Get Even More Visitors To Your Blog, Upgrade To A Business Listing >>
Idioma: En

Spring Security中用JWT退出登录时很容易犯的错

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Related Articles

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从 ServletRequest中获取到当前的 HttpSession,然后会根据 HttpSession来加载当前的 SecurityContext。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter的优先级是高于退出过滤器 LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带 Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter,相关逻辑为:

// 当token匹配              
if (jwtToken.equals(accessToken)) {     
    // 解析 权限集合  这里     
    JSONArray jsonArray = jsonObject.getJSONArray("roles");     
    List roles = jsonArray.toList(String.class);     
    String[] roleArr = roles.toArray(new String[0]);     

    List authorities = AuthorityUtils.createAuthorityList(roleArr);     
    User user = new User(username, "[PROTECTED]", authorities);     
    // 构建用户认证token     
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);     
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));     
    // 放入安全上下文中     
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);     
} else {     
    // token 不匹配     
    if (log.isDebugEnabled()){     
        log.debug("token : {}  is  not in matched", jwtToken);     
    }     
    throw new BadCredentialsException("token is not matched");     
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity中,那位同学是这样配置 JwtAuthenticationFilter的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)

我们再看看 Spring Security过滤器排序图:

也就说LogoutFilter执行退出的时候,JWT还没有被 JwtAuthenticationFilter拦截,当然无法获取当前认证上下文 SecurityContext

解决方法

解决方法就是必须在 LogoutFilter执行前去解析JWT并将成功认证的信息存到 SecurityContext。我们可以这样配置:
httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

好了,今天的学习就到这里!如果您学习过程中如遇困难?可以加入我们超高质量的 Spring技术交流群,参与交流与讨论,更好的学习与进步!更多 Spring Boot教程可以点击直达!,欢迎收藏与转发支持!



This post first appeared on IT瘾 | IT社区推荐资讯, please read the originial post: here

Share the post

Spring Security中用JWT退出登录时很容易犯的错

×

Subscribe to It瘾 | It社区推荐资讯

Get updates delivered right to your inbox!

Thank you for your subscription

×