Spring Security中用JWT退出登录时遇到的坑-6ren

Spring Security中用JWT退出登录时遇到的坑

转载作者：qq735679552 更新时间：2022-09-28 22:32:09

32

4

CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章Spring Security中用JWT退出登录时遇到的坑由作者收集整理，如果你对这篇文章有兴趣，记得点赞哟.

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过.

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ，然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中，有兴趣可以看相关的源码.

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的，所以能够保证有Session会话的情况下退出一定能够获取当前用户.

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ，相关逻辑为:

 
    ? 
   
         // 当token匹配          
        
         if 
         (jwtToken.equals(accessToken)) { 
        
         // 解析 权限集合  这里 
        
         JSONArray jsonArray = jsonObject.getJSONArray( 
         "roles" 
         ); 
        
         List<String> roles = jsonArray.toList(String. 
         class 
         ); 
        
         String[] roleArr = roles.toArray( 
         new 
         String[ 
         0 
         ]); 
        
         List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
        
         User user =  
         new 
         User(username,  
         "[PROTECTED]" 
         , authorities); 
        
         // 构建用户认证token 
        
         UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =  
         new 
         UsernamePasswordAuthenticationToken(user,  
         null 
         , authorities); 
        
         usernamePasswordAuthenticationToken.setDetails( 
         new 
         WebAuthenticationDetailsSource().buildDetails(request)); 
        
         // 放入安全上下文中 
        
         SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
        
         }  
         else 
         { 
        
         // token 不匹配 
        
         if 
         (log.isDebugEnabled()){ 
        
         log.debug( 
         "token : {}  is  not in matched" 
         , jwtToken); 
        
         } 
        
         throw 
         new 
         BadCredentialsException( 
         "token is not matched" 
         ); 
        
         }

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity 中，那位同学是这样配置 JwtAuthenticationFilter 的顺序的:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 我们再看看 Spring Security 过滤器排序图:

Spring Security中用JWT退出登录时遇到的坑

也就说LogoutFilter执行退出的时候，JWT还没有被 JwtAuthenticationFilter 拦截，当然无法获取当前认证上下文 SecurityContext .

解决方法

解决方法就是必须在 LogoutFilter 执行前去解析JWT并将成功认证的信息存到 SecurityContext 。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class) 这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了.

到此这篇关于Spring Security中用JWT退出登录时遇到的坑的文章就介绍到这了,更多相关Spring Security JWT退出登录内容请搜索我以前的文章或继续浏览下面的相关文章希望大家以后多多支持我！。

原文链接：https://blog.didispace.com/spring-security-jwt-logout-wrong-config 。

最后此篇关于Spring Security中用JWT退出登录时遇到的坑的文章就讲到这里了,如果你想了解更多关于Spring Security中用JWT退出登录时遇到的坑的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！。

