springboot + security 自定义session过期处理方式

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量2.3w 收藏 16
点赞数 3
分类专栏: springboot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mushuntaosama/article/details/78909374
版权
本文探讨了在SpringBoot集成Security时,如何处理Session过期的问题。默认的Session过期策略可能会导致不理想的结果,因此需要自定义策略。通过重写`onExpiredSessionDetected`方法并在`SessionManagementConfigurer`中配置,可以实现期望的Session过期行为。特别注意设置contentType以避免编码问题,否则可能导致中文乱码。
摘要由CSDN通过智能技术生成

security校验session校验是在ConcurrentSessionFilter,在doFilter方法里可以看到如果session过期会执行方法

this.doLogout(request, response);
this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));

先做退出操作,在执行session过期策略,这个策略的初始化是在SessionManagementConfigurer.getExpiredSessionStrategy

SessionInformationExpiredStrategy getExpiredSessionStrategy() {
    if(this.expiredSessionStrategy != null) {
      return this.expiredSessionStrategy;
    } else if(this.expiredUrl == null) {
      return null;
    } else {
      if(this.expiredSessionStrategy == null) {
        this.expiredSessionStrategy = new SimpleRedirectSessionInformationExpiredStrategy(this.expiredUrl);
      }

      return this.expiredSessionStrategy;
    }
  }

所以如果你没有设置默认的策略和expiredU

最低0.47元/天 解锁文章
米兰的老油条
关注
专栏目录
ajax 调用后台 session 过期问题(Spring security
Richard_Melody的专栏
05-24 2402
最近在项目中用到了Ajax刷新
Spring Security(七)会话过期
core815的专栏
10-09 1196
1.会话过期跳转到某个URL .sessionManagement().invalidSessionUrl("/session/invalid"); 2.完全自定义过期策略 package com.zit.springsecurity.configuration; import org.springframework.security.web.session.InvalidSessio...
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1763
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
Spring security实现指定用户session过期
犁叔的博客
06-10 9661
在用户多角色的系统中,对用户的角色进行更新,完成更新后应让用户重新登录系统,否则用户将继续拥有被删除角色的权限或者对新增的角色依旧没有权限。Spring Security能通过是指定用户的session过期,从而很好的实现这一功能。 OK直接上代码: public class UserService { @Autowired private SessionRegistry session
Spring Boot+SpringSecurity Session超时处理
热门推荐
【欢迎关注公众号:冬瓜白】
07-15 2万+
Session超时处理首先要设置Session超时时间。查看Spring Boot2.0官网文档,可以看到设置Session超时时间还是很简单的:在yml文件中:设置为10秒:简单测试一下,看是不是有效果:系统登陆成功后,访问一个Controller:...
整合JPA、Redis实现分布式的Session共享
qianfeng_dashuju的博客
09-23 188
一.SpringBoot整合JPA、Redis实现分布式的Session共享 1. 创建web项目 我们按照之前的经验,创建一个web程序,并将之改造成Spring Boot项目,具体过程略。 2.添加依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jp
判断session是否过期
ch717828的专栏
01-25 1711
判断session是否过期 ,做项目时发现 session.getLastAccessedTime() 抛出异常,session过期但还是调用了该方法
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7845
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定
jamesluozhiwei的博客
07-11 1万+
tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) 文章目录项目配置依赖application.yml程序代码security相关security核心配置类鉴权各种情况处理类无权访问用户未登录时返回给前端的数据用户登录失败时返回给前端的数据(本程序未使用)用户登录成功时返回给前端的数据登出成功JWT自定义过滤器SelfUserDetailsSe...
springboot+springsecurity+jwt
weixin_43213137的博客
03-03 382
