин, нет, не очень серьёзный проект
Это сервис заметок.
Есть регистрация, есть история изменений заметок.
Всё это должно быть исключительно rest api.

[сергей кузьмин]

Nightmare058, а страницы регистрации и редактирования кто создает ?

[Nightmare058]

сергей кузьмин, это все приходит через апи с фронта, в теории
Ао факту с постмана

[сергей кузьмин]

простите что занят на работе ... я когда изучаю "на начальном уровне" спринт я все таки начинаю с самодостаточного проекта который и темплейты содержит и джаваскрипт и является мвс с точки зрения аннотаций - тесты то все равно мсышные у него
рест часть это обычно лиши малая част

[Nightmare058]

сергей кузьмин, к сожалению, в данном случае мне нужно реализовать именно рест апи вариант, а не мвс сервис

[сергей кузьмин]

кстати бывает оба @controller и @RestController в одном проекте

[Nightmare058]

сергей кузьмин, бывает
но в моем случае простой @Controller использовать смысла нет

[сергей кузьмин]

Nightmare058, почему так - обучите

[Nightmare058]

сергей кузьмин, @Controller используется при работе с тэмплейтами, а @RestController - это тот же @Controller, но с аннотацией @RequestBody
Вроде как-то так)

[сергей кузьмин]

правильно чтобы форму рагистрации возвращать @RequestBody довольно неудобно с моделью легче
и логофф решите этим