32

4

0

文章推荐： SpringBoot WebSocket实时监控异常的详细流程

文章推荐： java多态注意项小结

文章推荐： SpringBoot框架整合Mybatis简单攻略

文章推荐： spring-shiro权限控制realm实战教程

c++ - 在C++中用<<声明一个int
有人可以向我解释该声明在C++中的含义吗？我从未见过这样的声明，只是对它的含义和作用感到困惑: int ix((dx > 0) - (dx > 1)); 最佳答案您可以在括号或花括号中使用初始化程序
php - 在 while 中用 If 语句排序
我有一个带有单词的mysql数据库。我用 while 语句打印所有单词。所以我觉得: 马铃薯番茄生菜一切正常，但我想按长度对单词进行排序。我试过: if(strlen($go['words']) =
windows - Windows 中用 FOR 遍历路径变量
我忠实的路径遍历方法不再有效——它将空格视为分隔符。好久没做批处理编程了。使用 FOR 循环时，唯一允许使用分隔符的是 FOR/F 选项。我不想创建一个包含路径的临时文件，希望做如下的事情: C:
C# 中用 Sqlparameter 的两种用法
新建一个表： ? 1
在 Lua 中用 LPeg 解析出多行
我有一些带有多行块的文本文件，例如 2011/01/01 13:13:13,, Some Certain Text,=, [ certain text [
vim - 在 VIM 中用 # 居中和填充多个空间
我想在 Vim 中文件的不同部分之间进行一些很好的分离: 我想用#'s 填充一行，然后在中间写上我的标题: ############################# 居中标题############
string - 在 Clojure 中用\* 替换 *
我该如何逃生 "*"至 "\*"在clojure？似乎无法让它工作: (s/replace "A*B" #"*" "*")生产 "A*B" (当然) (s/replace "A*B" #"*" "\*
c - c 中用 "char *"定义的变量是指针还是char类型的变量？
这周我一直在努力更熟悉 C。我一直在阅读C Primer Plus (5th Edition) 但是我仍然在使用变量和指针时遇到了一些麻烦。这是我用来测试的脚本: int main (int arg
dart - Dart 中用 new 操作符初始化和用字面量初始化的区别
在 Dart 中，初始化 List 有什么区别？使用 new 运算符并使用文字对其进行初始化？情况1: List args = new List(2); args[0] = 1; args[1] =
在 R 中用 NA 替换值
我有一个字符向量，如下所示: "Internet" "Internet" "-1" "-5" "Internet" "Internet" 我想替换所有负数值的值(-1、-5 等
在 R 中用 NA 删除列值
我有一个名为 gen 的数据框，如下所示 A B C D E 1 NA 4.35 35.3 3.36 4.8
在 R 中用 NA 替换值
我有一个字符向量，如下所示: "Internet" "Internet" "-1" "-5" "Internet" "Internet" 我想替换所有负数值的值(-1、-5 等
cmake - 我什么时候应该在 CMake 中用 ${...} 包装变量？
我想知道为什么 CMake 中的变量经常用美元符号和大括号括起来。例如，我看到这个电话in a CMake tutorial . include_directories(${PROJECT_BINAR
php - 是否可以在 codeigniter 中用 where 条件计算所有？
我正在尝试做这样的事情 $this->db->count_all("grant_money")->where('id',5); 这可能吗？如果有任何其他方法可以做到这一点，请告诉我。谢谢我想像上面
c - 为什么需要在 C 中用 * 定义对指针的引用？
为什么这是有效的: int a = 5; int *aPtr = &a; printf("%i", *aPtr); 但这不是: int a = 5; int aPtr = &a; printf("%i
javascript - 如何在 JavaScript 中用 "/"替换字符串中的每个点
假设我有一个格式为“11.23.13”的日期字符串，我想用“/”替换每个点，使其看起来像“11/23/13”。这是我的代码，但它无法正常工作，因为正则表达式看到“.”并将其解释为匹配每个字符而不是新
java - 如何在 java 中用 * 替换控制台输入值？
如何在键盘输入的字符处打印*？例子: 如果我在控制台中输入:mouli，那么它应该将 m 替换为 *，然后是 o用 * 等等。最佳答案使用标准 API 无法解决此问题。如果这确实是一个明确的要求
javascript - 在 Javascript 中用 this 理解内部函数
我最近开始学习 Javascript，同时对卡在这段代码中的代码进行了一些实验: var k = { ab: "hi", func: function() { cons
bash - 如何在 awk 中用 "."替换重复的行？
我需要用“.”替换第一列中的重复项例如: name1 name1 name1 name2 name2 name3 name3 我需要输出: name1 . . name2 . name3 . 我有这
mysql - 在 MySQL 中用 IF 语句比较日期
我有以下两个表 education 和 jobs，每个表都有时间戳字段。在续集语句中，我想选择并确定两个表中保存的两个时间戳中哪个是最新的。我已经尝试了以下但并不愉快； SELECT e.Sta

首页

博学

6Ren·AI

商城