[[428800]]

最近有個粉絲提了個問題，說他在Spring Security中用JWT做退出登錄的時無法獲取當(dāng)前用戶，導(dǎo)致無法證明“我就是要退出的那個我”，業(yè)務(wù)失敗!經(jīng)過我一番排查找到了原因，而且這個錯誤包括我自己的大部分人都犯過。

Session會話

之所以要說Session會話，是因為Spring Security默認(rèn)配置就是有會話的，所以當(dāng)你登錄以后Session就會由服務(wù)端保持直到你退出登錄。只要Session保持住，你的請求只要進(jìn)入服務(wù)器就可以從ServletRequest中獲取到當(dāng)前的HttpSession，然后會根據(jù)HttpSession來加載當(dāng)前的SecurityContext。相關(guān)的邏輯在Spring Security默認(rèn)的過濾器SecurityContextPersistenceFilter中，有興趣可以看相關(guān)的源碼。

而且默認(rèn)情況下SecurityContextPersistenceFilter的優(yōu)先級是高于退出過濾器LogoutFilter的，所以能夠保證有Session會話的情況下退出一定能夠獲取當(dāng)前用戶。

無Session會話

使用了JWT后，每次請求都要攜帶Bearer Token并且被專門的過濾器攔截解析之后才能將用戶認(rèn)證信息保存到SecurityContext中去。參考Spring Security實戰(zhàn)干貨教程中的Token認(rèn)證實現(xiàn)JwtAuthenticationFilter，相關(guān)邏輯為：

// 當(dāng)token匹配          
  if (jwtToken.equals(accessToken)) { 
         // 解析 權(quán)限集合  這里 
       JSONArray jsonArray = jsonObject.getJSONArray("roles"); 
       List<String> roles = jsonArray.toList(String.class); 
       String[] roleArr = roles.toArray(new String[0]); 
 
       List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr); 
       User user = new User(username, "[PROTECTED]", authorities); 
       // 構(gòu)建用戶認(rèn)證token 
       UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities); 
       usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); 
       // 放入安全上下文中 
       SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); 
   } else { 
       // token 不匹配 
       if (log.isDebugEnabled()){ 
           log.debug("token : {}  is  not in matched", jwtToken); 
       } 
 
       throw new BadCredentialsException("token is not matched"); 
   } 

為什么退出登錄無法獲取當(dāng)前用戶

分析了兩種情況下用戶認(rèn)證信息的安全上下文配置后，我們回到問題的本身。來看看為什么用JWT會出現(xiàn)無法獲取當(dāng)前認(rèn)證信息的原因。在HttpSecurity中，那位同學(xué)是這樣配置JwtAuthenticationFilter的順序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 

我們再看看Spring Security過濾器排序圖：

Spring Security過濾器排序

也就說LogoutFilter執(zhí)行退出的時候，JWT還沒有被JwtAuthenticationFilter攔截，當(dāng)然無法獲取當(dāng)前認(rèn)證上下文SecurityContext。

解決方法

解決方法就是必須在LogoutFilter執(zhí)行前去解析JWT并將成功認(rèn)證的信息存到SecurityContext。我們可以這樣配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

這樣問題就解決了，你只要實現(xiàn)把當(dāng)前JWT作廢掉就退出登錄了。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。