自己定义一个退出方法：

@RequestMapping({"/admin/logout.htm"})   public String logout(HttpServletRequest request, HttpServletResponse response) {     Authentication auth = SecurityContextHolder.getContext().getAuthentication();     if (auth != null) {
   //清除认证       new SecurityContextLogoutHandler().logout(request, response, auth);     }     return "redirect:/admin/login.htm";   }

　　首先是确定，用户点击登出链接的时候，是否是在已验证的前提下（这里可能是用户的session失效等情况）： SecurityContextHolder.getContext().getAuthentication() 

如果上述代码获取的Authentication对象不为空，然后我们调用 SecurityContextLogoutHandler().logout(request, response, auth) 来对用户进行登出操作。 

登出的操作需要进行下面几个步骤：

        1、使HTTP Session失效,然后解绑Session上的所以已绑定的对象。   

　　 2、将用户的认证信息从spring security的SecurityContext中移除，以防止并发请求的问题。

　　 3、从当前线程中，完全的清除相关的属性值。

       到这就完成了。