Spring Security中利用JWT退出登錄大部分人都寫錯了配置
最近有個粉絲提了個問題,說他在Spring Security中用JWT做退出登錄的時無法獲取當前用戶,導致無法證明“我就是要退出的那個我”,業務失敗!經過我一番排查找到了原因,而且這個錯誤包括我自己的大部分人都犯過。
Session會話
之所以要說Session會話,是因為Spring Security默認配置就是有會話的,所以當你登錄以后Session就會由服務端保持直到你退出登錄。只要Session保持住,你的請求只要進入服務器就可以從ServletRequest中獲取到當前的HttpSession,然后會根據HttpSession來加載當前的SecurityContext。相關的邏輯在Spring Security默認的過濾器SecurityContextPersistenceFilter中,有興趣可以看相關的源碼。
而且默認情況下SecurityContextPersistenceFilter的優先級是高于退出過濾器LogoutFilter的,所以能夠保證有Session會話的情況下退出一定能夠獲取當前用戶。
無Session會話
使用了JWT后,每次請求都要攜帶Bearer Token并且被專門的過濾器攔截解析之后才能將用戶認證信息保存到SecurityContext中去。參考Spring Security實戰干貨教程中的Token認證實現JwtAuthenticationFilter,相關邏輯為:
- // 當token匹配
- if (jwtToken.equals(accessToken)) {
- // 解析 權限集合 這里
- JSONArray jsonArray = jsonObject.getJSONArray("roles");
- List<String> roles = jsonArray.toList(String.class);
- String[] roleArr = roles.toArray(new String[0]);
- List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
- User user = new User(username, "[PROTECTED]", authorities);
- // 構建用戶認證token
- UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
- usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
- // 放入安全上下文中
- SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
- } else {
- // token 不匹配
- if (log.isDebugEnabled()){
- log.debug("token : {} is not in matched", jwtToken);
- }
- throw new BadCredentialsException("token is not matched");
- }
為什么退出登錄無法獲取當前用戶
分析了兩種情況下用戶認證信息的安全上下文配置后,我們回到問題的本身。來看看為什么用JWT會出現無法獲取當前認證信息的原因。在HttpSecurity中,那位同學是這樣配置JwtAuthenticationFilter的順序的:
- httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我們再看看Spring Security過濾器排序圖:
Spring Security過濾器排序
也就說LogoutFilter執行退出的時候,JWT還沒有被JwtAuthenticationFilter攔截,當然無法獲取當前認證上下文SecurityContext。
解決方法
解決方法就是必須在LogoutFilter執行前去解析JWT并將成功認證的信息存到SecurityContext。我們可以這樣配置:
httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
這樣問題就解決了,你只要實現把當前JWT作廢掉就退出登錄了。
本文轉載自微信公眾號「碼農小胖哥」,可以通過以下二維碼關注。轉載本文請聯系碼農小胖哥公眾號。
