好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

Spring Security中利用JWT退出登录大部分人都写错了配置

最近有个粉丝提了个问题,说他在Spring Security中用 JWT 做退出登录的时无法获取当前用户,导致无法证明[我就是要退出的那个我],业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

//当token匹配 if(jwtToken.equals(accessToken)){ //解析权限集合这里 JSONArrayjsonArray=jsonObject.getJSONArray( "roles" ); List roles=jsonArray.toList(String.class); String[]roleArr=roles.toArray(newString[0]);   List authorities=AuthorityUtils.createAuthorityList(roleArr); User user =new User (username, "[PROTECTED]" ,authorities); //构建用户认证token UsernamePasswordAuthenticationTokenusernamePasswordAuthenticationToken=newUsernamePasswordAuthenticationToken( user , null ,authorities); usernamePasswordAuthenticationToken.setDetails(newWebAuthenticationDetailsSource().buildDetails(request)); //放入安全上下文中 SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } else { //token不匹配 if(log.isDebugEnabled()){ log.debug( "token:{}isnotinmatched" ,jwtToken); }   thrownewBadCredentialsException( "tokenisnotmatched" ); }

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter,UsernamePasswordAuthenticationFilter.class)

我们再看看Spring Security过滤器排序图:

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

原文链接:https://mp.weixin.qq测试数据/s/SQFhOu9CqnuSAjQ7_IAYrA

查看更多关于Spring Security中利用JWT退出登录大部分人都写错了配置的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did214137
  阅读:46次

上一篇: 解决spring-data-jpa mysql建表编码问题

下一篇:SpringAop @Around执行两次的原因及解决