编程 Java/Android

Spring Security中用JWT退出登录时遇到的坑

Posted in Java/Android onOctober 16, 2021

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ，然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中，有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的，所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ，相关逻辑为：

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中，那位同学是这样配置 JwtAuthenticationFilter 的顺序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图：

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候，JWT还没有被 JwtAuthenticationFilter 拦截，当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木！

Spring Security中用JWT退出登录时遇到的坑

- Author -

码农小胖哥

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Java/Android 相关文章推荐

Spring mvc是如何实现与数据库的前后端的连接操作的?

Jun 30 Java/Android

java基础——多线程

Jul 03 Java/Android

java解析XML详解

Jul 09 Java/Android

SpringBoot整合RabbitMQ的5种模式实战

Aug 02 Java/Android

Java 超详细讲解ThreadLocal类的使用

Apr 07 Java/Android

SpringCloud项目如何解决log4j2漏洞

Apr 10 Java/Android

Java设计模式中的命令模式

Apr 28 Java/Android

Jmerte 分布式压测及分布式压测配置

Apr 30 Java/Android

Android开发手册自定义Switch开关按钮控件

Jun 10 Java/Android

Mybatis-plus配置分页插件返回统一结果集

Jun 21 Java/Android

java获取一个文本文件的编码(格式)信息

Sep 23 Java/Android

Mybatis 一级缓存和二级缓存原理区别

Sep 23 Java/Android

Java实现房屋出租系统详解

Oct 05 #Java/Android

Java Spring 控制反转(IOC)容器详解

Java spring定时任务详解

JAVA API 实用类 String详解

Oct 05 #Java/Android

SpringCloud之@FeignClient()注解的使用方式

Sep 25 #Java/Android

springboot中rabbitmq实现消息可靠性机制详解

Sep 25 #Java/Android

Spring Cloud 中@FeignClient注解中的contextId属性详解

Sep 25 #Java/Android

You might like

如何删除多级目录

2006/10/09 PHP

一周学会PHP（视频）Http下载

2006/12/12 PHP

PHP数组与对象之间使用递归实现转换的方法

2015/06/24 PHP

Aster vs KG BO3 第一场2.18

2021/03/10 DOTA

超级简单的图片防盗(HTML),好用

2007/04/08 Javascript

Js获取事件对象代码

2010/08/05 Javascript

js禁止小键盘输入数字功能代码

2011/08/01 Javascript

循环 vs 递归浅谈

2013/02/28 Javascript

js中onload与onunload的使用示例

2013/08/25 Javascript

js为空或不是对象问题的快速解决方法

2013/12/11 Javascript

无闪烁更新网页内容JS实现

2013/12/19 Javascript

jQuery中:has选择器用法实例

2014/12/30 Javascript

jQuery控制DIV层实现由大到小，由远及近动画变化效果

2015/10/09 Javascript

javascript获取系统当前时间的方法

2015/11/19 Javascript

js原型链与继承解析（初体验）

2016/05/09 Javascript

Vue.js 2.0 移动端拍照压缩图片上传预览功能

2017/03/06 Javascript

JavaScript实现离开页面前提示功能【附jQuery实现方法】

2017/09/26 jQuery

Angular5.1新功能分享

2017/12/21 Javascript

js获取html页面代码中图片地址的实现代码

2018/03/05 Javascript

Vue.js 十五分钟入门图文教程

2018/09/12 Javascript

对angularJs中$sce服务安全显示html文本的实例

2018/09/30 Javascript

vue 图片裁剪上传组件的实现

2020/11/12 Javascript

基于python历史天气采集的分析

2019/02/14 Python

python如何实现从视频中提取每秒图片

2020/10/22 Python

DC Shoes澳大利亚官方网上商店：购买DC鞋子

2019/10/25 全球购物

什么叫应用程序域？什么是受管制的代码？什么是强类型系统？什么是装箱和拆箱？

2016/08/13 面试题

一套Delphi的笔试题二

2013/05/11 面试题

八年级生物教学反思

2014/01/22 职场文书

英文留学推荐信范文

2014/01/25 职场文书

公司员工活动策划方案

2014/08/20 职场文书

骆驼祥子读书笔记

2015/06/26 职场文书

周末问候语大全

2015/11/10 职场文书

承诺书的签字人，需不需要承担相应的责任？

2019/07/09 职场文书

创业计划书之零食店（进口）

2019/09/24 职场文书

酒店工程部的岗位职责汇总大全

2019/10/23 职场文书

python中使用 unittest.TestCase单元测试的用例详解

2021/08/30 Python