SpringBoot 结合 SpringSecurity 对于用户 登陆 和 登出 的设计思考

SpringBoot 结合 SpringSecurity 对于用户登陆和登出的设计

前题：最近自己在做一个项目，之前在网上看到或者学的基本都是使用Redis+Token来实现的安全检查机制。但是，后来在实际的开发中发现这确实是最普遍的基础做法，但是也没人说在实际的工作中是不这样的啊。首先就是一个安全的问题，重中之重。

JWT + Redis ？

JWT用来生成Token，然后在用户登陆后返回token存在Redis里。前端也要本地储存Token，对于其他API的调用就要每次用token进行验证。

• 首先， JWT + Redis 这两者结合起来就是不太对的，我们之所以使用Token就是因为其的无状态性stateless，尤其是在当前的分布式系统中非常的重要。
• 其次，就是JWT之所火也是因为其适合分布式的系统，不用在后端储存任何的信息。因此我们这里再结合Redis其实就不符合JWT的设计了。
• 再来，直接把Token返回给前端，前端对于Token的操作是不安全的。前端得到Token后可能需要保存到本地的localStorage，这直接的就导致了Token被恶意获取获取修改，比如常见的XSS攻击等。
• 最后，这种方式需要在每次前端发起请求的时候都要手动的携带上Token也极其的不方便。

JWT + Cookie？

这里是我在GPT老师的帮助下获取的方式，应该算是比较安全和普遍的了。

1. JWT 正常生成Token，但是在用户成功登陆后后端不直接把Token显示的返回给前端。
2. 可以通过利用HttpOnly 和 Secure 来保证Token的安全，就是在登陆成功后把Token通过这样的形式以Cookie的方式返回给前端。这样一来前端就不需要对Token进行任何额外的处理了。
3. Cookie保存到本地的方式还可以再每次向其他API发起请求时自动的携带上Cookie token到后端，不用前端人员每次手动的操作。

但是这里面还有许多需要注意的点：

• 比如前后端分离的要配置跨域访问CORS，允许凭证等。

@Configuration
public class CorsConfig implements WebMvcConfigurer {@Beanpublic WebMvcConfigurer corsConfigurer() {return new WebMvcConfigurer() {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/**").allowedOrigins("http://localhost:3000").allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS").allowedHeaders("*").allowCredentials(true); // 这里一定要true}};}
}

• 如果自己写了JWT Filter 还需要后端每次得到请求要解析下cookie获取token。

public String extractTokenFromCookies(HttpServletRequest request) {Cookie[] cookies = request.getCookies();if (cookies != null) {for (Cookie cookie : cookies) {if (cookie.getName().equals("httpOnlyToken")) {return cookie.getValue(); // Return the token from the cookie}}}return null; // Return null if the token is not found
}

• 前端也要写好每次请求携带凭证。

// 我这里是React的例子import axios from 'axios';// 创建一个 axios 实例
const axiosInstance = axios.create({baseURL: 'http://localhost:8080',withCredentials: true,  // 允许携带 cookieheaders: {'Content-Type': 'application/json',}
});

Login 部分的代码

@Override
public ResponseEntity<Result> login(User user, HttpServletResponse response) {// use SpringSecurity's AuthenticationManager to authenticate the userAuthentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));//pass the authenticationif (authentication.isAuthenticated()){LoginUser loginUser = (LoginUser) authentication.getPrincipal();// user infoMap<String, Object> userInfo = new HashMap<>();userInfo.put("roles", loginUser.getRoles());userInfo.put("username", loginUser.getUser().getUsername());userInfo.put("email", loginUser.getUser().getEmail());userInfo.put("permissions", loginUser.getPermissions());userInfo.put("userId", loginUser.getUser().getId());// Generate a tokenString token = jwtUtil.generateToken(userInfo);// 将 token 设置为 HttpOnly 和 Secure CookieCookie jwtCookie = new Cookie("httpOnlyToken", token);jwtCookie.setHttpOnly(true); // 设置 HttpOnly 防止 XSS 攻击jwtCookie.setSecure(true); // 设置 Secure 确保只在 HTTPS 中传输jwtCookie.setMaxAge(24 * 60 * 60); // 设置有效期为 1 天（单位：秒）jwtCookie.setPath("/"); // 适用于整个应用
//            jwtCookie.setDomain("localhost"); // 这个应该是你的域名，只有在这个域名下才能访问到这个 cookieresponse.addCookie(jwtCookie); // 将 cookie 添加到响应中// return the token and user info to the client// for stateless authentication, the server does not need to store the tokenMap<String, Object> responseData = new HashMap<>();responseData.put("user", userInfo);responseData.put("message", "Login successful");return ResponseEntity.ok(Result.success(responseData));}else {// If the authentication fails, return an error messagereturn ResponseEntity.status(403).body(Result.error(403,"Password or Username is incorrect"));}}

9.22 更新

今天又发现好像token里面不应该存太多的用户信息？

• 首先，是因会加大网络传输的载体体积，正常cookie会变得很大。
• 其次，还是处于安全因素的考虑。应该尽可能少的在Token里面放数据，比如只放用户id或者用户权限。

JwtFilter过滤器

之前的在用户登陆的时候返回的token包括了很多的用户信息，但是好像有点不安全。于是在之前的基础上又改进了下：

• 返回仅包包含用户id的token
• 在jtw过滤器里面：
  • 用户首次登陆的时候查询数据库加载用户的最新信息到springcontext里。
  • 但是，有个问题因为所有的API请求都要首先第一个经过JWTFilter的过滤，因此每次也就会涉及数据库的操作。这显然是不行的I/O消耗太高。因此就就引入了缓存Cache，第一次用户登陆后缓存用户信息到Redis里，设置过期时间，清除缓存等。这里就不细讲了，准备在spring专题下重写一篇文章。

Logout

既然都有login那必须要有logout，这里需要注意的就是Logout要记得清除Cookie 通过response。

@Override
public ResponseEntity<Result> logout(HttpServletRequest request, HttpServletResponse response) {// Extract token using utility methodString token = jwtUtil.extractTokenFromCookies(request);if (token != null) {// 让cookie实效！Cookie cookie = new Cookie("httpOnlyToken", null);cookie.setHttpOnly(true);cookie.setSecure(true);cookie.setPath("/");cookie.setMaxAge(0);response.addCookie(cookie);return ResponseEntity.ok(Result.success("Logout successful"));} else {return ResponseEntity.status(HttpStatus.BAD_REQUEST).body(Result.error(400, "Token not found in cookies"));}}

总结：

这也是我个人在做项目时的思考和经验，希望对大家有所帮助！如有不对或者值得改进的地方希望有大佬也可以指出来，让我多学些学习。

最后，我项目的代码在 GitHub 上有兴趣的朋友可以去看看完整的代码逻辑。