SpringSecurity+JWT 登出功能实现

原创 已于 2024-11-22 13:46:41 修改 · 1.5k 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring #web安全
于 2024-11-22 13:40:13 首次发布

前言

由于刚刚学习了SpringSecurity+JWT的登录认证,就想着配套地实现一下登出逻辑。一开始看教程都说是很简单,直接在配置类声明一下logout()就行了,但是我怎么试都不成,而且有时候还访问不了登出接口。后面想了想,找到的教程都是将用户的认证状态保存在SpringSecurity里,把保存的用户凭证删除就是一个最简单的登出逻辑。但是呢,我使用的是JWT的方式认证,不会在SpringSecurity中保存用户凭证,即服务端是无状态的,所以这个方法就行不通了。于是,我就去找了其他合适的方法。根治JWT的登出方法有黑名单校验、版本号校验、过期时间校验、token副本校验等,我这里采用的是token副本校验的方式

token副本校验

将用户登陆时的JWT在服务端缓存保存一份(如保存在Redis中),每次用户发出请求时都需要校验缓存中是否存在对应副本,没有则拒绝请求,有就正常访问。登出逻辑就是在用户发出登出请求时,将保存的副本删除。

具体实现

登出逻辑需要实现两个接口,LogoutHandlerLogoutSuccessHandler。在我的理解里,前者是实现主要登出逻辑的地方,后者是用作提示和记录日志的地方。

自定义LogoutHandler

@Slf4j
@Component
public class CustomLogoutHandler implements LogoutHandler {
​
    @Autowired
    private JwtTokenProvider jwtTokenProvider;
​
    @Autowired
    private RedisUtils redisUtils;
​
    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        // 从 request 获取 JWT token
        String token = getTokenFromRequest(request);
​
        // 校验 token
        if (StringUtils.hasText(token) && jwtTokenProvider.validateToken(token)) {
​
            // 从 token 获取 username
            String username = jwtTokenProvider.getUsername(token);
            log.info("username: {}  is offline now", username);
​
            // TODO 删除token逻辑
            String key = RedisKeyUtils.initKey(RedisKeyUtils.JWT, username);
            redisUtils.del(key);
​
        }
​
    }
​
    // 从请求中读取token
    private String getTokenFromRequest(HttpServletRequest request) {
​
        String bearerToken = request.getHeader("Authorization");
​
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7, bearerToken.length());
        }
​
        return null;
    }
}

这里的RedisKeyUtils是我自定义的一个工具类,用于统一Redis中的键。如果只是测试的话,可以自定义token在Redis中的key,我这个工具类写的不是很好,就不提供了。至于RedisUtils一搜一大把,下面是我常用的一个

