SpringSecurity(九)【会话管理】

已于 2022-12-25 18:07:47 修改
阅读量796 收藏 2
点赞数
分类专栏: # Security 文章标签: java spring security
于 2022-12-04 11:07:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wei_Naijia/article/details/128170161
版权

九、会话管理

简介

当浏览器调用登录接口登录成功之后,服务端会和浏览器之间创建一个会话(Session),浏览器在每次发送请求时都会携带一个 SessionId,服务端则根据这个 SessionId 来判断用户身份。当浏览器关闭之后,服务端的 Session 并不会自动销毁,需要开发者手动在服务端调用 Session 销毁方法,或者等 Session 过期时间到了自动销毁。在 Spring Security 中,与 HttpSession 相关的功能由 SessionManagementFilter 和 SessionAuthenticationStrategy 接口来处理,Session 相关操作委托给 SessionAuthenticationStrategy 接口去完成

9.1 会话并发管理

简介

会话并发管理就是指在当前系统中,同一个用户可以同时创建多少个会话,如果一个设备对应一个会话,那么也可以简单理解为同一个用户可以同时在多台设备上进行登录。默认情况下,同一用户在多少台设备上登录并没有限制,不过开发者可以在 SpringSecurity 中对此进行配置

  • 代码配置
package com.vinjcent.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.session.HttpSessionEventPublisher;

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .csrf()
                .disable()
                .sessionManagement()    // 开启会话管理
                .maximumSessions(1);    // 允许会话最大并发只能一个客户端
    }
    
    // 用于监听会话的创建和销毁
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }
}
  • 使用两个浏览器进行登录,观察一个登录之后,在进行另外一个登录,前者再次访问系统资源将会被提醒该用户正在被使用

在这里插入图片描述

  1. sessionManagement() 用来开启会话管理、sessionManagement() 用来指定会话的并发数
  2. HttpSessionEventPublisher 提供一个 HttpSessionEventPublisher 实例。SpringSecurity 中通过一个 Map 集合来维护当前的 HttpSession 记录,进而实现会话的并发管理。当用户登陆成功时,就向集合中添加一条 HttpSession 记录;当会话销毁时,就从集合中移除一条 HttpSession 记录。HttpSessionEventPublisher 实现了 HttpSessionListener 接口,可以监听到 HttpSession 的创建和销毁事件,并将 HttpSession 的 创建/销毁 事件发布出去,这样,当有 HttpSession 销毁时,SpringSecurity 就可以感知到该事件了

9.2 会话失效

传统 web 开发处理

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest().authenticated()
                .and()
                ...
                .sessionManagement()    // 开启会话管理
                .maximumSessions(1)     // 允许会话最大并发只能一个客户端
                .expiredUrl("/toLogin");        // 会话过期处理
    }

前后端分离

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .csrf()
            .disable()
            .sessionManagement()    // 开启会话管理
            .maximumSessions(1)     // 允许会话最大并发只能一个客户端
            // .expiredUrl("/toLogin");        // 传统架构的会话过期处理方案
            .expiredSessionStrategy(event -> {      // 前后端分离架构会话过期处理方案
                HttpServletResponse response = event.getResponse();
                HashMap<String, Object> result = new HashMap<>();
                result.put("status", 500);
                result.put("msg", "当前会话已经失效,请重新登录");
                String str = new ObjectMapper().writeValueAsString(result);
                response.setContentType("application/json;charset=UTF-8");
                response.getWriter().println(str);
                response.flushBuffer();
            });
}
  • 测试访问

在这里插入图片描述

9.3 禁止再次登录

默认的效果是一种被 “挤下线” 的效果,后面登录的用户会把前面登录的用户 “挤下线”。还有一种禁止后来者登录,即一旦当前用户登陆成功,后来者无法再次使用相同的用户登录,直到当前用户主动注销登录,配置如下

在这里插入图片描述

  • 代码配置
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout()   // 需要开启退出登录
            .and()
            .csrf()
            .disable()
            .sessionManagement()    // 开启会话管理
            .maximumSessions(1)
            // .expiredUrl("/toLogin")
            .expiredSessionStrategy(event -> {
                HttpServletResponse response = event.getResponse();
                HashMap<String, Object> result = new HashMap<>();
                result.put("status", 500);
                result.put("msg", "当前会话已经失效,请重新登录");
                String str = new ObjectMapper().writeValueAsString(result);
                response.setContentType("application/json;charset=UTF-8");
                response.getWriter().println(str);
                response.flushBuffer();
            })
            .maxSessionsPreventsLogin(true);    // 一旦登录,禁止再次登录
}

