首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Java/Android

Spring Security中用JWT退出登录时遇到的坑

Posted in Java/Android onOctober 16, 2021

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ,然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中,有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ,相关逻辑为:

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中,那位同学是这样配置 JwtAuthenticationFilter 的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图:

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候,JWT还没有被 JwtAuthenticationFilter 拦截,当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Spring Security中用JWT退出登录时遇到的坑

- Author -

码农小胖哥

- Original Sources -

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Java/Android 相关文章推荐
springboot中一些比较常用的注解总结
Jun 11 Java/Android
Java SSH 秘钥连接mysql数据库的方法
Jun 28 Java/Android
如何给HttpServletRequest增加消息头
Jun 30 Java/Android
Springboot配置suffix指定mvc视图的后缀方法
Jul 03 Java/Android
JavaGUI模仿QQ聊天功能完整版
Jul 04 Java/Android
java解析XML详解
Jul 09 Java/Android
springboot 启动如何排除某些bean的注入
Aug 02 Java/Android
Java 多线程协作作业之信号同步
May 11 Java/Android
Spring Security动态权限的实现方法详解
Jun 16 Java/Android
一文搞懂Java中的注解和反射
Jun 21 Java/Android
Java 中的 Lambda List 转 Map 的多种方法详解
Jul 07 Java/Android
Spring boot admin 服务监控利器详解
Aug 05 Java/Android
Java实现房屋出租系统详解
Oct 05 #Java/Android
Java Spring 控制反转(IOC)容器详解
Java spring定时任务详解
JAVA API 实用类 String详解
Oct 05 #Java/Android
SpringCloud之@FeignClient()注解的使用方式
Sep 25 #Java/Android
springboot中rabbitmq实现消息可靠性机制详解
Sep 25 #Java/Android
Spring Cloud 中@FeignClient注解中的contextId属性详解
Sep 25 #Java/Android
AOP(2) 验证表达式(1) Kotlin(1) Android Gradle(1) 动态权限(1) promise(2) 构造函数(1) redis(3) Spring Security(2) XDM(3)
You might like
用PHP和ACCESS写聊天室(十)
2006/10/09 PHP
PHP查找与搜索数组元素方法总结
2015/06/12 PHP
微信公众号支付之坑:调用支付jsapi缺少参数 timeStamp等错误解决方法
2016/01/12 PHP
Symfony2实现在doctrine中内置数据的方法
2016/02/05 PHP
PhpStorm的使用教程(本地运行PHP+远程开发+快捷键)
2020/03/26 PHP
用JavaScript隐藏控件的方法
2009/09/21 Javascript
javascript中的变量是传值还是传址的?
2010/04/19 Javascript
js字符串的各种格式的转换 ToString,Format
2011/08/08 Javascript
使用jQuery和Bootstrap实现多层、自适应模态窗口
2014/12/22 Javascript
javascript每日必学之循环
2016/02/19 Javascript
基于jquery实现三级下拉菜单
2016/05/10 Javascript
全面了解js中的script标签
2016/07/04 Javascript
完美的js div拖拽实例代码
2016/09/24 Javascript
浅谈jquery高级方法描述与应用
2016/10/04 Javascript
canvas实现图像放大镜
2017/02/06 Javascript
JS严格模式知识点总结
2018/02/27 Javascript
vue异步加载高德地图的实现
2018/06/19 Javascript
Numpy之文件存取的示例代码
2018/08/03 Python
python判断一个对象是否可迭代的例子
2019/07/22 Python
关于pymysql模块的使用以及代码详解
2019/09/01 Python
使用Python实现正态分布、正态分布采样
2019/11/20 Python
Python实现栈的方法详解【基于数组和单链表两种方法】
2020/02/22 Python
Windows系统下pycharm中的pip换源
2020/02/23 Python
HTML5的革新 结构之美
2011/06/20 HTML / CSS
美特斯邦威官方商城:邦购网
2016/10/13 全球购物
Europcar葡萄牙:葡萄牙汽车和货车租赁
2017/10/13 全球购物
印度最大的时尚购物网站:Myntra
2018/09/13 全球购物
POP文化和音乐灵感的时尚:Hot Topic
2019/06/19 全球购物
Lungolivigno Fashion官网:高级时装在线购物
2020/10/17 全球购物
外贸业务员岗位职责
2013/11/24 职场文书
运动会广播稿200米
2014/01/27 职场文书
夜不归宿检讨书
2014/02/25 职场文书
酒会邀请函
2015/01/31 职场文书
财务负责人岗位职责
2015/02/03 职场文书
2015年酒店前台工作总结
2015/04/20 职场文书
浅谈MySQL之浅入深出页原理
2021/06/23 MySQL