Java Spring Spring Security
在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过一番排查找到了原因。
Session会话
之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当登录以后Session就会由服务端保持直到退出登录。只要Session保持住,请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。
而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。
无Session会话
使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。Token认证实现JwtAuthenticationFilter,相关逻辑为:
// 当token匹配if (jwtToken.equals(accessToken)) {// 解析 权限集合 这里JSONArray jsonArray = jsonObject.getJSONArray("roles");List<String> roles = jsonArray.toList(String.class);String[] roleArr = roles.toArray(new String[0]);List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);User user = new User(username, "[PROTECTED]", authorities);// 构建用户认证tokenUsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));// 放入安全上下文中SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);} else {// token 不匹配if (log.isDebugEnabled()){log.debug("token : {} is not in matched", jwtToken);}throw new BadCredentialsException("token is not matched");}
为什么退出登录无法获取当前用户
分析了两种情况下用户认证信息的安全上下文配置后,回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,配置JwtAuthenticationFilter的顺序的:
httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
再看看Spring Security过滤器排序图:
Spring Security过滤器排序
也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。
解决方法
解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。可以这样配置:
httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了,只要实现把当前JWT作废掉就退出登录了。
若有收获,就点个赞吧
0 人点赞