import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.util.CollectionUtils;
​
import java.util.Collection;
import java.util.List;
import java.util.Map;
import java.util.Set;
import java.util.concurrent.TimeUnit;
​
/**
 * 
 * @author 王赛超 基于spring和redis的redisTemplate工具类 针对所有的hash 都是以h开头的方法 针对所有的Set 都是以s开头的方法 不含通用方法 针对所有的List 都是以l开头的方法
 */
@Component
@RequiredArgsConstructor
public class RedisUtils {
​
    private final RedisTemplate<String, Object> redisTemplate;
​
    // =============================common============================
    /**
     * 指定缓存失效时间
     * 
     * @param key
     *            键
     * @param time
     *            时间(秒)
     * @return
     */
    public boolean expire(String key, long time) {
        try {
            if (time > 0) {
                redisTemplate.expire(key, time, TimeUnit.SECONDS);
            }
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 根据key 获取过期时间
     * 
     * @param key
     *            键 不能为null
     * @return 时间(秒) 返回0代表为永久有效
     */
    public long getExpire(String key) {
        return redisTemplate.getExpire(key, TimeUnit.SECONDS);
    }
​
    /**
     * 判断key是否存在
     * 
     * @param key
     *            键
     * @return true 存在 false不存在
     */
    public boolean hasKey(String key) {
        try {
            return redisTemplate.hasKey(key);
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 删除缓存
     * 
     * @param key
     *            可以传一个值 或多个
     */
    @SuppressWarnings("unchecked")
    public void del(String... key) {
        if (key != null && key.length > 0) {
            if (key.length == 1) {
                redisTemplate.delete(key[0]);
            } else {
                redisTemplate.delete((Collection<String>) CollectionUtils.arrayToList(key));
            }
        }
    }
​
    // ============================String=============================
    /**
     * 普通缓存获取
     * 
     * @param key
     *            键
     * @return 值
     */
    public Object get(String key) {
        return key == null ? null : redisTemplate.opsForValue().get(key);
    }
​
    /**
     * 普通缓存放入
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @return true成功 false失败
     */
    public boolean set(String key, Object value) {
        try {
            redisTemplate.opsForValue().set(key, value);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
​
    }
​
    /**
     * 普通缓存放入并设置时间
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @param time
     *            时间(秒) time要大于0 如果time小于等于0 将设置无限期
     * @return true成功 false 失败
     */
    public boolean set(String key, Object value, long time) {
        try {
            if (time > 0) {
                redisTemplate.opsForValue().set(key, value, time, TimeUnit.SECONDS);
            } else {
                set(key, value);
            }
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 递增 适用场景: https://blog.csdn.net/y_y_y_k_k_k_k/article/details/79218254 高并发生成订单号,秒杀类的业务逻辑等。。
     * 
     * @param key
     *            键
     * @param delta
     *            要增加几(大于0)
     * @return
     */
    public long incr(String key, long delta) {
        if (delta < 0) {
            throw new RuntimeException("递增因子必须大于0");
        }
        return redisTemplate.opsForValue().increment(key, delta);
    }
​
    /**
     * 递减
     * 
     * @param key
     *            键
     * @param delta
     *            要减少几(小于0)
     * @return
     */
    public long decr(String key, long delta) {
        if (delta < 0) {
            throw new RuntimeException("递减因子必须大于0");
        }
        return redisTemplate.opsForValue().increment(key, -delta);
    }
​
    // ================================Map=================================
    /**
     * HashGet
     * 
     * @param key
     *            键 不能为null
     * @param item
     *            项 不能为null
     * @return 值
     */
    public Object hget(String key, String item) {
        return redisTemplate.opsForHash().get(key, item);
    }
​
    /**
     * 获取hashKey对应的所有键值
     * 
     * @param key
     *            键
     * @return 对应的多个键值
     */
    public Map<Object, Object> hmget(String key) {
        return redisTemplate.opsForHash().entries(key);
    }
​
    /**
     * HashSet
     * 
     * @param key
     *            键
     * @param map
     *            对应多个键值
     * @return true 成功 false 失败
     */
    public boolean hmset(String key, Map<String, Object> map) {
        try {
            redisTemplate.opsForHash().putAll(key, map);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * HashSet 并设置时间
     * 
     * @param key
     *            键
     * @param map
     *            对应多个键值
     * @param time
     *            时间(秒)
     * @return true成功 false失败
     */
    public boolean hmset(String key, Map<String, Object> map, long time) {
        try {
            redisTemplate.opsForHash().putAll(key, map);
            if (time > 0) {
                expire(key, time);
