最近有个粉丝提了个问题，中利置说他在Spring Security中用JWT做退出登录的退出时无法获取当前用户，导致无法证明“我就是登录大部都写要退出的那个我”，业务失败!经过我一番排查找到了原因，分人而且这个错误包括我自己的错配大部分人都犯过。

Session会话

之所以要说Session会话，中利置是退出因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。登录大部都写只要Session保持住，分人你的错配请求只要进入服务器就可以从ServletRequest中获取到当前的HttpSession，然后会根据HttpSession来加载当前的中利置SecurityContext。亿华云相关的退出逻辑在Spring Security默认的过滤器SecurityContextPersistenceFilter中，有兴趣可以看相关的登录大部都写源码。

而且默认情况下SecurityContextPersistenceFilter的分人优先级是高于退出过滤器LogoutFilter的，所以能够保证有Session会话的错配情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现JwtAuthenticationFilter，相关逻辑为：

// 当token匹配            if (jwtToken.equals(accessToken)) {           // 解析 权限集合  这里        JSONArray jsonArray = jsonObject.getJSONArray("roles");        List<String> roles = jsonArray.toList(String.class);        String[] roleArr = roles.toArray(new String[0]);        List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);        User user = new User(username, "[PROTECTED]", authorities);        // 构建用户认证token        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));        // 放入安全上下文中        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);    } else {         // token 不匹配        if (log.isDebugEnabled()){             log.debug("token : { }  is  not in matched", jwtToken);        }        throw new BadCredentialsException("token is not matched");    } 

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。云服务器提供商来看看为什么用JWT会出现无法获取当前认证信息的原因。在HttpSecurity中，那位同学是这样配置JwtAuthenticationFilter的顺序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) 

我们再看看Spring Security过滤器排序图：

Spring Security过滤器排序

也就说LogoutFilter执行退出的时候，JWT还没有被JwtAuthenticationFilter拦截，当然无法获取当前认证上下文SecurityContext。

解决方法

解决方法就是必须在LogoutFilter执行前去解析JWT并将成功认证的信息存到SecurityContext。我们可以这样配置：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)

这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了。

本文转载自微信公众号「码农小胖哥」，可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。