Spring Security - logout 404 error

logout 404 error

😢스프링 시큐리티로 연습을 하던 중 logout을 하게 되면 404 error가 발생했다.

http.logout(logout ->
			logout.logoutSuccessUrl("/")
                  .deleteCookies("JSESSIONID")
                  .invalidateHttpSession(true)
                  .clearAuthentication(true));

<a th:href="@{/logout}">Logout</a>

🤐처음에는 404에러가 나와서 mapping의 문제로 생각했으나 여러 글들을 보면 기본 /logout url만 설정해주면 알아서 처리해주게 된다고 해서 mapping의 문제가 아닌것으로 파악했다.
조금 더 글을 찾아본 결과 스프링 공식 홈페이지에서 답을 찾았는데 거기에 쓰여 있는 글을 보면

logout을 실행할때는 post방식으로 요청해야 하며 post방식으로 요청할때 csrf토큰도 같이 보낸다고 한다.

😎위에서 짠 코드를 보면 a 태그로 되어 있어 get방식으로 들어가게 되는데 방식을 포스트로 보내거나 내가 직접 getMapping을 통해 logout을 구현하면 된다. 위 코드의 경우는
임시방편으로 http.csrf().disable();을 집어넣어주니 logout이 제대로 동작하였다.
csrf를 막게 되면 csrf 공격에 위험하니 위 방식은 연습할 때만 사용하도록 하는게 좋을 것 같다.


다른 분들은 get요청으로 따로 Getmapping을 설정해서 직접 처리 하기도 함

출처 : 정수원 -스프링 시큐리티 , 스프링 홈페이지