Spring Security中用JWT退出登录时遇到的坑

更新时间：2021年10月15日 16:01:53 作者：码农小胖哥

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去，接下来通过本文给大家介绍Spring Security中用JWT退出登录时遇到的坑，感兴趣的朋友一起看看吧

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ，然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中，有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的，所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ，相关逻辑为：

// 当token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 权限集合  这里
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 构建用户认证token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中，那位同学是这样配置 JwtAuthenticationFilter 的顺序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我们再看看 Spring Security 过滤器排序图：

也就说LogoutFilter执行退出的时候，JWT还没有被 JwtAuthenticationFilter 拦截，当然无法获取当前认证上下文 SecurityContext 。

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了。

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

maven的settings.xml、pom.xml配置文件使用详解
本文详解了Maven中的配置文件settings.xml和pom.xml,阐述了它们的作用、配置项以及优先级顺序,settings.xml存在于Maven安装目录和用户目录下,分别作用于全局和当前用户,pom.xml位于项目根路径下
2024-09-09
itext生成PDF设置页眉页脚的实例详解
这篇文章主要介绍了itext生成PDF设置页眉页脚的实例详解的相关资料,希望通过本文能帮助到大家，需要的朋友可以参考下
2017-09-09
Java类加载连接和初始化原理解析
这篇文章主要介绍了Java类加载连接和初始化原理解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-03-03
JavaWeb实现学生信息管理系统(1)
这篇文章主要为大家详细介绍了JavaWeb实现学生信息管理系统第一篇，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2021-08-08
java中反射和注解的简单使用方法
相信大家对注解和反射应该并不陌生,在现在信息飞速发展的年代,各种优秀的框架或许都离不开注解的使用,这篇文章主要给大家介绍了关于java中反射和注解的简单使用方法,需要的朋友可以参考下
2021-08-08
Java中的线程死锁解读
这篇文章主要介绍了Java中的线程死锁解读,死锁就是指两个或两个以上的线程在抢占资源时,造成相互等待的现象,称为死锁,在没有外力的情况下是会一直等待无法执行下去,需要的朋友可以参考下
2024-01-01
浅析Java中为什么要设计包装类
我们知道Java是一个面相对象的编程语言，基本类型并不具有对象的性质，为了让基本类型也具有对象的特征，就出现了包装类型，它相当于将基本类型“包装起来”，使得它具有了对象的性质，并且为其添加了属性和方法，丰富了基本类型的操作
2021-06-06
Java同步代码块和同步方法原理与应用案例详解
这篇文章主要介绍了Java同步代码块和同步方法原理与应用,结合具体案例形式分析了使用java同步代码块和同步方法实现买票功能的相关原理与操作技巧,需要的朋友可以参考下
2019-10-10
Java Fluent Mybatis 项目工程化与常规操作详解流程篇上
Java中常用的ORM框架主要是mybatis, hibernate, JPA等框架。国内又以Mybatis用的多，基于mybatis上的增强框架，又有mybatis plus和TK mybatis等。今天我们介绍一个新的mybatis增强框架 fluent mybatis
2021-10-10
如何把Java程序窗口在屏幕中间显示
大家在日常Java开发中，可能会需要把程序窗口定位在屏幕中间，那该如何操作呢，下面来一起看看。
2016-08-08