slipperySoap 2022-03-13 01:11 采纳率: 88.9%
浏览 58
已结题

SpringSecurity框架的多个签名的JWT线程安全问题如何解决?

问题遇到的现象和发生背景

为了实现JWT的单点退出,我预计将每个用户名对应一个签名,一个用户名对应的一个私钥,当退出后,私钥随机改变
但是SpringSecurity框架配置JWT的签名的时候需要实例化JwtAccessTokenConverter到SpringIOC容器中,让框架自己去配置,而JwtAccessTokenConverter的密钥设置setSigningKey会导致它成为一个状态量,也就会发生线程安全问题,因为Spring容器默认是单例的

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
        // accessTokenConverter.setSigningKey("123");
        return accessTokenConverter;
    }

将密钥配置放在UserDetailService中

    @Resource
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // ...业务code
        // 每个用户对应一个密钥
        jwtAccessTokenConverter.setSigningKey("...");

        return ssUser;
    }

想了多例,不可取,因为从IOC工厂中拿,只能拿最新的,不能确保是当前线程的
想了ThreadLocal,但是要整合SpringSecurity框架,必须实例化进IOC容器
抛弃SpringSecurity框架,自己写个工具类去实现是可以的,但是功能会欠缺很多,还是想整合一下
求好的解决办法~

  • 写回答

1条回答 默认 最新

  • a1767028198 2022-03-13 09:46
    关注

    你可以自己继承convertee,改写这一部分的逻辑,将数据存到threadlocal中,取数据也从threadlocal中来,但是吧,你改造的的地方可不少,像人家不走退出,直接关闭浏览器的情况,怎么避免内存泄露

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论 编辑记录

报告相同问题?

问题事件

  • 系统已结题 3月28日
  • 已采纳回答 3月20日
  • 创建了问题 3月13日

悬赏问题

  • ¥15 h3.6m 人类行为预测论文复现
  • ¥50 wordpress项目注册报失败刷新后其实是成功状态,请求排查原因
  • ¥20 linxu服务器僵尸进程不释放,代码如何修改?
  • ¥15 pycharm激活不成功
  • ¥40 如果update 一个列名为参数的value
  • ¥15 基于51单片机的水位检测系统设计中LCD1602一直不显示
  • ¥15 OCS2安装出现问题,请大家给点意见
  • ¥15 ros小车启动launch文件报错
  • ¥15 vs2015到期想登陆但是登陆不上
  • ¥15 IPQ5018制作烧录固件,boot运行失败(操作系统-linux)(相关搜索:操作系统)(相关搜索:操作系统)