日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Spring Security中利用JWT退出登錄大部分人都寫(xiě)錯(cuò)了配置

最近有個(gè)粉絲提了個(gè)問(wèn)題,說(shuō)他在Spring Security中用JWT做退出登錄的時(shí)無(wú)法獲取當(dāng)前用戶,導(dǎo)致無(wú)法證明“我就是要退出的那個(gè)我”,業(yè)務(wù)失敗!經(jīng)過(guò)我一番排查找到了原因,而且這個(gè)錯(cuò)誤包括我自己的大部分人都犯過(guò)。

Session會(huì)話

之所以要說(shuō)Session會(huì)話,是因?yàn)镾pring Security默認(rèn)配置就是有會(huì)話的,所以當(dāng)你登錄以后Session就會(huì)由服務(wù)端保持直到你退出登錄。只要Session保持住,你的請(qǐng)求只要進(jìn)入服務(wù)器就可以從ServletRequest中獲取到當(dāng)前的HttpSession,然后會(huì)根據(jù)HttpSession來(lái)加載當(dāng)前的SecurityContext。相關(guān)的邏輯在Spring Security默認(rèn)的過(guò)濾器SecurityContextPersistenceFilter中,有興趣可以看相關(guān)的源碼。

而且默認(rèn)情況下SecurityContextPersistenceFilter的優(yōu)先級(jí)是高于退出過(guò)濾器LogoutFilter的,所以能夠保證有Session會(huì)話的情況下退出一定能夠獲取當(dāng)前用戶。

無(wú)Session會(huì)話

使用了JWT后,每次請(qǐng)求都要攜帶Bearer Token并且被專(zhuān)門(mén)的過(guò)濾器攔截解析之后才能將用戶認(rèn)證信息保存到SecurityContext中去。參考Spring Security實(shí)戰(zhàn)干貨教程中的Token認(rèn)證實(shí)現(xiàn)JwtAuthenticationFilter,相關(guān)邏輯為:

 
 
 
 
      
  
  
  
  1. // 當(dāng)token匹配          
    2.   
  
  
  
  2.   if (jwtToken.equals(accessToken)) { 
    3.   
  
  
  
  3.          // 解析 權(quán)限集合  這里 
    4.   
  
  
  
  4.        JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
    5.   
  
  
  
  5.        List roles = jsonArray.toList(String.class); 
    6.   
  
  
  
  6.        String[] roleArr = roles.toArray(new String[0]); 
    7.   
  
  
  
  7.  
    8.   
  
  
  
  8.        List authorities = AuthorityUtils.createAuthorityList(roleArr); 
    9.   
  
  
  
  9.        User user = new User(username, "[PROTECTED]", authorities); 
    10.   
  
  
  
  10.        // 構(gòu)建用戶認(rèn)證token 
    11.   
  
  
  
  11.        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities); 
    12.   
  
  
  
  12.        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
    13.   
  
  
  
  13.        // 放入安全上下文中 
    14.   
  
  
  
  14.        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
    15.   
  
  
  
  15.    } else { 
    16.   
  
  
  
  16.        // token 不匹配 
    17.   
  
  
  
  17.        if (log.isDebugEnabled()){ 
    18.   
  
  
  
  18.            log.debug("token : {}  is  not in matched", jwtToken); 
    19.   
  
  
  
  19.        } 
    20.   
  
  
  
  20.  
    21.   
  
  
  
  21.        throw new BadCredentialsException("token is not matched"); 
    22.   
  
  
  
  22.    } 
    23.

為什么退出登錄無(wú)法獲取當(dāng)前用戶

分析了兩種情況下用戶認(rèn)證信息的安全上下文配置后,我們回到問(wèn)題的本身。來(lái)看看為什么用JWT會(huì)出現(xiàn)無(wú)法獲取當(dāng)前認(rèn)證信息的原因。在HttpSecurity中,那位同學(xué)是這樣配置JwtAuthenticationFilter的順序的:

 
 
 
 
      
  
  
  
  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 
    2.

我們?cè)倏纯碨pring Security過(guò)濾器排序圖:

Spring Security過(guò)濾器排序

也就說(shuō)LogoutFilter執(zhí)行退出的時(shí)候,JWT還沒(méi)有被JwtAuthenticationFilter攔截,當(dāng)然無(wú)法獲取當(dāng)前認(rèn)證上下文SecurityContext。

解決方法

解決方法就是必須在LogoutFilter執(zhí)行前去解析JWT并將成功認(rèn)證的信息存到SecurityContext。我們可以這樣配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

這樣問(wèn)題就解決了,你只要實(shí)現(xiàn)把當(dāng)前JWT作廢掉就退出登錄了。

本文轉(zhuǎn)載自微信公眾號(hào)「碼農(nóng)小胖哥」,可以通過(guò)以下二維碼關(guān)注。轉(zhuǎn)載本文請(qǐng)聯(lián)系碼農(nóng)小胖哥公眾號(hào)。


網(wǎng)站題目:Spring Security中利用JWT退出登錄大部分人都寫(xiě)錯(cuò)了配置
URL網(wǎng)址:http://www.5511xx.com/article/cdeicsp.html