Spring Security中用JWT退出登錄時遇到的坑

最近有個粉絲提瞭個問題，說他在Spring Security中用JWT做退出登錄的時無法獲取當前用戶，導致無法證明“我就是要退出的那個我”，業務失敗！經過我一番排查找到瞭原因，而且這個錯誤包括我自己的大部分人都犯過。

Session會話

之所以要說Session會話，是因為Spring Security默認配置就是有會話的，所以當你登錄以後Session就會由服務端保持直到你退出登錄。隻要Session保持住，你的請求隻要進入服務器就可以從 ServletRequest 中獲取到當前的 HttpSession ，然後會根據 HttpSession 來加載當前的 SecurityContext 。相關的邏輯在Spring Security默認的過濾器 SecurityContextPersistenceFilter 中，有興趣可以看相關的源碼。

而且默認情況下 SecurityContextPersistenceFilter 的優先級是高於退出過濾器 LogoutFilter 的，所以能夠保證有Session會話的情況下退出一定能夠獲取當前用戶。

無Session會話

使用瞭JWT後，每次請求都要攜帶 Bearer Token 並且被專門的過濾器攔截解析之後才能將用戶認證信息保存到 SecurityContext 中去。參考Spring Security實戰幹貨教程中的Token認證實現 JwtAuthenticationFilter ，相關邏輯為：

// 當token匹配         
if (jwtToken.equals(accessToken)) {
    // 解析 權限集合  這裡
    JSONArray jsonArray = jsonObject.getJSONArray("roles");
    List<String> roles = jsonArray.toList(String.class);
    String[] roleArr = roles.toArray(new String[0]);

    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);
    User user = new User(username, "[PROTECTED]", authorities);
    // 構建用戶認證token
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
    // 放入安全上下文中
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
} else {
    // token 不匹配
    if (log.isDebugEnabled()){
        log.debug("token : {}  is  not in matched", jwtToken);
    }
    throw new BadCredentialsException("token is not matched");
}

為什麼退出登錄無法獲取當前用戶

分析瞭兩種情況下用戶認證信息的安全上下文配置後，我們回到問題的本身。來看看為什麼用JWT會出現無法獲取當前認證信息的原因。在 HttpSecurity 中，那位同學是這樣配置 JwtAuthenticationFilter 的順序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
我們再看看 Spring Security 過濾器排序圖：

也就說LogoutFilter執行退出的時候，JWT還沒有被 JwtAuthenticationFilter 攔截，當然無法獲取當前認證上下文 SecurityContext 。

解決方法

解決方法就是必須在 LogoutFilter 執行前去解析JWT並將成功認證的信息存到 SecurityContext 。我們可以這樣配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
這樣問題就解決瞭，你隻要實現把當前JWT作廢掉就退出登錄瞭。

到此這篇關於Spring Security中用JWT退出登錄時遇到的坑的文章就介紹到這瞭,更多相關Spring Security JWT退出登錄內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet！

推薦閱讀：

• Spring Security過濾器鏈加載執行流程源碼解析
• Spring Security認證的完整流程記錄
• Spring Security和自定義filter的沖突導致多執行的解決方案
• Spring Boot 2結合Spring security + JWT實現微信小程序登錄
• Spring Security之默認的過濾器鏈及自定義Filter操作