51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Spring Security中利用JWT退出登录大部分人都写错了配置

作者: 码农小胖哥
开发 架构
使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。

[[428800]]

最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession,然后会根据HttpSession来加载当前的SecurityContext。相关的逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中,有兴趣可以看相关的源码。

而且默认情况下SecurityContextPersistenceFilter的优先级是高于退出过滤器LogoutFilter的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter,相关逻辑为:

  1. // 当token匹配          
  2.   if (jwtToken.equals(accessToken)) { 
  3.          // 解析 权限集合  这里 
  4.        JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
  5.        List<String> roles = jsonArray.toList(String.class); 
  6.        String[] roleArr = roles.toArray(new String[0]); 
  7.  
  8.        List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
  9.        User user = new User(username, "[PROTECTED]", authorities); 
  10.        // 构建用户认证token 
  11.        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(usernull, authorities); 
  12.        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
  13.        // 放入安全上下文中 
  14.        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
  15.    } else { 
  16.        // token 不匹配 
  17.        if (log.isDebugEnabled()){ 
  18.            log.debug("token : {}  is  not in matched", jwtToken); 
  19.        } 
  20.  
  21.        throw new BadCredentialsException("token is not matched"); 
  22.    } 

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中,那位同学是这样配置JwtAuthenticationFilter的顺序的:

  1. httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 

我们再看看Spring Security过滤器排序图:

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候,JWT还没有被JwtAuthenticationFilter拦截,当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置:

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
SpringSecurityJWT
相关推荐
MySQL自增ID,居然大部分错了!?
《MySQL删除数据的三种方式》中的作业题,99%的人答错,有点出乎意料。今天简单说下作业题中的答案,以及知识点。

2022-05-18 09:49:26

MySQLID数据库
大部分程序员错了,硬盘真的很慢么?
缓存是每个程序员所熟知的,相信大家对缓存都已经不陌生了,缓存使用传输更快的介质来存储更加频繁读写的数据。在程序员面试中,我们常常会这样回答,因为硬盘的读写速度太慢,事实真的是如此么?

2019-10-11 10:05:30

程序员固态硬盘Google
大部错了
在Java中,(传递参数时)无论是基本数据类型还是对象(或数组),使用的都是值传递的方式。只是对于对象(或数组)而言,传递的值是对象引用副本,而非对象引用本身。

2024-09-04 01:36:51

Java对象传递
大部分企业遭遇过公共云安全事件
威胁检测和响应公司VectraAI的一项新研究发现,所有受访者在过去12个月内都在其公共云环境中经历了至少一次云安全事件。

2021-08-06 17:44:45

云安全云计算网络安全
《今日简史》:未来15年,大部分都将失业?
人工智能带来的,是我们这个时代最大的革命。我们已经深陷其漩涡之中。

2018-11-25 21:53:10

人工智能AI开发者
大部分没用过的JS页面模板化
如果这种嵌入的html代码很多,你也要这样处理吗?如果修改(添加或者删除)某个html,那么你就要不断的翻代码,找对应的标签,然后在找结束标签,你不觉得麻烦吗?

2012-06-07 16:16:43

JavaScript
NASA大部分云计算活动缺乏安全保护措施
近日,NASA总检察官发布了一份关于NASA云计算的安全性能报告。他在报告中指出,该机构所运行的大部分云计算活动都缺乏安全保护性能有些数据甚至还存在可能被曝光在外面的危险。另外,他还表示,他在NASA跟云端服务供应商签订的5份合同中也找不到任何关于数据保护的安全措施。

2013-07-30 11:15:35

NASA云计算安全云计算
做Data Mining,其实大部分时间花在清洗数据
很多初学的朋友对大数据挖掘第一直观的印象,都只是业务模型,以及组成模型背后的各种算法原理。往往忽视了整个业务场景建模过程中,看似最普通,却又最精髓的特征数据清洗。可谓是平平无奇,却又一掌定乾坤,稍有闪失,足以功亏一篑。