什么是JWT——What is JSON Web Token? 首先JWT全称是JSON Web Token,它是根据开放标准RFC7519所定义的一个紧凑和独立的在各方安全的传输信息的JSON格式对象。它所传递的信息能够被验证和信任,因为它是数字签证。 以上是官方解释,大白话就是它是来做安全认证的,客户端和服务端的身份认证,可以通过JSON Web Token来做,当然使用springsecur...
详解SpringBootSession超时原理说明
08-29
本篇文章主要介绍了详解SpringBootSession超时原理说明,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot 拦截器拦截/Filter 过滤session案例
06-28
本案例中 使用maven 搭建spring boot 基本案例 其中实现了 用户登录功能,实现Filter 和 拦截器两种方式 来过滤session登录,后续会使用token方式,请大家关注
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
Spring Boot中,可以通过自定义过滤器CORSFilter来处理跨域请求。在给出的示例代码中,创建了一个名为CORSFilter的过滤器,该过滤器拦截所有URL("/*")。它获取请求头中的"Origin"字段,设置响应头"Access-...
Spring boot + thymeleaf + Security会话过期返回登录界面片段之解决方案
sun1021873926的博客
12-18 5286
解决方案的主导思想是:检测当会话过期时,判断是否为ajax请求,若是ajax请求,则将该url请求结果的状态置为401,并且不保存此次访问请求的url,当前端检测到访问结果为401时,跳转至登录界面,用户可顺利进行账户密码的输入并完成登录。 在此主导思想下将会遇到以下几个问题: 1.前端ajax请求完成后的统一处理问题; 2.后端会话过期的检测问题; 3.对封装后的ajax进行请求完成后的统一处理问题; 4.对临时添加的界面元素执行ajax请求的统一处理问题; 5.在spring boot框架下
springboot+thymeleaf基于全局异常处理实现session过期处理
weixin_43401380的博客
06-01 1372
最近的新搞的系统中需要添加session过期处理,这里没有使用继承HandlerInterceptor自定义拦截器的方式,采用了一种简单的方式进行处理.在此记录一下. 页面中有从session中获取用户对象信息的地方:${session.user.userName},如果session过期或是服务器非正常关闭,都会导致页面报错关于thymeleaf相关的userName不能为null的错误.此异常全局异常处理类可以捕获,指定跳转到公共错误页面,点击回到首页进入到首页的逻辑中,在设置登陆首页的地方判断了se
springboot项目设置session过期时间
web18334137065的博客
08-30 1171
Duration转换字符串方式,默认为正,负以-开头,紧接着P,(字母不区分大小写)D :天 T:天和小时之间的分隔符 H :小时 M:分钟 S:秒 每个单位都必须是数字,且时分秒顺序不能乱。例如PT10M,就是设置为10分钟,下面这种方式是设置1小时的。//设置session一小时后失效。这里我们只介绍springboot2.0(2.0.3)的session时间设置。错误的设置是下面这种方式,这种是不起效果的。...
SpringSecuritysession管理
拒绝熬夜啊的博客
11-30 4435
文章目录SpringSecuritysession管理1 Session超时2 限制最大登录数3 踢出用户4 退出登录5 Session 共享 SpringSecuritysession管理 1 Session超时 当用户登录后,我们可以设置 session 的超时时间,当达到超时时间后,自动将用户退出登录。 Session 超时的配置是 SpringBoot 原生支持的,我们只需要在 application.properties 配置文件中配置: server: servlet: sess
spring security中ajax超时处理
huan的学习记录
02-08 527
可能就会面临session超时,ajax去访问后台的操作。或用户ajax匿名去访问一个受限的操作,此时应该如何进行处理。    面对以上可能发生的2中情况,我们可能希望进行统一的处理,将此次ajax请求导向登录界面。 1. 当用户session超时后,使用ajax进行访问 可以知道是SessionManagementFilter中的InvalidSessionStrategy进行处理的 2. 当用户是匿名用户访问,且session是新建的时候,访问了系统中的受限资源 可以知道是Ex
SpringBoot+vue前端后端如何在登录后请求头上加上token,请给我写出详细具体的步骤以及代码
06-13
好的,下面是 Spring Boot 后端和 Vue.js 前端的示例代码和步骤。 1. 在 Spring Boot 后端,我们可以使用 Spring Security 框架来实现基于 token 的认证和授权。 首先,在 pom.xml 文件中添加 Spring Security 的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 其次,我们需要创建一个类来实现 Spring Security 的配置,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint unauthorizedHandler; @Bean public JwtAuthenticationFilter authenticationTokenFilterBean() throws Exception { return new JwtAuthenticationFilter(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http .cors().and().csrf().disable() .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); // 添加 JWT token 过滤器 http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); } } ``` 在上面的代码中,我们配置了 Spring Security 的一些基本参数,例如:使用 BCryptPasswordEncoder 进行密码加密,实现 UserDetailsService 接口来加载用户信息,配置 JWT token 过滤器等。 