            }
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 向一张hash表中放入数据,如果不存在将创建
     * 
     * @param key
     *            键
     * @param item
     *            项
     * @param value
     *            值
     * @return true 成功 false失败
     */
    public boolean hset(String key, String item, Object value) {
        try {
            redisTemplate.opsForHash().put(key, item, value);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 向一张hash表中放入数据,如果不存在将创建
     * 
     * @param key
     *            键
     * @param item
     *            项
     * @param value
     *            值
     * @param time
     *            时间(秒) 注意:如果已存在的hash表有时间,这里将会替换原有的时间
     * @return true 成功 false失败
     */
    public boolean hset(String key, String item, Object value, long time) {
        try {
            redisTemplate.opsForHash().put(key, item, value);
            if (time > 0) {
                expire(key, time);
            }
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 删除hash表中的值
     * 
     * @param key
     *            键 不能为null
     * @param item
     *            项 可以使多个 不能为null
     */
    public void hdel(String key, Object... item) {
        redisTemplate.opsForHash().delete(key, item);
    }
​
    /**
     * 判断hash表中是否有该项的值
     * 
     * @param key
     *            键 不能为null
     * @param item
     *            项 不能为null
     * @return true 存在 false不存在
     */
    public boolean hHasKey(String key, String item) {
        return redisTemplate.opsForHash().hasKey(key, item);
    }
​
    /**
     * hash递增 如果不存在,就会创建一个 并把新增后的值返回
     * 
     * @param key
     *            键
     * @param item
     *            项
     * @param by
     *            要增加几(大于0)
     * @return
     */
    public double hincr(String key, String item, double by) {
        return redisTemplate.opsForHash().increment(key, item, by);
    }
​
    /**
     * hash递减
     * 
     * @param key
     *            键
     * @param item
     *            项
     * @param by
     *            要减少记(小于0)
     * @return
     */
    public double hdecr(String key, String item, double by) {
        return redisTemplate.opsForHash().increment(key, item, -by);
    }
​
    // ============================set=============================
    /**
     * 根据key获取Set中的所有值
     * 
     * @param key
     *            键
     * @return
     */
    public Set<Object> sGet(String key) {
        try {
            return redisTemplate.opsForSet().members(key);
        } catch (Exception e) {
            log.error(key, e);
            return null;
        }
    }
​
    /**
     * 根据value从一个set中查询,是否存在
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @return true 存在 false不存在
     */
    public boolean sHasKey(String key, Object value) {
        try {
            return redisTemplate.opsForSet().isMember(key, value);
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 将数据放入set缓存
     * 
     * @param key
     *            键
     * @param values
     *            值 可以是多个
     * @return 成功个数
     */
    public long sSet(String key, Object... values) {
        try {
            return redisTemplate.opsForSet().add(key, values);
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    /**
     * 将set数据放入缓存
     * 
     * @param key
     *            键
     * @param time
     *            时间(秒)
     * @param values
     *            值 可以是多个
     * @return 成功个数
     */
    public long sSetAndTime(String key, long time, Object... values) {
        try {
            Long count = redisTemplate.opsForSet().add(key, values);
            if (time > 0)
                expire(key, time);
            return count;
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    /**
     * 获取set缓存的长度
     * 
     * @param key
     *            键
     * @return
     */
    public long sGetSetSize(String key) {
        try {
            return redisTemplate.opsForSet().size(key);
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    /**
     * 移除值为value的
     * 
     * @param key
     *            键
     * @param values
     *            值 可以是多个
     * @return 移除的个数
     */
    public long setRemove(String key, Object... values) {
        try {
            Long count = redisTemplate.opsForSet().remove(key, values);
            return count;
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    // ============================zset=============================
    /**
     * 根据key获取Set中的所有值
     * 
     * @param key
     *            键
     * @return
     */
    public Set<Object> zSGet(String key) {
        try {
            return redisTemplate.opsForSet().members(key);
        } catch (Exception e) {
            log.error(key, e);
            return null;
        }
    }
​
    /**
     * 根据value从一个set中查询,是否存在
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @return true 存在 false不存在
     */
    public boolean zSHasKey(String key, Object value) {
        try {
