最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过。
Session会话
之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住,你的请求只要进入服务器就可以从中获取到当前的,然后会根据来加载当前的。相关的逻辑在Spring Security默认的过滤器中,有兴趣可以看相关的源码。
而且默认情况下的优先级是高于退出过滤器的,所以能够保证有Session会话的情况下退出一定能够获取当前用户。
无Session会话
使用了JWT后,每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到中去。参考Spring Security实战干货教程中的Token认证实现,相关逻辑为:
为什么退出登录无法获取当前用户
分析了两种情况下用户认证信息的安全上下文配置后,我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在中,那位同学是这样配置的顺序的:
我们再看看Spring Security过滤器排序图:
Spring Security过滤器排序
也就说执行退出的时候,JWT还没有被拦截,当然无法获取当前认证上下文。
解决方法
解决方法就是必须在执行前去解析JWT并将成功认证的信息存到。我们可以这样配置:
这样问题就解决了,你只要实现把当前JWT作废掉就退出登录了。
JWT应该保存在哪里?
2021-10-11
从Java 9 到 Java 17之Java 11
2021-09-29
领取专属 10元无门槛券
私享最新 技术干货