【SpringSecurity】十二、集成JWT搭配Redis实现退出登录

1、登出的实现思路

这是目前的token实现图：

因为JWT的无状态，服务端无法在使用过程中主动废止某个 token，或者更改 token 的权限。也就是说，目前，一旦 JWT 签发了，就只能等它到过期时间才能作废，即使用户已经退出登录。想实现登出，可以引入Redis：

此时，关于token的校验逻辑就变成了：

总结就是：

①　登陆成功之后把生成JWT存到redis中(同时设置key的TTL和JWT自身过期时间一样)
②　用户退出时，从redis中删除该token
③　用户每次访问时，先校验jwt是否合法，如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在，如果不存在就说是用户已经退出登录了

2、集成Redis

引入redis的依赖：

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-data-redisartifactId>
dependency>

1
2
3
4
5

配置连接信息：

spring:
  redis:
    host: localhost
    port: 6379
    database: 0
    password: 666666

1
2
3
4
5
6
7

注入redis操作对象的依赖：

@Resource
private StringRedisTemplate stringRedisTemplate;

1
2
3

（PS：我们没有创建RedisTemplate对象对应的bean，但这个bean却在我们引入依赖后自动加入到了Spring容器中，即自动装配。）

3、认证成功处理器

修改前一节的认证成功处理器，在向客户端发放token的同时存入redis，key的过期时间和token自身过期时间一致。

...

@Resource
private StringRedisTemplate stringRedisTemplate;
....
stringRedisTemplate.opsForValue()
	.set("logintoken:"+token,objectMapper.writeValueAsString(authentication),30, TimeUnit.MINUTES);

1
2
3
4
5
6
7
8

我这里key设置成了字符串logintoken:后跟token值，value则直接序列化认证对象authentication。

注意过期时间和jwt的过期时间保持一致，jwt过期时间可查看下创建jwt时的withExpiresAt方法。

4、退出成功处理器

添加退出成功处理器，退出后清除redis里存的token：

/**
 * 退出成功处理器，用户退出成功后，执行此处理器
 */
@Component
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
    //使用此工具类的对象进行序列化操作
    @Resource
    private ObjectMapper objectMapper;
    @Resource
    private StringRedisTemplate stringRedisTemplate;
    
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        //从请求头中获取Authorization信息
        String authorization = request.getHeader("Authorization");
        //如果授权信息为空，返回前端
        if(null==authorization){
            response.setCharacterEncoding("UTF-8");
            response.setContentType("application/json;charset=utf-8");
            HttpResult httpResult=HttpResult.builder().code(-1).msg("token不能为空").build();
            PrintWriter writer = response.getWriter();
            writer.write(objectMapper.writeValueAsString(httpResult));
            writer.flush();
            return;
        }
        //如果Authorization信息不为空，去掉头部的Bearer字符串
        String token = authorization.replace("Bearer ", "");
        //redis中删除token，这是关键点
        stringRedisTemplate.delete("logintoken:"+token);
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json;charset=utf-8");
        HttpResult httpResult=HttpResult.builder().code(200).msg("退出成功").build();
        PrintWriter writer = response.getWriter();
        writer.write(objectMapper.writeValueAsString(httpResult));
        writer.flush();
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

在安全配置类中配置用户成功退出处理器：

@Resource
private MyLogoutSuccessHandler myLogoutSuccessHandler;

....
http.logout().logoutSuccessHandler(myLogoutSuccessHandler);
http.csrf().disable(); //禁用跨域请求保护 要不然logout不能访问

1
2
3
4
5
6
7

5、修改token校验过滤器

修改上一节的token校验器JWTCheckFilter，不再只校验token的合法性，合法时，还要校验服务端redis中是否有相应数据，以判断是否已经登出。

@Resource
private StringRedisTemplate stringRedisTemplate;

//从redis中获取token
String tokenInRedis = stringRedisTemplate.opsForValue().get("logintoken:" + jwtToken);
if(!StringUtils.hasText(tokenInRedis)){
    printFront(response, "用户已退出，请重新登录");
    return;
}

1
2
3
4
5
6
7
8
9
10

完整：

6、调试

登录下先：

得到token：

此时，服务端redis：

登出时，token为空：

登出时，token错误：

正常登出：

此时，拿登出的token再请求接口：