编程 Java/Android

Spring Security中用JWT退出登录时遇到的坑

Posted in Java/Android onOctober 16, 2021

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ，然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中，有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的，所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ，相关逻辑为：

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中，那位同学是这样配置 JwtAuthenticationFilter 的顺序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图：

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候，JWT还没有被 JwtAuthenticationFilter 拦截，当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木！

Spring Security中用JWT退出登录时遇到的坑

- Author -

码农小胖哥

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Java/Android 相关文章推荐

Java方法重载和方法重写的区别到底在哪?

Jun 11 Java/Android

SpringBoot整合JWT的入门指南

Jun 29 Java/Android

mybatis中sql语句CDATA标签的用法说明

Jun 30 Java/Android

SpringDataJPA实体类关系映射配置方式

Dec 06 Java/Android

SpringBoot中HttpSessionListener的简单使用方式

Mar 17 Java/Android

SpringBoot整合minio快速入门教程(代码示例)

Apr 03 Java/Android

Dubbo+zookeeper搭配分布式服务的过程详解

Apr 03 Java/Android

SpringBoot 集成短信和邮件以阿里云短信服务为例

Apr 22 Java/Android

Android开发之底部导航栏的快速实现

Apr 28 Java/Android

mybatis 获取更新记录的id

May 20 Java/Android

Java实现注册登录跳转

Jun 16 Java/Android

SpringBoot深入分析讲解监听器模式下

Jul 15 Java/Android

Java实现房屋出租系统详解

Oct 05 #Java/Android

Java Spring 控制反转(IOC)容器详解

Java spring定时任务详解

JAVA API 实用类 String详解

Oct 05 #Java/Android

SpringCloud之@FeignClient()注解的使用方式

Sep 25 #Java/Android

springboot中rabbitmq实现消息可靠性机制详解

Sep 25 #Java/Android

Spring Cloud 中@FeignClient注解中的contextId属性详解

Sep 25 #Java/Android

You might like

php使用多个进程同时控制文件读写示例

2014/02/28 PHP

php实现redis数据库指定库号迁移的方法

2015/01/14 PHP

php用ini_get获取php.ini里变量值的方法

2015/03/04 PHP

php实现异步将远程链接上内容(图片或内容)写到本地的方法

2016/11/30 PHP

解决form中action属性后面?传递参数获取不到的问题

2017/07/21 PHP

PHP实现的堆排序算法详解

2017/08/17 PHP

PHP实现从上往下打印二叉树的方法

2018/01/18 PHP

jquery tools系列 expose 学习

2009/09/06 Javascript

jQuery 1.9移除了$.browser可以使用$.support来替代

2014/09/03 Javascript

node.js中的fs.appendFileSync方法使用说明

2014/12/17 Javascript

JavaScript中的普通函数与构造函数比较

2015/04/07 Javascript

JavaScript DOM进阶方法

2015/04/13 Javascript

使用jQuery实现Web页面换肤功能的要点解析

2016/05/12 Javascript

用jQuery获取table中行id和td值的实现代码

2016/05/19 Javascript

DIV+CSS+jQ实现省市联动可扩展

2016/06/22 Javascript

微信js-sdk预览图片接口及从拍照或手机相册中选图接口用法示例

2016/10/13 Javascript

详解vue 中使用 AJAX获取数据的方法

2017/01/18 Javascript

基于node.js实现爬虫的讲解

2019/02/18 Javascript

JavaScript读取本地文件常用方法流程解析

2020/10/12 Javascript

[01:55]TI9显影之尘系列 - Evil Geniuses

2019/08/22 DOTA

Python open()文件处理使用介绍

2014/11/30 Python

python访问类中docstring注释的实现方法

2015/05/04 Python

python 中的divmod数字处理函数浅析

2017/10/17 Python

Python实现的字典排序操作示例【按键名key与键值value排序】

2018/12/21 Python

Python流程控制 while循环实现解析

2019/09/02 Python

Python使用__new__()方法为对象分配内存及返回对象的引用示例

2019/09/20 Python

python数据化运营的重要意义

2019/11/25 Python

python异常处理、自定义异常、断言原理与用法分析

2020/03/23 Python

使用python接受tgam的脑波数据实例

2020/04/09 Python

详解纯CSS3制作的20种loading动效

2017/07/05 HTML / CSS

韩国著名的在线综合购物网站：Akmall

2016/08/07 全球购物

Betsey Johnson官网：妖娆可爱的连衣裙及鞋子、手袋和配件

2016/12/30 全球购物

公司财务流程之主管工作流程

2014/03/03 职场文书

公安领导班子四风问题个人整改措施思想汇报

2014/10/09 职场文书

单独二胎证明

2015/06/24 职场文书

python 模拟在天空中放风筝的示例代码

2021/04/21 Python