美图齐众专注资阳网站设计 资阳网站制作 资阳网站建设
资阳网站建设公司服务热线:028-86922220

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

Spring Security中利用JWT退出登录大部分人都写错了配置

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

 
 
 
 
      
  
  
  
  1. // 当token匹配          
    2.   
  
  
  
  2.   if (jwtToken.equals(accessToken)) { 
    3.   
  
  
  
  3.          // 解析 权限集合  这里 
    4.   
  
  
  
  4.        JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
    5.   
  
  
  
  5.        List roles = jsonArray.toList(String.class); 
    6.   
  
  
  
  6.        String[] roleArr = roles.toArray(new String[0]); 
    7.   
  
  
  
  7.  
    8.   
  
  
  
  8.        List authorities = AuthorityUtils.createAuthorityList(roleArr); 
    9.   
  
  
  
  9.        User user = new User(username, "[PROTECTED]", authorities); 
    10.   
  
  
  
  10.        // 构建用户认证token 
    11.   
  
  
  
  11.        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities); 
    12.   
  
  
  
  12.        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
    13.   
  
  
  
  13.        // 放入安全上下文中 
    14.   
  
  
  
  14.        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
    15.   
  
  
  
  15.    } else { 
    16.   
  
  
  
  16.        // token 不匹配 
    17.   
  
  
  
  17.        if (log.isDebugEnabled()){ 
    18.   
  
  
  
  18.            log.debug("token : {}  is  not in matched", jwtToken); 
    19.   
  
  
  
  19.        } 
    20.   
  
  
  
  20.  
    21.   
  
  
  
  21.        throw new BadCredentialsException("token is not matched"); 
    22.   
  
  
  
  22.    } 
    23.

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

 
 
 
 
      
  
  
  
  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 
    2.

我们再看看Spring Security过滤器排序图:

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。


网站栏目:Spring Security中利用JWT退出登录大部分人都写错了配置
网页URL:http://zsjierui.cn/article/cdeicsp.html

其他资讯