Security禁用session

最新推荐文章于 2024-05-13 15:13:10 发布
最新推荐文章于 2024-05-13 15:13:10 发布
阅读量6.7k 收藏 8
点赞数 2
分类专栏: 文章标签: JWT SpringSecurity不创建session 单点登录 token Session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xjzzon/article/details/102648723
版权
Security禁用Seesion
  • 调用登录接口认证用户名及密码,成功后返回token(JWT),前端拿到这个token后根据前文的鉴权方式进行。
  • 服务端对后续请求在过滤链中(认证过滤器前的过滤器)新增JWT的验证,从JWT中提取用户名并生成userInfo然后利用下面的代码,security自然会认证通过,该实现原理和SecurityContextPersistenceFilter一样。点击查看原理
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userInfo, null, userInfo.getAuthorities());		SecurityContextHolder.getContext().setAuthentication(authentication);
  • 上诉方式因为要使用的是token方式,不希望生成session。检查一下几个地方
一、security的session生成策略改为security不主动创建session即STALELESS
httpSecurity.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
二、检查代码中是否有调用request.getSession()

在我们的项目中,自定义了session策略,当检测到http头中使用了token便不调用sessionRegistry进行注册新会话。如下:

public class MySessionAuthenticationStrategy implements SessionAuthenticationStrategy {
    private final SessionRegistry sessionRegistry;

