解决Spring Security 开启remember-me(持久化),session并发控制后重启服务器remember-me持久化凭证消失问题

最新推荐文章于 2021-11-09 11:57:00 发布
最新推荐文章于 2021-11-09 11:57:00 发布
阅读量5.9k 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chenctrl/article/details/49490027
版权
本文探讨了Spring Security开启remember-me功能时遇到的问题,即服务器重启后remember-me持久化凭证消失。文章指出,remember-me默认采用内存存储,重启会导致凭证丢失。在启用数据库存储后,虽然解决了集群中的可用性,但并发登录时,服务器重启会导致其中一个会话的remember-me失效。通过分析源码,作者发现删除凭证的逻辑存在不足,并提出了通过自定义bean并修改删除逻辑以解决此问题的思路,但实际SQL修改尚未完成,作者已在StackOverflow寻求帮助。
摘要由CSDN通过智能技术生成
学习Spring security过程中实现了remember-me的持久化实现(其实很简单的呀) 
<remember-me key="elim" remember-me-parameter="remember-me"
			token-validity-seconds="604800" data-source-ref="dataSource"
			user-service-ref="customjdbcUserService" />

key属性的作用说实话不是很理解,token-validity-seconds表示remember-me的秒数,这里大概是7天吧。注意:remember-me本有两个版本,一个是inmemory,另外一个基于数据库。默认为inmemory实现,表示将凭证存储在内存中。重启服务器后凭证会消失,据说在集群中也不可用。但添加data-source-ref标签后,则自动激活数据库实现,表结构为:

(如果要自定义表结构,则需要实现***忘了)


之后实现了session的并发控制和防固化攻击,配置如下:

<session-management session-fixation-protection="migrateSession">
			<concurrency-control max-sessions="1"
				expired-url="/login?error=expired" />
		</session-management>

<concurrency-control max-sessions="1"
				expired-url="/login?error=expired" />
表示像QQ那样有人上线会把你顶下去。顶下去之后你再进行任何操作都会被重定向到/login?error=expired。

但问题来了,当在两个浏览器中登陆同一个账户时,发现第一个登陆的果然被顶下去了,第二个登陆的会话有效,但是如果此时重启服务器,会发现第二个登陆的用户的remember-me失效了,重现了几次之后发现确实是这个问题。继续看debug日志。


