编程 Java/Android

Spring Security中用JWT退出登录时遇到的坑

Posted in Java/Android onOctober 16, 2021

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ，然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中，有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的，所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ，相关逻辑为：

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中，那位同学是这样配置 JwtAuthenticationFilter 的顺序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图：

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候，JWT还没有被 JwtAuthenticationFilter 拦截，当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木！

Spring Security中用JWT退出登录时遇到的坑

- Author -

码农小胖哥

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Java/Android 相关文章推荐

详解SpringBoot异常处理流程及原理

Jun 21 Java/Android

Spring Data JPA的Audit功能审计数据库的变更

Jun 26 Java/Android

新手初学Java List 接口

Jul 07 Java/Android

小程序与后端Java接口交互实现HelloWorld入门

Jul 09 Java/Android

Java8中Stream的一些神操作

Nov 02 Java/Android

JVM之方法返回地址详解

Feb 28 Java/Android

Spring Security使用单点登录的权限功能

Apr 03 Java/Android

利用正则表达式匹配浮点型数据

May 30 Java/Android

Java异常体系非正常停止和分类

Jun 14 Java/Android

maven 解包依赖项中的文件的解决方法

Jul 15 Java/Android

Java代码规范与质量检测插件SonarLint的使用

Aug 05 Java/Android

Java实现房屋出租系统详解

Oct 05 #Java/Android

Java Spring 控制反转(IOC)容器详解

Java spring定时任务详解

JAVA API 实用类 String详解

Oct 05 #Java/Android

SpringCloud之@FeignClient()注解的使用方式

Sep 25 #Java/Android

springboot中rabbitmq实现消息可靠性机制详解

Sep 25 #Java/Android

Spring Cloud 中@FeignClient注解中的contextId属性详解

Sep 25 #Java/Android

You might like

Yii清理缓存的方法

2016/01/06 PHP

AES加解密在php接口请求过程中的应用示例

2016/10/26 PHP

php中引用符号(&)的使用详细介绍

2016/12/06 PHP

js利用Array.splice实现Array的insert/remove

2009/01/13 Javascript

JavaScript具有类似Lambda表达式编程能力的代码(改进版)

2010/09/14 Javascript

jQuery 源码分析笔记(4) Ready函数

2011/06/02 Javascript

关于jQuery参考实例 1.0 jQuery的哲学

2013/04/07 Javascript

深入分析JSONP跨域的原理

2014/12/10 Javascript

jQuery结合CSS制作漂亮的select下拉菜单

2015/05/03 Javascript

JQuery中属性过滤选择器用法实例分析

2015/05/18 Javascript

jQuery实现点击后标记当前菜单位置(背景高亮菜单)效果

2015/08/22 Javascript

jQuery+ajax的资源回收处理机制分析

2017/01/07 Javascript

js 判断登录界面的账号密码是否为空

2017/02/08 Javascript

通过js控制时间,一秒一秒自己动的实例

2017/10/25 Javascript

webpack vue 项目打包生成的文件,资源文件报404问题的修复方法(总结篇)

2018/01/09 Javascript

layui-table对返回的数据进行转变显示的实例

2019/09/04 Javascript

基于vue-draggable 实现三级拖动排序效果

2020/01/10 Javascript

JS如何把字符串转换成json

2020/02/21 Javascript

[02:28]PWL开团时刻DAY3——Ink Ice与DeMonsTer之间的勾心斗角

2020/11/03 DOTA

python中关于时间和日期函数的常用计算总结(time和datatime)

2013/03/08 Python

详解在Python和IPython中使用Docker

2015/04/28 Python

python基于Tkinter库实现简单文本编辑器实例

2015/05/05 Python

python并发编程多进程之守护进程原理解析

2019/08/20 Python

Python 读取用户指令和格式化打印实现解析

2019/09/02 Python

pytorch torch.expand和torch.repeat的区别详解

2019/11/05 Python

解决Tensorboard 不显示计算图graph的问题

2020/02/15 Python

Python3.9又更新了:dict内置新功能

2020/02/28 Python

python-地图可视化组件folium的操作

2020/12/14 Python

用python对excel进行操作(读,写,修改)

2020/12/25 Python

解决canvas转base64/jpeg时透明区域变成黑色背景的方法

2016/10/23 HTML / CSS

英国第一家领先的在线处方眼镜零售商：Glasses Direct

2018/02/23 全球购物

Foot Locker澳洲官网：美国运动服和鞋类零售商

2019/10/11 全球购物

化学相关工作求职信

2013/10/02 职场文书

新党章心得体会

2014/09/04 职场文书

2014幼儿教师个人工作总结

2014/12/03 职场文书

漫改真人电影「萌系男友是燃燃的橘色」公开先导视觉图

2022/03/21 日漫