首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Java/Android

Spring Security中用JWT退出登录时遇到的坑

Posted in Java/Android onOctober 16, 2021

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ,然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中,有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ,相关逻辑为:

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中,那位同学是这样配置 JwtAuthenticationFilter 的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图:

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候,JWT还没有被 JwtAuthenticationFilter 拦截,当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Spring Security中用JWT退出登录时遇到的坑

- Author -

码农小胖哥

- Original Sources -

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Java/Android 相关文章推荐
Springboot配置suffix指定mvc视图的后缀方法
Jul 03 Java/Android
JavaGUI模仿QQ聊天功能完整版
Jul 04 Java/Android
java固定大小队列的几种实现方式详解
Jul 15 Java/Android
Java异常处理try catch的基本用法
Dec 06 Java/Android
springboot新建项目pom.xml文件第一行报错的解决
Jan 18 Java/Android
JVM的类加载器和双亲委派模式你了解吗
Mar 13 Java/Android
springboot 自定义配置 解决Boolean属性不生效
Mar 18 Java/Android
InterProcessMutex实现zookeeper分布式锁原理
Mar 21 Java/Android
Java实现经典游戏泡泡堂的示例代码
Apr 04 Java/Android
Elasticsearch Recovery 详细介绍
Apr 19 Java/Android
Java时间工具类Date的常用处理方法
May 25 Java/Android
Java使用HttpClient实现文件下载
Aug 14 Java/Android
Java实现房屋出租系统详解
Oct 05 #Java/Android
Java Spring 控制反转(IOC)容器详解
Java spring定时任务详解
JAVA API 实用类 String详解
Oct 05 #Java/Android
SpringCloud之@FeignClient()注解的使用方式
Sep 25 #Java/Android
springboot中rabbitmq实现消息可靠性机制详解
Sep 25 #Java/Android
Spring Cloud 中@FeignClient注解中的contextId属性详解
Sep 25 #Java/Android
Jmerte(1) KVM(1) watch(1) Yolov5(1) vue-router-link(1) scss(1) vue-cli3.x(1) 项目打包(2) 自定义组件(1) TimePickerView(1)
You might like
用PHP实现小型站点广告管理(修正版)
2006/10/09 PHP
php处理json时中文问题的解决方法
2011/04/12 PHP
PHP 登录记住密码实现思路
2013/05/07 PHP
php实现下载限制速度示例分享
2014/02/13 PHP
自己写的php curl库实现整站克隆功能
2015/02/12 PHP
php中session_id()函数详细介绍,会话id生成过程及session id长度
2015/09/23 PHP
py文件转exe时包含paramiko模块出错解决方法
2016/08/12 PHP
Laravel 5.2 文档 数据库 ―― 起步介绍
2019/10/21 PHP
探讨jQuery的ajax使用场景(c#)
2013/12/03 Javascript
javascript中的this详解
2014/12/08 Javascript
JS实现简单路由器功能的方法
2015/05/27 Javascript
微信小程序入门教程
2016/11/18 Javascript
Bootstrap 模态框(Modal)插件代码解析
2016/12/21 Javascript
Vue数据驱动模拟实现2
2017/01/11 Javascript
Angularjs单选改为多选的开发过程及问题解析
2017/02/17 Javascript
Express的HTTP重定向到HTTPS的方法
2018/06/06 Javascript
如何使用 vue-cli 创建模板项目
2020/11/19 Vue.js
Python数据结构之Array用法实例
2014/10/09 Python
Python实现霍夫圆和椭圆变换代码详解
2018/01/12 Python
TensorFlow实现创建分类器
2018/02/06 Python
Windows下安装Django框架的方法简明教程
2018/03/28 Python
Python产生Gnuplot绘图数据的方法
2018/11/09 Python
Python基础之函数的定义与使用示例
2019/03/23 Python
Python创建或生成列表的操作方法
2019/06/19 Python
python实现得到当前登录用户信息的方法
2019/06/21 Python
在windows下使用python进行串口通讯的方法
2019/07/02 Python
Python多线程获取返回值代码实例
2020/02/17 Python
美国男士西装打折店:Jos. A. Bank
2017/11/13 全球购物
美国饼干礼物和美食甜点购买网站:Cheryl’s
2020/05/28 全球购物
《三个小伙伴》教学反思
2014/04/11 职场文书
学校教研活动总结
2014/07/02 职场文书
出纳试用期自我鉴定范文
2014/09/16 职场文书
2015秋季幼儿园开学寄语
2015/03/25 职场文书
专家推荐信范文
2015/03/26 职场文书
2015年党建工作目标责任书
2015/05/08 职场文书
MySQL中TIMESTAMP类型返回日期时间数据中带有T的解决
2022/12/24 MySQL