Spring Security中利用JWT退出登录大部分人都写错了配置

开发 架构
使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。

[[428800]]

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

  1. // 当token匹配          
  2.   if (jwtToken.equals(accessToken)) { 
  3.          // 解析 权限集合  这里 
  4.        JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
  5.        List<String> roles = jsonArray.toList(String.class); 
  6.        String[] roleArr = roles.toArray(new String[0]); 
  7.  
  8.        List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
  9.        User user = new User(username, "[PROTECTED]", authorities); 
  10.        // 构建用户认证token 
  11.        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(usernull, authorities); 
  12.        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
  13.        // 放入安全上下文中 
  14.        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
  15.    } else { 
  16.        // token 不匹配 
  17.        if (log.isDebugEnabled()){ 
  18.            log.debug("token : {}  is  not in matched", jwtToken); 
  19.        } 
  20.  
  21.        throw new BadCredentialsException("token is not matched"); 
  22.    } 

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 

我们再看看Spring Security过滤器排序图:

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
相关推荐

2022-05-18 09:49:26

MySQLID数据库

2019-10-11 10:05:30

程序员固态硬盘Google

2021-08-06 17:44:45

云安全云计算网络安全

2018-11-25 21:53:10

人工智能AI开发者

2012-06-07 16:16:43

JavaScript

2016-12-12 18:45:08

Data Mining大数据

2013-07-30 11:15:35

NASA云计算安全云计算

2016-10-26 10:23:42

2019-09-12 09:56:13

程序员技能开发者

2023-02-07 13:51:11

SQLupdate语句

2016-12-22 08:38:21

2011-12-26 17:13:18

iPad统计App

2015-11-25 10:48:44

JS闭包面试题

2023-08-07 11:56:43

模型人货场数据

2015-08-04 09:56:48

2010-11-18 12:44:25

LibreOffice

2018-08-31 07:33:58

2024-02-05 08:35:32

VuenextTickDOM

2018-09-17 15:09:28

区块链去中心化互联网

2010-08-19 10:47:59

诺基亚Ovi永久免费
点赞
收藏

51CTO技术栈公众号