            return redisTemplate.opsForSet().isMember(key, value);
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    public Boolean zSSet(String key, Object value, double score) {
        try {
            return redisTemplate.opsForZSet().add(key, value, 2);
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 将set数据放入缓存
     * 
     * @param key
     *            键
     * @param time
     *            时间(秒)
     * @param values
     *            值 可以是多个
     * @return 成功个数
     */
    public long zSSetAndTime(String key, long time, Object... values) {
        try {
            Long count = redisTemplate.opsForSet().add(key, values);
            if (time > 0)
                expire(key, time);
            return count;
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    /**
     * 获取set缓存的长度
     * 
     * @param key
     *            键
     * @return
     */
    public long zSGetSetSize(String key) {
        try {
            return redisTemplate.opsForSet().size(key);
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    /**
     * 移除值为value的
     * 
     * @param key
     *            键
     * @param values
     *            值 可以是多个
     * @return 移除的个数
     */
    public long zSetRemove(String key, Object... values) {
        try {
            Long count = redisTemplate.opsForSet().remove(key, values);
            return count;
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
    // ===============================list=================================
​
    /**
     * 获取list缓存的内容
     * 
     * @取出来的元素 总数 end-start+1
     * 
     * @param key
     *            键
     * @param start
     *            开始 0 是第一个元素
     * @param end
     *            结束 -1代表所有值
     * @return
     */
    public List<Object> lGet(String key, long start, long end) {
        try {
            return redisTemplate.opsForList().range(key, start, end);
        } catch (Exception e) {
            log.error(key, e);
            return null;
        }
    }
​
    /**
     * 获取list缓存的长度
     * 
     * @param key
     *            键
     * @return
     */
    public long lGetListSize(String key) {
        try {
            return redisTemplate.opsForList().size(key);
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
    /**
     * 通过索引 获取list中的值
     * 
     * @param key
     *            键
     * @param index
     *            索引 index>=0时, 0 表头,1 第二个元素,依次类推;index<0时,-1,表尾,-2倒数第二个元素,依次类推
     * @return
     */
    public Object lGetIndex(String key, long index) {
        try {
            return redisTemplate.opsForList().index(key, index);
        } catch (Exception e) {
            log.error(key, e);
            return null;
        }
    }
​
    /**
     * 将list放入缓存
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @return
     */
    public boolean lSet(String key, Object value) {
        try {
            redisTemplate.opsForList().rightPush(key, value);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 将list放入缓存
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @param time
     *            时间(秒)
     * @return
     */
    public boolean lSet(String key, Object value, long time) {
        try {
            redisTemplate.opsForList().rightPush(key, value);
            if (time > 0)
                expire(key, time);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 将list放入缓存
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @return
     */
    public boolean lSet(String key, List<Object> value) {
        try {
            redisTemplate.opsForList().rightPushAll(key, value);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 将list放入缓存
     * 
     * @param key
     *            键
     * @param value
     *            值
     * @param time
     *            时间(秒)
     * @return
     */
    public boolean lSet(String key, List<Object> value, long time) {
        try {
            redisTemplate.opsForList().rightPushAll(key, value);
            if (time > 0)
                expire(key, time);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 根据索引修改list中的某条数据
     * 
     * @param key
     *            键
     * @param index
     *            索引
     * @param value
     *            值
     * @return
     */
    public boolean lUpdateIndex(String key, long index, Object value) {
        try {
            redisTemplate.opsForList().set(key, index, value);
            return true;
        } catch (Exception e) {
            log.error(key, e);
            return false;
        }
    }
​
    /**
     * 移除N个值为value
     * 
     * @param key
     *            键
     * @param count
     *            移除多少个
     * @param value
     *            值
     * @return 移除的个数
     */
    public long lRemove(String key, long count, Object value) {
        try {
            Long remove = redisTemplate.opsForList().remove(key, count, value);
            return remove;
        } catch (Exception e) {
            log.error(key, e);
            return 0;
        }
    }
​
}

