自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Spring Security中利用JWT退出登錄大部分人都寫錯(cuò)了配置

作者: 碼農(nóng)小胖哥
開發(fā) 架構(gòu)
使用了JWT后,每次請求都要攜帶Bearer Token并且被專門的過濾器攔截解析之后才能將用戶認(rèn)證信息保存到SecurityContext中去。

[[428800]]

最近有個(gè)粉絲提了個(gè)問題,說他在Spring Security中用JWT做退出登錄的時(shí)無法獲取當(dāng)前用戶,導(dǎo)致無法證明“我就是要退出的那個(gè)我”,業(yè)務(wù)失敗!經(jīng)過我一番排查找到了原因,而且這個(gè)錯(cuò)誤包括我自己的大部分人都犯過。

Session會(huì)話

之所以要說Session會(huì)話,是因?yàn)镾pring Security默認(rèn)配置就是有會(huì)話的,所以當(dāng)你登錄以后Session就會(huì)由服務(wù)端保持直到你退出登錄。只要Session保持住,你的請求只要進(jìn)入服務(wù)器就可以從ServletRequest中獲取到當(dāng)前的HttpSession,然后會(huì)根據(jù)HttpSession來加載當(dāng)前的SecurityContext。相關(guān)的邏輯在Spring Security默認(rèn)的過濾器SecurityContextPersistenceFilter中,有興趣可以看相關(guān)的源碼。

而且默認(rèn)情況下SecurityContextPersistenceFilter的優(yōu)先級是高于退出過濾器LogoutFilter的,所以能夠保證有Session會(huì)話的情況下退出一定能夠獲取當(dāng)前用戶。

無Session會(huì)話

使用了JWT后,每次請求都要攜帶Bearer Token并且被專門的過濾器攔截解析之后才能將用戶認(rèn)證信息保存到SecurityContext中去。參考Spring Security實(shí)戰(zhàn)干貨教程中的Token認(rèn)證實(shí)現(xiàn)JwtAuthenticationFilter,相關(guān)邏輯為:

  1. // 當(dāng)token匹配          
  2.   if (jwtToken.equals(accessToken)) { 
  3.          // 解析 權(quán)限集合  這里 
  4.        JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
  5.        List<String> roles = jsonArray.toList(String.class); 
  6.        String[] roleArr = roles.toArray(new String[0]); 
  7.  
  8.        List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
  9.        User user = new User(username, "[PROTECTED]", authorities); 
  10.        // 構(gòu)建用戶認(rèn)證token 
  11.        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(usernull, authorities); 
  12.        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
  13.        // 放入安全上下文中 
  14.        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
  15.    } else { 
  16.        // token 不匹配 
  17.        if (log.isDebugEnabled()){ 
  18.            log.debug("token : {}  is  not in matched", jwtToken); 
  19.        } 
  20.  
  21.        throw new BadCredentialsException("token is not matched"); 
  22.    } 

為什么退出登錄無法獲取當(dāng)前用戶

分析了兩種情況下用戶認(rèn)證信息的安全上下文配置后,我們回到問題的本身。來看看為什么用JWT會(huì)出現(xiàn)無法獲取當(dāng)前認(rèn)證信息的原因。在HttpSecurity中,那位同學(xué)是這樣配置JwtAuthenticationFilter的順序的:

  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 

我們再看看Spring Security過濾器排序圖:

Spring Security過濾器排序

也就說LogoutFilter執(zhí)行退出的時(shí)候,JWT還沒有被JwtAuthenticationFilter攔截,當(dāng)然無法獲取當(dāng)前認(rèn)證上下文SecurityContext。

解決方法

解決方法就是必須在LogoutFilter執(zhí)行前去解析JWT并將成功認(rèn)證的信息存到SecurityContext。我們可以這樣配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

這樣問題就解決了,你只要實(shí)現(xiàn)把當(dāng)前JWT作廢掉就退出登錄了。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。

 

責(zé)任編輯:武曉燕 來源: 碼農(nóng)小胖哥
SpringSecurityJWT
相關(guān)推薦

2022-05-18 09:49:26

MySQLID數(shù)據(jù)庫

2025-01-26 16:04:09

2019-10-11 10:05:30

程序員固態(tài)硬盤Google

2024-09-04 01:36:51

Java對象傳遞

2021-08-06 17:44:45

云安全云計(jì)算網(wǎng)絡(luò)安全

2018-11-25 21:53:10

人工智能AI開發(fā)者

2012-06-07 16:16:43

JavaScript

2016-12-12 18:45:08

Data Mining大數(shù)據(jù)

2013-07-30 11:15:35

NASA云計(jì)算安全云計(jì)算

2023-02-07 13:51:11

SQLupdate語句

2016-10-26 10:23:42

2019-09-12 09:56:13

程序員技能開發(fā)者

2011-12-26 17:13:18

iPad統(tǒng)計(jì)App

2016-12-22 08:38:21

2024-07-05 11:50:15

2015-11-25 10:48:44

JS閉包面試題

2023-08-07 11:56:43

模型人貨場數(shù)據(jù)

2010-11-18 12:44:25

LibreOffice

2015-08-04 09:56:48

2018-08-31 07:33:58

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號