Spring Security中用JWT退出登录时遇到的坑_Java教程

Spring Security中用JWT退出登录时遇到的坑

2022-02-21 13:08码农小胖哥 Java教程

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去，接下来通过本文给大家介绍Spring Security中用JWT退出登录时遇到的坑，感兴趣的朋友一起看看吧

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest 中获取到当前的 HttpSession ，然后会根据 HttpSession 来加载当前的 SecurityContext 。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter 中，有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter 的优先级是高于退出过滤器 LogoutFilter 的，所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token 并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext 中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter ，相关逻辑为：

				?

									// 当token匹配         

									if (jwtToken.equals(accessToken)) {

									    // 解析 权限集合  这里

									    JSONArray jsonArray = jsonObject.getJSONArray("roles");

									    List<String> roles = jsonArray.toList(String.class);

									    String[] roleArr = roles.toArray(new String[0]);

									    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);

									    User user = new User(username, "[PROTECTED]", authorities);

									    // 构建用户认证token

									    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);

									    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

									    // 放入安全上下文中

									    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);

									} else {

									    // token 不匹配

									    if (log.isDebugEnabled()){

									        log.debug("token : {}  is  not in matched", jwtToken);

									    }

									    throw new BadCredentialsException("token is not matched");

									}