本网站(662p.com)打包出售,且带程序代码数据,662p.com域名,程序内核采用TP框架开发,需要联系扣扣:2360248666 /wx:lianweikj
精品域名一口价出售:1y1m.com(350元) ,6b7b.com(400元) , 5k5j.com(380元) , yayj.com(1800元), jiongzhun.com(1000元) , niuzen.com(2800元) , zennei.com(5000元)
需要联系扣扣:2360248666 /wx:lianweikj
Spring Security中利用JWT退出登录大部分人都写错了配置
talkchan · 279浏览 · 发布于2021-10-14 +关注


使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。


最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

// 当token匹配          
  if (jwtToken.equals(accessToken)) { 
         // 解析 权限集合  这里 
       JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
       List<String> roles = jsonArray.toList(String.class); 
       String[] roleArr = roles.toArray(new String[0]); 

       List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
       User user = new User(username, "[PROTECTED]", authorities); 
       // 构建用户认证token 
       UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities); 
       usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
       // 放入安全上下文中 
       SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
   } else { 
       // token 不匹配 
       if (log.isDebugEnabled()){ 
           log.debug("token : {}  is  not in matched", jwtToken); 
       } 

       throw new BadCredentialsException("token is not matched"); 
   }

    为什么退出登录无法获取当前用户

    分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

    httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)

      我们再看看Spring Security过滤器排序图:

      Spring Security过滤器排序

      也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

      解决方法

      解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

      httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

      这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。


      相关推荐

      PHP实现部分字符隐藏

      沙雕mars · 1312浏览 · 2019-04-28 09:47:56
      Java中ArrayList和LinkedList区别

      kenrry1992 · 896浏览 · 2019-05-08 21:14:54
      Tomcat 下载及安装配置

      manongba · 957浏览 · 2019-05-13 21:03:56
      JAVA变量介绍

      manongba · 953浏览 · 2019-05-13 21:05:52
      什么是SpringBoot

      iamitnan · 1076浏览 · 2019-05-14 22:20:36
      加载中

      0评论

      评论
      大家好,我是一名专注技术开发的技术屌丝,有什么问题可以互相交流,一起学习进步,谢谢。
      分类专栏
      小鸟云服务器
      扫码进入手机网页