Spring Security中用JWT退出登录时遇到的坑


Posted in Java/Android onOctober 16, 2021

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ,然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中,有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ,相关逻辑为:

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中,那位同学是这样配置 JwtAuthenticationFilter 的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图:

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候,JWT还没有被 JwtAuthenticationFilter 拦截,当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Java/Android 相关文章推荐
Java方法重载和方法重写的区别到底在哪?
Jun 11 Java/Android
SpringBoot整合JWT的入门指南
Jun 29 Java/Android
mybatis中sql语句CDATA标签的用法说明
Jun 30 Java/Android
SpringDataJPA实体类关系映射配置方式
Dec 06 Java/Android
SpringBoot中HttpSessionListener的简单使用方式
Mar 17 Java/Android
SpringBoot整合minio快速入门教程(代码示例)
Apr 03 Java/Android
Dubbo+zookeeper搭配分布式服务的过程详解
Apr 03 Java/Android
SpringBoot 集成短信和邮件 以阿里云短信服务为例
Apr 22 Java/Android
Android开发之底部导航栏的快速实现
Apr 28 Java/Android
mybatis 获取更新记录的id
May 20 Java/Android
Java实现注册登录跳转
Jun 16 Java/Android
SpringBoot深入分析讲解监听器模式下
Jul 15 Java/Android
Java实现房屋出租系统详解
Oct 05 #Java/Android
Java Spring 控制反转(IOC)容器详解
Java spring定时任务详解
JAVA API 实用类 String详解
Oct 05 #Java/Android
SpringCloud之@FeignClient()注解的使用方式
Sep 25 #Java/Android
springboot中rabbitmq实现消息可靠性机制详解
Sep 25 #Java/Android
Spring Cloud 中@FeignClient注解中的contextId属性详解
Sep 25 #Java/Android
You might like
php使用多个进程同时控制文件读写示例
2014/02/28 PHP
php实现redis数据库指定库号迁移的方法
2015/01/14 PHP
php用ini_get获取php.ini里变量值的方法
2015/03/04 PHP
php实现异步将远程链接上内容(图片或内容)写到本地的方法
2016/11/30 PHP
解决form中action属性后面?传递参数 获取不到的问题
2017/07/21 PHP
PHP实现的堆排序算法详解
2017/08/17 PHP
PHP实现从上往下打印二叉树的方法
2018/01/18 PHP
jquery tools系列 expose 学习
2009/09/06 Javascript
jQuery 1.9移除了$.browser可以使用$.support来替代
2014/09/03 Javascript
node.js中的fs.appendFileSync方法使用说明
2014/12/17 Javascript
JavaScript中的普通函数与构造函数比较
2015/04/07 Javascript
JavaScript DOM进阶方法
2015/04/13 Javascript
使用jQuery实现Web页面换肤功能的要点解析
2016/05/12 Javascript
用jQuery获取table中行id和td值的实现代码
2016/05/19 Javascript
DIV+CSS+jQ实现省市联动可扩展
2016/06/22 Javascript
微信js-sdk预览图片接口及从拍照或手机相册中选图接口用法示例
2016/10/13 Javascript
详解vue 中使用 AJAX获取数据的方法
2017/01/18 Javascript
基于node.js实现爬虫的讲解
2019/02/18 Javascript
JavaScript读取本地文件常用方法流程解析
2020/10/12 Javascript
[01:55]TI9显影之尘系列 - Evil Geniuses
2019/08/22 DOTA
Python open()文件处理使用介绍
2014/11/30 Python
python访问类中docstring注释的实现方法
2015/05/04 Python
python 中的divmod数字处理函数浅析
2017/10/17 Python
Python实现的字典排序操作示例【按键名key与键值value排序】
2018/12/21 Python
Python流程控制 while循环实现解析
2019/09/02 Python
Python使用__new__()方法为对象分配内存及返回对象的引用示例
2019/09/20 Python
python数据化运营的重要意义
2019/11/25 Python
python异常处理、自定义异常、断言原理与用法分析
2020/03/23 Python
使用python接受tgam的脑波数据实例
2020/04/09 Python
详解纯CSS3制作的20种loading动效
2017/07/05 HTML / CSS
韩国著名的在线综合购物网站:Akmall
2016/08/07 全球购物
Betsey Johnson官网:妖娆可爱的连衣裙及鞋子、手袋和配件
2016/12/30 全球购物
公司财务流程之主管工作流程
2014/03/03 职场文书
公安领导班子四风问题个人整改措施思想汇报
2014/10/09 职场文书
单独二胎证明
2015/06/24 职场文书
python 模拟在天空中放风筝的示例代码
2021/04/21 Python