|
|
|
|
公众号矩阵

Spring Security中利用JWT退出登录大部分人都写错了配置

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。

作者: 码农小胖哥来源: 码农小胖哥|2021-10-14 06:51

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

  1. // 当token匹配          
  2.   if (jwtToken.equals(accessToken)) { 
  3.          // 解析 权限集合  这里 
  4.        JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
  5.        List<String> roles = jsonArray.toList(String.class); 
  6.        String[] roleArr = roles.toArray(new String[0]); 
  7.  
  8.        List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
  9.        User user = new User(username, "[PROTECTED]", authorities); 
  10.        // 构建用户认证token 
  11.        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(usernull, authorities); 
  12.        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
  13.        // 放入安全上下文中 
  14.        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
  15.    } else { 
  16.        // token 不匹配 
  17.        if (log.isDebugEnabled()){ 
  18.            log.debug("token : {}  is  not in matched", jwtToken); 
  19.        } 
  20.  
  21.        throw new BadCredentialsException("token is not matched"); 
  22.    } 

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 

我们再看看Spring Security过滤器排序图:

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

【编辑推荐】

  1. 鸿蒙官方战略合作共建——HarmonyOS技术社区
  2. 模块化UPS的典型架构有几种?
  3. Sentry 监控 - Snuba 数据中台架构(Query Processing 简介)
  4. 计算机架构的机器学习
  5. 亿级流量架构的服务限流思路与方法
  6. 边缘计算集成到云架构中的优缺点
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微