服务器之家:专注于服务器技术及软件下载分享
分类导航

PHP教程|ASP.NET教程|Java教程|ASP教程|编程技术|正则表达式|C/C++|IOS|C#|Swift|Android|VB|R语言|JavaScript|易语言|vb.net|

服务器之家 - 编程语言 - Java教程 - Spring Security中利用JWT退出登录大部分人都写错了配置

Spring Security中利用JWT退出登录大部分人都写错了配置

2021-10-14 21:41码农小胖哥 Java教程

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。

Spring Security中利用JWT退出登录大部分人都写错了配置

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

  1. //当token匹配
  2. if(jwtToken.equals(accessToken)){
  3. //解析权限集合这里
  4. JSONArrayjsonArray=jsonObject.getJSONArray("roles");
  5. Listroles=jsonArray.toList(String.class);
  6. String[]roleArr=roles.toArray(newString[0]);
  7.  
  8. Listauthorities=AuthorityUtils.createAuthorityList(roleArr);
  9. Useruser=newUser(username,"[PROTECTED]",authorities);
  10. //构建用户认证token
  11. UsernamePasswordAuthenticationTokenusernamePasswordAuthenticationToken=newUsernamePasswordAuthenticationToken(user,null,authorities);
  12. usernamePasswordAuthenticationToken.setDetails(newWebAuthenticationDetailsSource().buildDetails(request));
  13. //放入安全上下文中
  14. SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
  15. }else{
  16. //token不匹配
  17. if(log.isDebugEnabled()){
  18. log.debug("token:{}isnotinmatched",jwtToken);
  19. }
  20.  
  21. thrownewBadCredentialsException("tokenisnotmatched");
  22. }

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter,UsernamePasswordAuthenticationFilter.class)

我们再看看Spring Security过滤器排序图:

Spring Security中利用JWT退出登录大部分人都写错了配置

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

原文链接:https://mp.weixin.qq.com/s/SQFhOu9CqnuSAjQ7_IAYrA

  • JWT
  • Spring Security

    • 延伸 · 阅读

    精彩推荐
    最近更新
    编辑推荐
    阅读排行
    热门标签
    501   406   415   1433   2000   401   330   GOF23   new   newInstance   Hibernate   volatile   集合   spring   consul   critical   嵌套循环   注册服务   堆栈类   supplyAsync   遍历   设计模式   观察者模式   小数   JAVA8   写入文件   回车   制表符   排列组合   Java  
    © 2019-2023 服务器之家(www.zzvips.com) 版权所有关于我们联系我们版权申明网站地图