Spring Security中用JWT退出登錄時(shí)遇到的坑
最近有個(gè)粉絲提了個(gè)問題,說他在Spring Security中用JWT做退出登錄的時(shí)無法獲取當(dāng)前用戶,導(dǎo)致無法證明“我就是要退出的那個(gè)我”,業(yè)務(wù)失??!經(jīng)過我一番排查找到了原因,而且這個(gè)錯(cuò)誤包括我自己的大部分人都犯過。
Session會(huì)話
之所以要說Session會(huì)話,是因?yàn)镾pring Security默認(rèn)配置就是有會(huì)話的,所以當(dāng)你登錄以后Session就會(huì)由服務(wù)端保持直到你退出登錄。只要Session保持住,你的請(qǐng)求只要進(jìn)入服務(wù)器就可以從 ServletRequest 中獲取到當(dāng)前的 HttpSession ,然后會(huì)根據(jù) HttpSession 來加載當(dāng)前的 SecurityContext 。相關(guān)的邏輯在Spring Security默認(rèn)的過濾器 SecurityContextPersistenceFilter 中,有興趣可以看相關(guān)的源碼。
而且默認(rèn)情況下 SecurityContextPersistenceFilter 的優(yōu)先級(jí)是高于退出過濾器 LogoutFilter 的,所以能夠保證有Session會(huì)話的情況下退出一定能夠獲取當(dāng)前用戶。
無Session會(huì)話
使用了JWT后,每次請(qǐng)求都要攜帶 Bearer Token 并且被專門的過濾器攔截解析之后才能將用戶認(rèn)證信息保存到 SecurityContext 中去。參考Spring Security實(shí)戰(zhàn)干貨教程中的Token認(rèn)證實(shí)現(xiàn) JwtAuthenticationFilter ,相關(guān)邏輯為:
// 當(dāng)token匹配 if (jwtToken.equals(accessToken)) { // 解析 權(quán)限集合 這里 JSONArray jsonArray = jsonObject.getJSONArray("roles"); List<String> roles = jsonArray.toList(String.class); String[] roleArr = roles.toArray(new String[0]); List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); User user = new User(username, "[PROTECTED]", authorities); // 構(gòu)建用戶認(rèn)證token UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities); usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); // 放入安全上下文中 SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } else { // token 不匹配 if (log.isDebugEnabled()){ log.debug("token : {} is not in matched", jwtToken); } throw new BadCredentialsException("token is not matched"); }
為什么退出登錄無法獲取當(dāng)前用戶
分析了兩種情況下用戶認(rèn)證信息的安全上下文配置后,我們回到問題的本身。來看看為什么用JWT會(huì)出現(xiàn)無法獲取當(dāng)前認(rèn)證信息的原因。在 HttpSecurity 中,那位同學(xué)是這樣配置 JwtAuthenticationFilter 的順序的:
httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我們?cè)倏纯?Spring Security 過濾器排序圖:
也就說LogoutFilter執(zhí)行退出的時(shí)候,JWT還沒有被 JwtAuthenticationFilter 攔截,當(dāng)然無法獲取當(dāng)前認(rèn)證上下文 SecurityContext 。
解決方法
解決方法就是必須在 LogoutFilter 執(zhí)行前去解析JWT并將成功認(rèn)證的信息存到 SecurityContext 。我們可以這樣配置:
httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
這樣問題就解決了,你只要實(shí)現(xiàn)把當(dāng)前JWT作廢掉就退出登錄了。
到此這篇關(guān)于Spring Security中用JWT退出登錄時(shí)遇到的坑的文章就介紹到這了,更多相關(guān)Spring Security JWT退出登錄內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
- SpringSecurity Jwt Token 自動(dòng)刷新的實(shí)現(xiàn)
- Springboot+SpringSecurity+JWT實(shí)現(xiàn)用戶登錄和權(quán)限認(rèn)證示例
- SpringBoot集成Spring Security用JWT令牌實(shí)現(xiàn)登錄和鑒權(quán)的方法
- SpringBoot集成SpringSecurity和JWT做登陸鑒權(quán)的實(shí)現(xiàn)
- Spring Security基于JWT實(shí)現(xiàn)SSO單點(diǎn)登錄詳解
- Spring Boot 2結(jié)合Spring security + JWT實(shí)現(xiàn)微信小程序登錄
- springboot+jwt+springSecurity微信小程序授權(quán)登錄問題
- SpringBoot Security前后端分離登錄驗(yàn)證的實(shí)現(xiàn)
相關(guān)文章
詳談Java中net.sf.json包關(guān)于JSON與對(duì)象互轉(zhuǎn)的坑
下面小編就為大家分享一篇Java中net.sf.json包關(guān)于JSON與對(duì)象互轉(zhuǎn)的坑,具有很好的參考價(jià)值,希望對(duì)大家有所幫助2017-12-12Java超詳細(xì)講解WebMvcConfigurer攔截器
這篇文章將用實(shí)例來和大家介紹一下WebMvcConfigurer攔截器。文中的示例代碼講解詳細(xì),對(duì)我們學(xué)習(xí)Java有一定的幫助,需要的可以參考一下2022-06-06springboot?使用websocket技術(shù)主動(dòng)給前端發(fā)送消息的實(shí)現(xiàn)
這篇文章主要介紹了springboot?使用websocket技術(shù)主動(dòng)給前端發(fā)送消息的實(shí)現(xiàn)方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2021-12-12java數(shù)組排序示例(冒泡排序、快速排序、希爾排序、選擇排序)
java中在運(yùn)用數(shù)組進(jìn)行排序功能時(shí),一般有四種方法:快速排序法、冒泡法、選擇排序法、插入排序法(希爾排序(Shell Sort)是插入排序的一種),下面是一些示例,需要的朋友可以參考下2014-03-03Java?實(shí)現(xiàn)判定順序表中是否包含某個(gè)元素(思路詳解)
這篇文章主要介紹了Java?實(shí)現(xiàn)判定順序表中是否包含某個(gè)元素,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2023-06-06