2. 在用户登录成功后,生成一个 token 并返回给前端。 在 Spring Boot 后端,我们可以使用 JWT token 来实现认证和授权。在用户登录成功后,我们需要生成一个 JWT token 并返回给前端,例如: ```java // 生成 JWT token String token = Jwts.builder() .setSubject(user.getUsername()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512, SECRET) .compact(); // 将 token 返回给前端 response.addHeader(HEADER_STRING, TOKEN_PREFIX + token); ``` 在上面的代码中,我们使用 Jwts 类创建一个 JWT token,设置 token 的过期时间和签名算法,并将 token 添加到响应头中返回给前端。其中,HEADER_STRING 和 TOKEN_PREFIX 是我们自定义的常量。 3. 在前端,我们需要在请求头中添加 Authorization 字段,值为 "Bearer " + token。 在 Vue.js 前端,我们可以使用 axios 库来发送 HTTP 请求,并在请求头中添加 Authorization 字段。 首先,我们需要在 main.js 文件中设置 axios 的默认配置,例如: ```javascript import axios from 'axios' axios.defaults.baseURL = 'http://localhost:8080/api' axios.defaults.headers.common['Content-Type'] = 'application/json' // 在请求头中添加 Authorization 字段 axios.interceptors.request.use( config => { const token = localStorage.getItem('token') if (token) { config.headers.common['Authorization'] = 'Bearer ' + token } return config }, error => { return Promise.reject(error) } ) ``` 在上面的代码中,我们设置了 axios 的默认请求 URL 和请求头的 Content-Type。并在 axios 的请求拦截器中,判断本地存储中是否有 token,如果有,则将 token 添加到请求头的 Authorization 字段中。 4. 在后端,我们需要从请求头中解析出 token,然后使用 JWT token 进行验证和授权。 在 Spring Boot 后端,我们需要从请求头中解析出 Authorization 字段,然后使用 JWT token 进行验证和授权。 例如,在 JwtAuthenticationFilter 类中,我们可以重写 doFilterInternal 方法,从请求头中解析出 token,并将 token 传递给 JwtTokenUtil 类进行验证和授权,例如: ```java @Component public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String header = request.getHeader(HEADER_STRING); String username = null; String authToken = null; if (header != null && header.startsWith(TOKEN_PREFIX)) { authToken = header.replace(TOKEN_PREFIX, ""); try { username = jwtTokenUtil.getUsernameFromToken(authToken); } catch (IllegalArgumentException e) { logger.error("an error occurred during getting username from token", e); } catch (ExpiredJwtException e) { logger.warn("the token is expired and not valid anymore", e); } } else { logger.warn("couldn't find bearer string, will ignore the header"); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtTokenUtil.validateToken(authToken, userDetails)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); logger.info("authenticated user " + username + ", setting security context"); SecurityContextHolder.getContext().setAuthentication(authentication); } } chain.doFilter(request, response); } } ``` 在上面的代码中,我们首先从请求头中解析出 Authorization 字段,然后使用 JwtTokenUtil 类的 getUsernameFromToken 方法解析出 token 中的用户名。接着,我们使用 UserDetailsService 接口加载用户信息,并使用 JwtTokenUtil 类的 validateToken 方法进行 token 的验证和授权。最后,我们将用户信息设置到 Spring Security 的上下文中,以便后续的请求可以进行访问控制。 至此,我们就完成了 Spring Boot 后端和 Vue.js 前端如何在登录后请求头上加上 token 的示例代码和步骤。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值