自定义LogoutSuccessHandler

@Component
public class CustomLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        // 这里可以实现记录日志的逻辑
        responseJsonWriter(response, Result.success("退出成功", null));
    }
​
    private static void responseJsonWriter(HttpServletResponse response, Result result) throws IOException {
        response.setStatus(HttpServletResponse.SC_OK);
        response.setCharacterEncoding("utf-8");
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        ObjectMapper objectMapper = new ObjectMapper();
        String resBody = objectMapper.writeValueAsString(result);
        PrintWriter printWriter = response.getWriter();
        printWriter.print(resBody);
        printWriter.flush();
        printWriter.close();
    }
}

配置自定义登出逻辑

// 配置自定义登出逻辑
.logout(logout -> logout
        .logoutUrl("/logout")
        .addLogoutHandler(logoutHandler)
        .logoutSuccessHandler(logoutSuccessHandler)
       )

完整代码

@Configuration
@EnableWebSecurity
public class SecurityConfig {
​
    @Autowired
    private JwtAuthenticationFilter jwtAuthenticationFilter;
​
    @Autowired
    private CustomUserDetailsService userDetailsService;
​
    @Autowired
    private AccessDeniedHandlerImpl accessDeniedHandler;
​
    @Autowired
    private AuthenticationEntryPointImpl authenticationEntryPoint;
​
    @Autowired
    private LogoutHandler logoutHandler;
​
    @Autowired
    private LogoutSuccessHandler logoutSuccessHandler;
​
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 登录与授权
        http
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(authz -> authz
                                   .requestMatchers("/login").permitAll() // 开放登录接口
                                   .requestMatchers("/admin/**").hasRole("ADMIN")
                                   .anyRequest().authenticated()
                                  )
            .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
            .userDetailsService(userDetailsService)
            .formLogin(form -> form.disable()) // 禁用默认表单
            // 配置自定义登出逻辑
            .logout(logout -> logout
                    .logoutUrl("/logout")
                    .addLogoutHandler(logoutHandler)
                    .logoutSuccessHandler(logoutSuccessHandler)
                   )
            // 自定义异常处理
            .exceptionHandling(e -> e
                               .authenticationEntryPoint(authenticationEntryPoint)
                               .accessDeniedHandler(accessDeniedHandler)
                              );
​
        return http.build();
    }
​
​
    @Bean
    public AuthenticationManager authenticationManager(
        UserDetailsService userDetailsService,
        PasswordEncoder passwordEncoder) {
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setUserDetailsService(userDetailsService);
        authenticationProvider.setPasswordEncoder(passwordEncoder);
​
        return new ProviderManager(authenticationProvider);
    }
​
​
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

这里用到其他组件在我前面的文章有提到过,有需要的可以去看下这篇文章

Springboot3+SpringSecurity+JWT+MySQL实现前后端分离的登录认证与授权-CSDN博客

保存token副本

完成了登出逻辑之后,我们还需要在登陆时保存一下token副本,以完成后续用户请求校验的及登出。

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, UserInfo> implements IUserService {
​
    @Autowired
    private AuthenticationManager authenticationManager;
​
    @Autowired
    private JwtTokenProvider jwtTokenProvider;
​
    @Autowired
    private RedisUtils redisUtils;
​
    @Override
    public String login(LoginDTO dto) {
        // 登录授权
        Authentication authenticate = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                        dto.getUsername(),
                        dto.getPassword()
                )
        );
        // 将登录用户信息交给SpringSecurity管理
        SecurityContextHolder.getContext().setAuthentication(authenticate);
        // 利用用户授权信息生成JWT令牌
        String token = jwtTokenProvider.generateToken(authenticate);
​
        // TODO 存储token
        String key = RedisKeyUtils.initKey(RedisKeyUtils.JWT, dto.getUsername());
        // 设置默认有效期为7天
        redisUtils.set(key,token,60*60*24*7);
​
        return token;
    }

使用postman测试

至此,我们就实现了SpringSecurity + JWT的登出逻辑。

总结

要实现token副本校验的登出逻辑,需要:

