java编程
搜索
分类

Spring Security中用JWT退出登录时遇到的坑

作者:码农小胖哥 时间:2022-05-19 10:30:28 

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ,然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中,有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ,相关逻辑为:


// 当token匹配        
if (jwtToken.equals(accessToken)) {
   // 解析 权限集合  这里
   JSONArray jsonArray = jsonObject.getJSONArray("roles");
   List<String> roles = jsonArray.toList(String.class);
   String[] roleArr = roles.toArray(new String[0]);

List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
   User user = new User(username, "[PROTECTED]", authorities);
   // 构建用户认证token
   UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
   usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
   // 放入安全上下文中
   SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
   // token 不匹配
   if (log.isDebugEnabled()){
       log.debug("token : {}  is  not in matched", jwtToken);
   }
   throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中,那位同学是这样配置 JwtAuthenticationFilter 的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图:

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候,JWT还没有被 JwtAuthenticationFilter 拦截,当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

来源:https://blog.didispace.com/spring-security-jwt-logout-wrong-config

标签:Spring,Security,JWT,退出,登录
0
投稿

猜你喜欢

  • Android使用Retrofit上传文件功能

    2022-08-28 08:42:38

  • Mybatis实现增删改查

    2022-05-26 22:00:20

  • 动态配置Spring Boot日志级别的全步骤

    2023-01-29 01:57:19

  • java多线程编程学习(线程间通信)

    2023-04-02 05:25:34

  • Java实现的计算最大下标距离算法示例

    2022-02-09 19:14:37

  • 使用GSON库将Java中的map键值对应结构对象转换为JSON

    2022-10-21 14:51:47

  • Java实现图片拼接

    2023-02-28 23:01:27

  • C语言程序设计50例(经典收藏)

    2023-07-10 08:33:19

  • Java编程之内置观察者模式实例详解

    2021-07-02 20:43:27

  • Android item长按删除功能

    2022-11-13 03:45:24

  • Android编程中出现The connection to adb is down问题的解决方法

    2022-06-27 17:46:07

  • 详解Elasticsearch如何实现简单的脚本排序

    2022-03-13 13:17:50

  • MyBatis中映射文件的使用案例代码

    2021-09-02 23:55:41

  • Android Scroll实现弹性滑动_列表下拉弹性滑动的示例代码

    2022-02-07 16:01:49

  • C++ pair的用法案例详解

    2021-09-21 01:40:20

  • SpringBoot动态Feign服务调用详解

    2022-05-20 13:26:23

  • Java使用RedisTemplate模糊删除key操作

    2023-06-24 06:45:25

  • C++实现连连看游戏

    2023-12-06 02:18:09

  • java写的伪微信红包功能示例代码

    2023-07-05 00:24:23

  • mybatis日志打印的两款IDEA插件推荐

    2022-01-12 07:55:52
    • asp之家 软件编程 m.aspxhome.com