2016-12-12 18:45:08

Data Mining大数据
为何大部分都在使用不安全的密码?
相信你总会看到这样的新闻:又有大规模的数据泄露了、又有多少用户的信息被窃取了……随之而来的,是各种安全专家的重复建议:大家该上点心了,是时候换密码了,使用安全强度高一点的密码行不行。但实际上,又有多少人真正在意过专家的话,而不是一意孤行的继续使用自己的“旧”密码呢

2016-10-26 10:23:42

Nginx何防止流量攻击,大部分程序员收藏了...
大家都知道服务器资源有限的,但是客户端来的请求是无限的(不排除恶意攻击),为了保证大部分的请求能够正常响应,不得不放弃一些客户端来的请求,所以我们会采用Nginx的限流操作。

2019-09-12 09:56:13

程序员技能开发者
这个 SQL 题,大部分答不出来
如果update语句更新的是索引的值,那么在运行的时候会被拆分成删除和插入操作,这时候分析锁的时候,要从这两个操作的角度去分析。

2023-02-07 13:51:11

SQLupdate语句
Ubuntu 调查发现,大部分从不更新他们的物联网设备
许多物联网设备的用户鲜于更新他们的联网设备,而这正是造成许多物联网安全漏洞的根本原因。

2016-12-22 08:38:21

iPad使用统计:大部分常用的App不超过10个
分析公司SURL发布了他们针对苹果iPad的最新统计数据,iPad使用的用户满意度仍然保持在很高的水准达到了83.65%,对于iPad最满意的地方主要包括以下几方面:

2011-12-26 17:13:18

iPad统计App
大部分都会做错的经典JS闭包面试题
都答对了么?如果都答对了恭喜你在js闭包问题当中几乎没什么可以难住你了;如果没有答案,继续往下分析。

2015-11-25 10:48:44

JS闭包面试题
货场”模型搞懂没?数据分析大部分场景都能用!
人货场三个维度之所以经常用,是因为这三者与用户行为有直接关系,并且商品属性、卖场属性、用户习惯都有一些天生的规律可循。

2023-08-07 11:56:43

模型人货场数据
货场”模型搞懂没?数据分析大部分场景都能用!
人货场三个维度之所以经常用,是因为这三者与用户行为有直接关系,并且商品属性、卖场属性、用户习惯都有一些天生的规律可循。因此很适合作为分析的基础,做深做细。一方面能对业务有更清晰的认知;另一方面,想建立更复杂的模型也有线索了。

2024-07-05 11:50:15

LibreOffice未来计划:将重写大部分组件
TheDocumentationFoundation商议了LibreOffice未来的发展计划,决定进行大刀阔斧的改革。Calc表格组件将首先被完全重写,将引入名为Ixion的新处理引擎,改善对数据库链接的支持,并且提供对VBA宏的支持。整个计划还没有明确的时间表及优先顺序。

2010-11-18 12:44:25

LibreOffice
CERT发现大部分BIOS存在安全漏洞
卡内基·梅隆大学的计算机应急响应团队(CERT)发布了在大部分BIOS固件中存在漏洞的安全公告,黑客可以利用该漏洞重新刷新主板BIOS。

2015-08-04 09:56:48

大部分员工认为遭到老板的监视
上个月,英格兰与威尔士联合总工会(TUC)发布的一份报告显示,侵入性技术最坏情况下可妨碍人们的隐私权,最好情况下也会损伤员工的士气。

2018-08-31 07:33:58

NextTick 在 Vue 如何发挥作用的?其实大部分一知半解
nextTick为什么是微任务,但是能获取到最新DOM呢?因为到了nextTick这一步的时候,DOM树已经更新完了,只是还没渲染到页面上而已,而我们能通过DOM的一些API去获取到最新的DOM树内容,比如document.getElementById这类方法。

2024-02-05 08:35:32

VuenextTickDOM
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服