在Spring Security 5.1.6中，logout-success url总是重定向到HTTP而不是HTTPS

的原因可能是配置中存在一些问题。以下是可能导致此问题的几个方面：

1. 配置文件中的协议设置：请确保在Spring Security的配置文件中，logout-success url的协议设置为HTTPS。例如，可以使用以下配置：

<security:logout logout-url="/logout" logout-success-url="https://example.com/logout-success" />

1. 反向代理配置：如果你的应用程序后面有反向代理服务器（如Nginx），请确保反向代理服务器正确地将HTTPS请求转发到应用程序。你可能需要在反向代理服务器的配置中添加以下行：

proxy_set_header X-Forwarded-Proto $scheme;

1. HTTPS证书配置：确保你的应用程序已正确配置HTTPS证书，并且证书有效。如果证书配置不正确，可能会导致重定向到HTTP而不是HTTPS。
2. 安全头设置：检查应用程序的安全头设置，确保在响应中包含Strict-Transport-Security头，以强制使用HTTPS。例如，在Spring Boot应用程序中，可以通过以下方式配置：

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .headers()
                .httpStrictTransportSecurity()
                    .includeSubDomains(true)
                    .maxAgeInSeconds(31536000);
    }
}

总结： 在Spring Security 5.1.6中，如果logout-success url总是重定向到HTTP而不是HTTPS，可能是由于配置文件中的协议设置、反向代理配置、HTTPS证书配置或安全头设置等方面存在问题。请根据具体情况检查和调整相应的配置，以确保logout成功后重定向到正确的HTTPS地址。