问题遇到的现象和发生背景
为了实现JWT的单点退出,我预计将每个用户名对应一个签名,一个用户名对应的一个私钥,当退出后,私钥随机改变
但是SpringSecurity框架配置JWT的签名的时候需要实例化JwtAccessTokenConverter到SpringIOC容器中,让框架自己去配置,而JwtAccessTokenConverter的密钥设置setSigningKey会导致它成为一个状态量,也就会发生线程安全问题,因为Spring容器默认是单例的
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
// accessTokenConverter.setSigningKey("123");
return accessTokenConverter;
}
将密钥配置放在UserDetailService中
@Resource
private JwtAccessTokenConverter jwtAccessTokenConverter;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// ...业务code
// 每个用户对应一个密钥
jwtAccessTokenConverter.setSigningKey("...");
return ssUser;
}
想了多例,不可取,因为从IOC工厂中拿,只能拿最新的,不能确保是当前线程的
想了ThreadLocal,但是要整合SpringSecurity框架,必须实例化进IOC容器
抛弃SpringSecurity框架,自己写个工具类去实现是可以的,但是功能会欠缺很多,还是想整合一下
求好的解决办法~