22:28:49,552 DEBUG FilterChainProxy:324 - / at position 2 of 16 in additional filter chain; firing Filter: 'ConcurrentSessionFilter'
22:28:49,552 DEBUG SecurityContextLogoutHandler:64 - Invalidating session: f9f57cm68yj11q4vcyzedjayw
22:28:49,552 DEBUG HttpSessionEventPublisher:88 - Publishing event: org.springframework.security.web.session.HttpSessionDestroyedEvent[source=org.eclipse.jetty.server.session.HashedSession:f9f57cm68yj11q4vcyzedjayw@1532245675]
22:28:49,553 DEBUG SessionRegistryImpl:167 - Removing session f9f57cm68yj11q4vcyzedjayw from principal's set of registered sessions
22:28:49,553 DEBUG PersistentTokenBasedRememberMeServices:407 - Logout of user guest
22:28:49,553 DEBUG PersistentTokenBasedRememberMeServices:346 - Cancelling cookie
22:28:49,554 DEBUG JdbcTemplate:908 - Executing prepared SQL update
22:28:49,554 DEBUG JdbcTemplate:627 - Executing prepared SQL statement [delete f
最低0.47元/天 解锁文章
Chenctrl
关注
专栏目录
SpringSecurity系列——持久认证(Persisting Authentication),会话管理day3-2(源于官网5.7.2版本)
qq_51553982的博客
07-20 1024
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。......
Spring Security 自定义TokenBasedRememberMeServices,RememberMe功能失效
keyliwen的博客
02-23 4241
最近在做项目的时候用到了Spring Security,想用它的RememberMe功能,按照官方文档配置后 竟然不起作用,remeber-me的cookie在登录后会正常写到浏览器里,但是重启浏览器后就会丢失, 百思不得姐呀,先看了debug的日志,看到有remember-me的认证日志,发现执行了cancelCookie() 这个方法,也就是说因为某些原因,在重启浏览器后访问时,reme
rememberMe
chengxiesuan0485的博客
04-30 213
session shiro提供的session不依赖web容器,可以直接使用,如果是在web环境下,session中的数据和httpsession中的数据是通的。Shiro中的session可以出现在任何地方,例如service、dao等,不需要从controller中传递session参数,...
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation
fuermoda的博客
12-18 667
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation Remember-me配置 今天在完善自己毕设的登录操作时,想为我的登录弄一个记住我的选项,能够使我短时间内可以免登录。好在Spring-security封装好了这个功能,我们只要调用就好。而这个功能在Spring-security有两种实现方式:1)将登录信息发送给浏览器以Cookie的方式存储,登录的时候进行验证拿出Cookie来进行比较。2)将登录信息
springboot2.0之配置spring security记住我(rememberMe功能)不起作用的原因
weixin_40240756的博客
05-04 3610
刚入门spring security,感觉东西有点多,不好好研究出了问题都不知道为什么。 rememberMe功能配置核心代码(有问题的): protected void configure(HttpSecurity http) throws Exception { List<SysPermission> allPermission = permissionFe...
SpringSecurity中由于自定义过滤器导致无法使用remember-me的问题解决
qq_26147675的博客
09-01 1264
        今天给web项目的登录页面增加自动登录功能,选择使用SpringSecurity自带的remmeber-me功能键,但是前端页面传值remember-me:on始终无法起作用,在SpringSecurity源码中进行断点,发现可能是由于没有使用SpringSecurity自带的过滤器设置,使用了自定义过滤器(为了实现json传值登录)的原因。在此做个记录。     &nb
初识 Spring Security - v1.1.pdf
08-27
- **基于持久化token的方法**:通过持久化token来实现Remember-Me功能,这种方法更安全且可扩展性更好。 - **相关接口和实现类**:Spring Security 提供了一系列接口和实现类来支持Remember-Me功能。 ##### 13. **...
SpringBoot集成SpringSecurity(四)前后端分离、Session会话控制
xinshengdelei的专栏
03-31 2504
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码中通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
IDEA-Spring Security安全管理-自定义用户授权管理
qq_39589936的博客
11-23 698
当一个系统建立之后,通常需要适当地做一些权限控制,使得不同用户具有不同的权限操作系统。 数据准备等见上一篇博客自定义用户认证 用户自定义访问控制 实际生产中,网站访问多是基于HTTP请求的,我们可以通过重写WebSecurityConfigurerAdapter类的configure(HTTPSecurity http)方法来对基于Http的请求访问进行控制。 configure(HttpSecurity http)方法的参数类型是HttpSecurity类,该类提供了Http请求的限制以及权限、S
(九)、SpringBoot + Security RememberMe(记住我)功能
zekeTao的博客
03-19 4106
可以前往第一篇博客查看目录结构 --&gt; 这里一、修改application.properties文件,添加数据库配置spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://127.0.0.1:3306/zeke-demo spring.datasource.use...
spring security rememberme 配置好后不起作用
weixin_30952103的博客
08-29 1364
如果发现System.out.println(this.getClass() + ": login:" + SecurityContextHolder.getContext().getAuthentication().getName()); System.out.println(this.getClass() + ": login:" + SecurityContextHolder...
Shiro使用RememberMe添加数据到Session
12-06 5098
首先来理清一下session和rememberMe的功能,session是大家比较熟悉的功能,因为HTTP协议是无状态的,网站为了在多个请求之间传递数据就使用了session这个东西,session是存储在网站服务器上的某个地方,比如内存、数据库或者其他的什么东西,在我的配置中是用Ehcache存储的,因为我使用了Shiro的Native Session Manager,替代了Tomcat本身的Se
SpringSecurity--记住我
OceanStar的博客
01-12 650
记住我-内存版 前端 登录表单携带名为remember-me的请求参数。具体做法是将登录表单中的checkbox的name设置为remember-me 后端 如果不能使用“remember-me”作为请求参数名称,可以使用rememberMeParameter()方法定制。 ...
Springsecurity的remember-me功能,持久化数据改用Redis实现,步骤超级详细!!!
qq_33999481的博客
07-21 1122
一、用Redis持久化remember-me中所需要的数据 今天用springboot集成springsecurity时,开启remember-me功能时,发现springsecurity提供了两个持久化数据的方式1. InMemoryTokenRepositoryImpl 2.JdbcTokenRepositoryImpl ,这两个实现类,准确的说第一个实现类是存入内存,个人感觉不算真正意义上的持久化。 JdbcTokenRepositoryImpl 这个是Springsecurity实现自动登录,
SpringSecurity - RememberMe
TrustNature
11-09 221
SpringSecurity 记住我原理: 一、创建token 进入UsernamePasswordAuthticationFilter进行用户信息验证,验证成功之后它会调用一个AbstractAuthenticationProcessingFilter的过滤器进入一个successfulAuthentication方法中将用户的信息存入session中,然后调用RememberServic...
SecurityContext is empty or contents are anonymous处理
fsh430623的专栏
11-30 2539
最近用swfupload做上传,在火狐浏览器下上传操作时 出现异常: SecurityContext is empty or contents are anonymous ,后面还有 httpsession is null类似的信息。   当然这里是系统用了spring security  机制,实际用户是有这个访问权限的 。在IE下操作一切正常。   在这里的处理方法,是只能放开这个...
Spring MVC 第一次访问实例化过程
modun1986的专栏
10-27 241
[DEBUG,FilterChainProxy,http-8080-1] Converted URL to lowercase, from: '/index.jsp'; to: '/index.jsp'[DEBUG,FilterChainProxy,http-8080-1] Candidate is: '/index.jsp'; pattern is /**; matched=true[DEBUG...
记住我remember-me功能的几种实现方式
热门推荐
fangchao2061的专栏
04-18 1万+
本文讨论几种记住我功能的实现方式。
Spring Security实现自动登录:rememberMe功能详解
"Spring Security的rememberMe功能用于实现在用户关闭浏览器后仍能自动登录的机制。它通过在用户的浏览器中存储cookie来实现这一目的。Spring Security提供了两种令牌处理方式:散列加密方案和持久化令牌方案。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值