9.4 会话共享

前面所有的会话管理都是单机上的会话管理,如果当前是集群环境,前面所讲的会话管理方案就会失效。此时可以利用 spring-session 结合 redis 实现 session 共享

  • 实战
    1. 引入依赖pom.xml
<!--redis-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<!--session-redis-->
<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-data-redis</artifactId>
</dependency>
  1. 配置application.yml文件
# 端口号
server:
  port: 3035
  servlet:
    session:
      # 设置session过期时间
      timeout: 1
# 服务应用名称
spring:
  application:
    name: SpringSecurity10security
  # The Redis settings
  redis:
    # Redis服务器地址
    host: 127.0.0.1
    # Redis服务器连接端口
    port: 6379

# 日志处理,为了展示 mybatis 运行 sql 语句
logging:
  level:
    com:
      vinjcent:
        debug
  1. 配置 Security 适配器
  • WebSecurityConfigurerAdapter
package com.vinjcent.config.security;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.session.FindByIndexNameSessionRepository;
import org.springframework.session.security.SpringSessionBackedSessionRegistry;

import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    // 注入 session 仓库
    private final FindByIndexNameSessionRepository sessionRepository;

    @Autowired
    public WebSecurityConfiguration(FindByIndexNameSessionRepository sessionRepository) {
        this.sessionRepository = sessionRepository;
    }

    // 注册 session 同步到 redis 中
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SpringSessionBackedSessionRegistry(sessionRepository);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .successForwardUrl("/test")
                .and()
                .logout()   // 需要开启退出登录
                .and()
                .csrf()
                .disable()
                .sessionManagement()    // 开启会话管理
                .maximumSessions(1)
                // .expiredUrl("/toLogin");
                .expiredSessionStrategy(event -> {
                    HttpServletResponse response = event.getResponse();
                    HashMap<String, Object> result = new HashMap<>();
                    result.put("status", 500);
                    result.put("msg", "当前会话已经失效,请重新登录");
                    String str = new ObjectMapper().writeValueAsString(result);
                    response.setContentType("application/json;charset=UTF-8");
                    response.getWriter().println(str);
                })
                .maxSessionsPreventsLogin(true)    // 一旦登录,禁止再次登录
                .sessionRegistry(sessionRegistry());     // 将 session 交给谁管理,前后端分离自定义过滤器需要配setSessionAuthenticationStrategy
    }
}
  1. 将 redis 作为全局 HttpSession(不开启redis作为HttpSession会使得前面的配置失效,导致出现每个服务有各自的 session 情况
package com.vinjcent.config.redis;

import org.springframework.context.annotation.Configuration;
import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;

@Configuration
@EnableRedisHttpSession // 将整个应用中使用session的数据全部交给redis处理
public class RedisSessionManager {

}
  1. 模拟分布式服务
  • 将当前的服务复制一份运行,并设置运行vm参数

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  1. 启动本地 redis-server 服务,测试两个服务进行登录操作,结果如图所示

