欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Security中用JWT退出登錄時(shí)遇到的坑

 更新時(shí)間:2021年10月15日 16:01:53   作者:碼農(nóng)小胖哥  
使用了JWT后,每次請(qǐng)求都要攜帶 Bearer Token 并且被專門(mén)的過(guò)濾器攔截解析之后才能將用戶認(rèn)證信息保存到 SecurityContext 中去,接下來(lái)通過(guò)本文給大家介紹Spring Security中用JWT退出登錄時(shí)遇到的坑,感興趣的朋友一起看看吧

最近有個(gè)粉絲提了個(gè)問(wèn)題,說(shuō)他在Spring Security中用JWT做退出登錄的時(shí)無(wú)法獲取當(dāng)前用戶,導(dǎo)致無(wú)法證明“我就是要退出的那個(gè)我”,業(yè)務(wù)失??!經(jīng)過(guò)我一番排查找到了原因,而且這個(gè)錯(cuò)誤包括我自己的大部分人都犯過(guò)。

Session會(huì)話

之所以要說(shuō)Session會(huì)話,是因?yàn)镾pring Security默認(rèn)配置就是有會(huì)話的,所以當(dāng)你登錄以后Session就會(huì)由服務(wù)端保持直到你退出登錄。只要Session保持住,你的請(qǐng)求只要進(jìn)入服務(wù)器就可以從 ServletRequest 中獲取到當(dāng)前的 HttpSession ,然后會(huì)根據(jù) HttpSession 來(lái)加載當(dāng)前的 SecurityContext 。相關(guān)的邏輯在Spring Security默認(rèn)的過(guò)濾器 SecurityContextPersistenceFilter 中,有興趣可以看相關(guān)的源碼。

而且默認(rèn)情況下 SecurityContextPersistenceFilter 的優(yōu)先級(jí)是高于退出過(guò)濾器 LogoutFilter 的,所以能夠保證有Session會(huì)話的情況下退出一定能夠獲取當(dāng)前用戶。

無(wú)Session會(huì)話

使用了JWT后,每次請(qǐng)求都要攜帶 Bearer Token 并且被專門(mén)的過(guò)濾器攔截解析之后才能將用戶認(rèn)證信息保存到 SecurityContext 中去。參考Spring Security實(shí)戰(zhàn)干貨教程中的Token認(rèn)證實(shí)現(xiàn) JwtAuthenticationFilter ,相關(guān)邏輯為:

// 當(dāng)token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 權(quán)限集合  這里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 構(gòu)建用戶認(rèn)證token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

為什么退出登錄無(wú)法獲取當(dāng)前用戶

分析了兩種情況下用戶認(rèn)證信息的安全上下文配置后,我們回到問(wèn)題的本身。來(lái)看看為什么用JWT會(huì)出現(xiàn)無(wú)法獲取當(dāng)前認(rèn)證信息的原因。在 HttpSecurity 中,那位同學(xué)是這樣配置 JwtAuthenticationFilter 的順序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我們?cè)倏纯?Spring Security 過(guò)濾器排序圖:

也就說(shuō)LogoutFilter執(zhí)行退出的時(shí)候,JWT還沒(méi)有被 JwtAuthenticationFilter 攔截,當(dāng)然無(wú)法獲取當(dāng)前認(rèn)證上下文 SecurityContext 。

解決方法

解決方法就是必須在 LogoutFilter 執(zhí)行前去解析JWT并將成功認(rèn)證的信息存到 SecurityContext 。我們可以這樣配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
這樣問(wèn)題就解決了,你只要實(shí)現(xiàn)把當(dāng)前JWT作廢掉就退出登錄了。

到此這篇關(guān)于Spring Security中用JWT退出登錄時(shí)遇到的坑的文章就介紹到這了,更多相關(guān)Spring Security JWT退出登錄內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評(píng)論