  1. 保存一份登陆时的token副本

  2. 实现LogoutHandler,在用户发出登出请求时清token副本

  3. 实现LogoutSuccessHandler,记录用户登出日志

  4. 在配置类中配置自定义的登出逻辑

附加:请求时校验token副本

// TODO 判断缓存中是否存在对应token
String key = RedisKeyUtils.initKey(RedisKeyUtils.JWT, username);
String tokenInCache = (String) redisUtils.get(key);
// 如果两个token不相同,则token无效
if (!tokenInCache.equals(token)){
    throw new RuntimeException("token已失效");
}

完整代码

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
​
    @Autowired
    private JwtTokenProvider jwtTokenProvider;
​
    @Autowired
    private UserDetailsService userDetailsService;
​
    @Autowired
    private RedisUtils redisUtils;
​
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
​
        // 从 request 获取 JWT token
        String token = getTokenFromRequest(request);
​
        // 校验 token
        if(StringUtils.hasText(token) && jwtTokenProvider.validateToken(token)){
​
            // 从 token 获取 username
            String username = jwtTokenProvider.getUsername(token);
​
            // TODO 判断缓存中是否存在对应token
            String key = RedisKeyUtils.initKey(RedisKeyUtils.JWT, username);
            String tokenInCache = (String) redisUtils.get(key);
            // 如果两个token不相同,则token无效
            if (!tokenInCache.equals(token)){
                throw new RuntimeException("token已失效");
            }
​
            // 加载与 token 关联的用户
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
​
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                userDetails,
                null,
                userDetails.getAuthorities()
            );
​
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
​
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
​
        }
​
        filterChain.doFilter(request, response);
    }
​
    private String getTokenFromRequest(HttpServletRequest request){
​
        String bearerToken = request.getHeader("Authorization");
​
        if(StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")){
            return bearerToken.substring(7, bearerToken.length());
        }
​
        return null;
    }
}

这个过滤器所处的生命周期和LogoutHandler以及LogoutSuccessHandler不同,如果执行了LogoutSuccessHandler,那么此次请求就已结束,该过滤器就不会执行。