在这里插入图片描述

Naijia_OvO
关注
专栏目录
Spring Security 6.x 系列(14)—— 会话管理会话固定攻击防护及Session共享
gmHappy
01-03 2794
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Spring Security 6.x 系列【9】认证篇之会话管理
记录知识、锤炼自我
03-30 1698
`Session` 会话技术相信大家都比较了解了,因为`HTTP`是无状态协议,需要使用`Session`、`Cookie`保持会话状态,以便服务端确定当前请求是由谁发出,简单示意图如下所示:
Spring Security系列】Spring Security会话管理
qq_28248897的博客
07-01 1423
只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。 1.什么是会话 会话(session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,站点也无法为用户提供个性化的服务。session的
spring security 会话管理
swadian2008的博客
08-28 2224
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
Spring Security实现会话管理
BASK2311的博客
01-12 1115
当用户通过浏览器登录成功后, 用户和系统之间便会保持一个会话(用户端会存储一个叫sessionId的属性), 通过这个会话, 系统可以确定出访问用户的身份.用户端借助sessionId去访问服务端, 根据服务端去查找相应的session会话相关信息, 以找到相应的用户身份和会话相关的功能由和接口的组合来处理, 过滤器委托该策略接口对会话进行处理, 比较典型的用法有防止会话固定攻击, 配置会话并发数等。
07 SpringSecurity-会话管理
02-09 1845
再2个浏览器中用同一个账号登录就会发现,到现在为止,系统还没有任何会话并发限制。一个账号能多处同时登录不是一个好的策略。 一、理解会话 会话(session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态 使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记 录,站点也无法为用户提供个性化的服务。session的诞生解决了这个难题,服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方便地绑定
Spring Security(学习笔记) --会话管理会话并发管理实现以及源码分析,会话固定攻击)!
最新发布
TONGZHOUGONGDU的博客
04-28 1022
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security中的防火墙。
使用Spring Security控制会话的方法
08-26
会话管理 Spring Security 提供了多种方式来管理会话,包括会话超时、并发会话控制等。在 XML 配置中,可以使用 `<session-management>` 元素来管理会话。 ```xml ``` 在 Java 配置中,可以使用以下代码...
Spring Security 6.x 系列(13)—— 会话管理会话概念及常用配置
gmHappy
01-02 2569
在实现会话管理之前,我们还是先来了解一下协议和会话的概念,连协议和会话都不知道是啥,还谈啥管理
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringSecurity会话管理(可查看登录用户的相关信息)
gaoqiandr的博客
04-24 838
本文主要介绍的是SpringSecurity中的会话控制
SpringSecurity学习(五)会话管理、CSRF漏洞保护
Huathy的博客
03-12 921
CSRF(Cross-Site Request Forgery跨站请求伪造)。CSRF攻击是一种挟持用户在当前以登录的浏览器上发送恶意请求的攻击方法。相对于XSS(跨站脚本攻击)利用用户对指定网站的信任,CSRF是利用网站对用户浏览器的信任。简单说CSRF是攻击者通过技术手段欺骗用户浏览器,访问一个用户曾认证过的网站,并执行恶意请求,eg:发送邮件、消息、转账、购买。由于客户说已经在该网站认证,所以该网站会认为是真正的用户在操作。
Spring Security--会话管理
a2285786446的博客
06-13 839
在服务器,Spring Security维护了一个会话注册表,所有的登录上来的用户,都会注册到这个注册表中,本质上是一个map集合,map是用户对象,value保存了用户所有的会话对象,Map。如图,在这个层级还可以配置一些会话的其他策略,比如:超过了一个了怎么办,是把上一个踢掉还是怎么办,就是说这个会话策略里还有其他配置,你目前处于这个层级,是会话配置的层级。同样的,回到这一级又可以配其他策略,比如session的策略,就是在这一级。不同浏览器之间也是不同的会话
spring security会话管理
xkshihaoren的博客
12-03 869
1.会话固定攻击 会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造...
Spring Security(五) —— 会话管理
eyes++的博客
07-25 696
当浏览器调用登录接口登录成功后,服务端会和浏览器之间建立一个会话(Session)浏览器在每次发送请求时都会携带一个Sessionld,服务端则根据这个Sessionld来判断用户身份。当浏览器关闭后,服务端的Session并不会自动销毁,需要开发者手动在服务端调用Session销毁方法,或者等Session过期时间到了自动销毁。...
Spring Security实战(四)—— 会话管理
weixin_49561506的博客
04-16 1666
spring security会话管理,介绍了如何防止会话固定攻击,会话并发控制,集群会话的三种解决方案,以及整合Spring Session和reids解决集群会话的问题
spring security入门--会话管理
浅时光|初如梦
09-16 378
1.说明 程序代码采用之前(spring security入门--自定义UserDetails实现用户登录访问简单示例五)文章中的代码,本篇文章值给出修改部分的代码,详细代码请查看往期文章。 地址:https://blog.csdn.net/qq_32224047/article/details/108615301 2.会话理解 会话(session)就是无状态HTTP实现用户状态可维持的一种解决方案。HTTP本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户得访问没
spring security session 会话管理
09-03
Spring Security 提供了多种方式来管理会话,保护应用程序的安全性。下面是一些常见的会话管理方式: 1. 基于 Cookie 的会话管理:默认情况下,Spring Security 使用基于 Cookie 的会话管理。它将一个会话标识符存储在用户的浏览器 Cookie 中,并在用户每次请求时验证会话的有效性。 2. 基于 URL 重写的会话管理Spring Security 还支持基于 URL 重写的会话管理。在这种方式下,会话标识符将包含在 URL 中,并在用户每次请求时进行验证。 3. 基于 Token 的会话管理Spring Security 还支持基于 Token 的会话管理。在这种方式下,用户在登录成功后会收到一个令牌(Token),该令牌将用于后续的请求验证。 4. HttpSession 会话管理Spring Security 还可以与传统的 HttpSession 会话管理集成。它可以使用 HttpSession 来存储和验证用户的会话信息。 此外,Spring Security 还提供了一些高级的会话管理功能,如并发控制、超时处理和登录时的会话绑定等。 值得注意的是,根据具体的需求和使用场景,选择适合的会话管理方式非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Naijia_OvO

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值