Spring Security(13)——session管理

最新推荐文章于 2024-09-28 12:40:41 发布
最新推荐文章于 2024-09-28 12:40:41 发布
阅读量8.4k 收藏 1
点赞数 1
分类专栏: Spring Security Spring Security简介 文章标签: Spring Security session管理 个人在线数控制 concurrency-control session-management
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elim168/article/details/72953320
版权
这篇博客详细介绍了Spring Security在session管理方面的功能,包括检测session超时、并发控制和session固定攻击保护。通过配置<security:session-management>元素,可以实现超时重定向、限制同一用户并发登录及防范session固定攻击。对于session超时,可以通过invalid-session-url属性指定重定向页面。在并发控制中,通过max-sessions属性限制并发会话数量,并通过error-if-maximum-exceeded决定超出限制时的行为。同时,文章还讨论了session固定攻击的防护策略,包括migrateSession、none和newSession三种模式。
摘要由CSDN通过智能技术生成

 

       Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。

 

1.1     检测session超时

       Spring Security可以在用户使用已经超时的sessionId进行请求时将用户引导到指定的页面。这个可以通过如下配置来实现。

   <security:http>

      ...

      <!-- session管理,invalid-session-url指定使用已经超时的sessionId进行请求需要重定向的页面 -->

      <security:session-management invalid-session-url="/session_timeout.jsp"/>

      ...

   </security:http>

 

       需要注意的是session超时的重定向页面应当是不需要认证的,否则再重定向到session超时页面时会直接转到用户登录页面。此外如果你使用这种方式来检测session超时,当你退出了登录,然后在没有关闭浏览器的情况下又重新进行了登录,Spring Security可能会错误的报告session已经超时。这是因为即使你已经退出登录了,但当你设置session无效时,对应保存session信息的cookie并没有被清除,等下次请求时还是会使用之前的sessionId进行请求。解决办法是显示的定义用户在退出登录时删除对应的保存session信息的cookie。

   <security:http>

      ...

      <!-- 退出登录时删除session对应的cookie -->

      <security:logout delete-cookies="JSESSIONID"/>

      ...

   </security:http>

       此外,Spring Security并不保证这对所有的Servlet容器都有效,到底在你的容器上有没有效,需要你自己进行实验。

 

最低0.47元/天 解锁文章
elim168
关注
专栏目录
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 2797
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)
qq_51553982的博客
07-30 668
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求是来自用户的某个浏览器,但是无法确保这请求是用户授权发送。当前端请求到达后,将请求携带的CSRF令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该HTTP请求。将CSRF放入到cookie中,在清求时获取cookie中的CSRF令牌一并提交即可,其实最直接的实现方式是设置到header中即可,这样是否方便,反正每次令牌都会变化即使你的请求被获取也不会有这样的问题。......
spring security之会话管理
xkshihaoren的博客
12-03 870
1.会话固定攻击 会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造...
Spring Security——session管理
weixin_33921089的博客
05-05 312
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security - Session 管理
Flying_Fish_roe的博客
09-28 830
如果需要实现复杂的会话策略,可以实现@Override// 自定义逻辑Spring Security 的会话管理功能为现代 Web 应用程序提供了强大的会话控制和安全保护能力。从基本的会话创建策略、会话固定保护,到高级的并发会话控制和分布式会话管理Spring Security 通过灵活的配置选项和扩展能力,帮助开发者打造更安全、更可靠的应用程序。无论是构建单体应用还是分布式微服务架构,Spring Security 的会话管理都能提供丰富的功能来满足不同的需求,是保障应用安全性的重要一环。
spring-security学习笔记--配置文件
xyzroundo的专栏
01-06 455
来源:http://blog.sina.com.cn/s/blog_7c3328d701013fct.html xml version="1.0" encoding="UTF-8"?> beans xmlns="http://www.springframework.org/schema/beans"     xmlns:sec="http://www.springframework.org/
SpringSecurity(六):Session(集群)管理和Logout
MJ丶的博客
10-30 2297
Security的用户认证信息默认是存储在session中的,对于session过期的时间,springboot的里默认的是30分钟。 当然也可以自己设置: application.yml: server: session: timeout: 7200 #最少是一分钟,就算比一分钟少也会默认转成一分钟,如果不设置默认为30分钟 securitysession管理
Spring SecuritySession管理
Evan_L的博客
04-21 2115
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+据库】
02-16
我们将基于给定的标签——SpringBoot、SpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
【完整源码+据库】 SpringBoot集成Spring Security登录管理 添加 session 共享
最新发布
11-05
我们将基于给定的标签——SpringBoot、SpringSecurity、mysql、session共享和idea来构建一个完整的示例。 SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置的...
Spring SecuritySession Management
01-06 791
     Spring  Security为我们提供了SessionAuthenticationStrategy接口来定制针对Session的一些特殊管理,如防Session的固定攻击, 防Session的单用户多次登陆等, 这些特殊的管理功能Spring Security都为我们提供了相应的类,如下示:       1. SessionFixationProtectionStrategy,...
SpringSecurity 3配置文件
03-19
NULL 博文链接:https://zhaobohao.iteye.com/blog/701238
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
Spring security 配置文件(自用)
qq_42458198的博客
10-31 1271
Spring security 配置文件(自用) Maven 坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEA
SpringSecurity (七)session管理(会话管理
weixin_43189971的博客
07-19 1366
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理Session销毁监听器......
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 4841
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
SpringSecurity Session管理
Curtisjia的博客
10-31 336
目录Session管理Session超时设置Session并发控制 Session管理 Session超时设置 Session超时时间也就是用户登录的有效时间。要设置Session超时时间很简单,只需要在配置文件中添加: server: servlet: session: timeout: 60 #1分钟 Session的最小有效期为60秒,也就是说即使你设置为小于60秒的值,其有效期还是为60秒 在Spring Security中配置Session管理器,并配置Session失效
spring security session-management
李永
03-23 1547
1、在配置文件中增加 一个listen &lt;listener&gt; &lt;listener-class&gt;org.springframework.web.context.ContextLoaderListener&lt;/listener-class&gt; &lt;/listener&gt;  2、FilterChainProxy 增加 ConcurrentSessi...
Spring Security Session管理
weixin_38927257的博客
11-20 862
文章目录session超时处理demo的application中加入超时配置Spring Boot 2中缺少TomcatEmbeddedServletContainerFactory(TomcatEmbeddedServletContainerFactory is missing in Spring Boot 2)看TomcatServletWebServerFactory类超时页面提醒Brows...
Spring Security 3.0.1 中文文档:修复与指南
- 获得Spring Security:可以通过Maven或Gradle等依赖管理工具添加到项目中,也可以从官方网站获取源代码。 2. **项目模块** - Spring Security的核心模块包括: - **Core** (spring-security-core.jar):提供...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值