LIPAH
关注
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2575
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定
jamesluozhiwei的博客
07-11 1万+
tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) 文章目录项目配置依赖application.yml程序代码security相关security核心配置类鉴权各种情况处理类无权访问用户未登录时返回给前端的数据用户登录失败时返回给前端的数据(本程序未使用)用户登录成功时返回给前端的数据登出成功JWT自定义过滤器SelfUserDetailsSe...
JWT入门以及常见的登录问题
热门推荐
霁晨晨晨的博客
05-31 4万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
JWT登出
一边工作一边考研
10-22 3554
场景: 用户在登录系统后,想要登出这个系统; JWT有一个过期时间, 但是token还没有失效,应该怎么实现JWT登出呢? 使用zuul+redis的方案来实现 第三方应用向网关发送请求获取token 网关把请求发送给授权服务器 授权服务器把token发给zuul zuul把token发送给第三方应用,并且把token存放在redis中 第三方应用再次访问资源服务器,此次携带了token,...
springboot+springsecurity+JWT
佛说"獨" 的博客
05-07 1195
springboot+springsecurity+JWT 目录结构: springbootApplication里面的配置,如有需要可以自行添加 实现JWT功能 在pom.xml中的配置 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" ...
springboot +springsecurity 跳转登录界面_SpringBoot整合SpringSecurity实现前后分离权限注解+JWT登录认证...
weixin_39621044的博客
01-07 787
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种...
从零玩转SpringSecurity+JWT整合前后端分离-从零玩转springsecurityjwt整合前后端分离...
杨不易呀
05-19 372
title: 从零玩转SpringSecurity+JWT整合前后端分离 date: 2021-05-06 14:56:57.699 updated: 2021-12-26 17:43:19.478 url: https://www.yby6.com/archives/从零玩转springsecurityjwt整合前后端分离 categories: - Java分类 tags: - Spri...
SpringSecurity实现登录功能(认证授权,统一异常处理)
m0_51701732的博客
06-02 1199
实际我们在开发过程中可能需要做很多的判断校验,如果出现了非法情况我们是期望响应对应的提示的。但是如果我们每次都自己手动去处理就会非常麻烦。我们可以选择直接抛出异常的方式,然后对异常进行统一处理。把异常中的信息封装成ResponseResult响应给前端。​ 目前我们的项目在认证出错或者权限不足的时候响应回来的Json是Security的异常处理结果。但是这个响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理。​ AuthenticationEntryPoint 认证失败处理器。
JWT登出问题
Leon_Jinhai_Sun的博客
05-31 1462
Jwt 使用起来不难,而且让我们将“无状态”的概念更贴切的展示出来了,但是实践就真的这么完美吗?不是,因为jwt登出问题。 何为登出:就是用户自己点击登出后,或用户的角色/权限改变后,该token 仍然是有效的。你可以选择在前端清除该token,但是,如果用户是有技术背景的黑客呢?之前的token他保存一边,在没有过期(时间过期)时,他仍然可以使用该token。 解决方案: 登出怎么做?聪明的你是否有答案吗? 就是删除该用户存储在redis 里面登录的token 数据,so easy 。
Jwt登录退出
10000guo的博客
06-09 1865
【代码】Jwt登录退出。
SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 2644
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
Spring Security+redis+jwt的简单使用(登入登出及token验证)
weixin_65247941的博客
09-22 2666
​ 自定义的登入接口放行@Autowired//创建BCryptPasswordEncoder 注入容器@Bean //注入IOC容器@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证//把token校验过滤器添加到过滤器链中http@Override@Bean//用户认证后的封装@Autowired。
Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 2814
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
JWT 的退出登录方法
纠缠AI的亮子
10-29 1万+
JWT 登录之后,服务器发放 token。在到期时间之前,token 一直有效,那么如何才能实现用户登出(让 token 失效)? 黑名单校验 凡是退出登录的token都放入黑名单中,定期清理。 每次用户请求服务器都校验token是否在黑名单 版本号校验 访问时从token中取出版本号和用户id 和 redis中存储 用户id和版本号 做对比,不一致则不给访问。 用户登出的时候在redis中把用户版本号加一。 过期时间校验 登录时token附带创建时间。访问时校验redis存储的过期时间,如果创建时间大于过
JWT(JSON Web Token)原理简介
u014545085的博客
07-26 401
原理说的非常清楚。总结如下: 首先这个先说这个东西是什么,干什么用的,一句话说:就是这是一种认证机制,让后台知道请求是来自于受信的客户端。 那么从这个角度而言,这个东西跟浏览器的cookie是一个作用,好比我在一个网站登录了,就可以往这个网站发送restful请求,请求的同时会捎带上cookie,后台检查这个cookie发现你是合法的,才响应你的请求。 只不过这里JWT的原理不同,但基本上最顶层的原理还是非常简单: 这个图中有三个主体: user, application server和auth
处理用户登出并设置Token失效
最新发布
weixin_73060959的博客
08-15 1693
Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出时,确保Token失效是非常重要的,以防止未授权访问。
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 3220
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
JWT身份认证优缺点分析以及常见问题解决方案
weixin_41924879的博客
10-20 1290
JWT身份认证优缺点分析以及常见问题解决方案 Token 认证的优势 相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面四个优势: 1.无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后...
如何使用jwt 完成注销(退出登录)功能
weixin_39813433的博客
01-03 1万+
原文 神奇的 JSON Web Tokens(JWT) JSON Web Tokens (JWT) 是一种无状态处理用户身份验证的方法。 什么意思? JWT帮助建立认证机制而不将身份验证状态存储在任何存储中,无论是会话内存还是数据库,因此, 当检查用户的身份验证状态时,不需要访问会话内存或执行数据库查询。相反, 根据你选择的用户payload生成token 并在客户端的请求中使用它来标识服务器上的用户 ???? 因此,基本上,每当创建token时,就可以永远使用它,或者直到它过期为止。 JWT生成器可以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值