    public void onAuthentication(Authentication authentication, HttpServletRequest request,
            HttpServletResponse response) {
        if (request.getHeader("token") == null) {
            sessionRegistry.registerNewSession(request.getSession().getId(), authentication.getPrincipal());
    	}
    }
}
jazon@
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
springboot 禁用session_什么是会话固定攻击?Spring Boot 中要如何防御会话固定攻击?...
weixin_39601642的博客
12-06 1634
前两天和大家聊了 Spring Security 中的 session 并发问题,和小伙伴们聊了如何像 QQ 一样,用户在一台设备上登录成功之后,就会自动踢掉另一台设备上的登录。当然,Spring Security 中,关于 session 的功能不仅仅是这些,之前和大家说「我们学习 Spring Security,也是学习各种各样的网络攻击与防御策略」,今天松哥就来和大家聊一个简单的:什么是会话...
Spring Security 如何处理 Session 共享
qq3164069700的博客
12-11 540
1.集群会话方案 在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,被 Nginx 转发到 Tomcat A 上,然后在 Tomcat A 上往 session 中保存了一份数据,下次又来一个请求,这个请求被转发到 Tomcat B 上,此时再去 Session 中.
关于Spring Security中无Session和无状态stateless
weixin_34269583的博客
08-01 1166
Spring Security是J2EE领域使用最广泛的权限框架,支持HTTP BASIC, DIGEST, X509, LDAP, FORM-AUTHENTICATION, OPENID, CAS, RMI, JAAS, JOSSO, OPENNMS, GRAIS....关于其详尽的说明,请参考Spring Security官方网页。但它默认的表table比较少,默认只有用户和角色,还有一个gr...
用户登录认证和权限授权(SpringSecurityJWTsession
最新发布
qq_51076441的博客
05-13 2806
登录认证和权限授权是所有项目中必不可少的功能,本篇文章首先将通过最简单的方式(SessionJWT)实现登录认证和权限授权,然后再整合Springsecurity框架实现。
Spring Security框架中禁用Session
test1372965955的博客
05-06 988
【代码】在Spring Security框架中禁用Session
Spring Security 入门 存储session到redis
SheTing'Blog
04-16 858
存储session到redis,达到session共享。 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <grou
springsecurity 不允许session并行登录_Spring Security 实战干货:实现自定义退出登录...
weixin_39657662的博客
12-05 267
我是 码农小胖哥。天天有编程干货分享。觉得写的不错。点个赞,转发一下,关注一下。本文为个人原创文章,转载请注明出处,非法转载抄袭将追究其责任。1. 前言上一篇对 Spring Security 所有内置的filter 进行了介绍。今天我们来实战如何安全退出应用程序。2. 我们使用 Spring Security 登录后都做了什么这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以...
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
Spring Security登出Session失效
李旺枝的博客
08-16 4533
一、配置Session和自定义登出 package com.sf.browser; import com.sf.config.MySessionExpiredStrategy; import com.sf.filter.ValidateCodeFilter; import com.sf.handler.MyAuthenticationFailureHandler; import com.sf...
SpringSecurity前后端分离的session问题
Mr_FenKuan的博客
07-14 2800
最近在写一个demo,是前后端分离的,前端通过使用axios来发送异步请求来获取后端的数据,后端使用了SpringSecurity来做系统的鉴权,但发现,SpringSecurity总是拿不到session的问题。 前言: 由于SpringSecurity中,很多东西都是基于session来做的,比如,当用户登录成功后,会创建一个SecurityContextHolder,里面存储了用户认证后的token数据,然后将其存储到session中。 当该用户的后续请求再过...
boot-security.zip
06-05
采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 采用redis存储token及权限信息 用户管理:用户查询、添加用户、修改用户、给用户分配角色 菜单管理:菜单列表、添加菜单、修改菜单、删除...
Spring-security
09-14
Spring Security 的强大之处在于其模块化设计,开发者可以根据需求选择启用或禁用特定的功能,这使得它成为Java安全领域不可或缺的工具。与《Spring in Action》和Spring MVC的结合,可以更好地理解和实践Spring ...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
Spring security
04-08
5. **Logout Functionality**: `logout()`方法用来配置注销功能,包括清除session、删除cookies等。 6. **CSRF Protection**: 默认情况下,Spring Security 启用CSRF保护。你可以通过`csrf().disable()`来禁用它,...
K8s基本的概念及资源总结
Xjzzon的博客
09-06 5833
Master 集群的管理和控制,执行kebernetes控制命令。内部进程有:Kubernetes API Server是集群控制的唯一入口,Kubernetes Controller Manager自动化控制中心,Kubernetes Scheduler负责 Pod的调度,etcd服务存储资源对象数据。 Node 负责实际运行负载(容器),内部进程有:kubelet负责pod对应的容器的创建与启停,与master紧密合作,将此Node作为集群一个成员管理起来;kube-proxy负责Kubernetes
docker安装elasticsearch的坑,ERROR: [1] bootstrap checks failed [1]: the default discovery setting are...
Xjzzon的博客
02-02 2796
情况一 ERROR: [1] bootstrap checks failed [1]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_no...
配置kafka容器访问ip踩坑
Xjzzon的博客
04-24 2043
配置kafka容器访问ip踩坑 这是分配kafka内外网访问的方法 # 通过任意IP的9003访问的定义为OUTSIDE,任意IP9002访问的定义为INSIDE listeners=OUTSIDE://:9093,INSIDE://:9092 # 连上Kafka之后,Broker会根据outside还是inside返回对应的值,也就是配置里的 advertised.listeners=OUTSIDE://<外网IP>,INSIDE://<内网IP>:9092 # OUTSID
spring security2.7
08-26
Spring Security 2.7及以上版本中,WebSecurityConfigurerAdapter已经被废弃。相反,现在推荐使用bean注入的方式进行配置。你可以参考官方文档:https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter#ldap-authentication 来了解更多详细信息。在SecurityConfig中,加载SpringSecurityAdminConfig即可。你可以使用@EnableWebSecurity注解来启用Web安全配置。在SecurityConfig类中,通过@Resource注解注入SpringSecurityAdminConfig,并通过@Bean注解创建SecurityFilterChain bean。在configure(HttpSecurity http)方法中,你可以通过以下代码配置安全性: ``` http .csrf(AbstractHttpConfigurer::disable) //禁用CSRF保护 .sessionManagement(AbstractHttpConfigurer::disable) //禁用Session管理 .authorizeHttpRequests(auhtor-> auhtor .antMatchers("/admin/code","/admin/login").permitAll() //设置允许匿名访问的URL .anyRequest().authenticated() //其余请求需要认证 ); http.apply(springSecurityAdminConfig); //应用SpringSecurityAdminConfig配置 return http.build(); ``` 然后,你需要创建一个名为SpringSecurityAdminConfig的配置类,该类用于管理后台的用户名和密码登录。你可以参考以下示例代码: ``` @Component public class SpringSecurityAdminConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> { @Override public void configure(HttpSecurity http) throws Exception { AdminUsernamePasswordAuthenticationFilter adminUsernamePasswordAuthenticationFilter = new AdminUsernamePasswordAuthenticationFilter(); adminUsernamePasswordAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class)); http.addFilterAt(adminUsernamePasswordAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); //替换UsernamePasswordAuthenticationFilter } } ``` 这样就可以通过bean注入的方式配置Spring Security 2.7及以上版本了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [springboot2.7整合springSecurity](https://blog.csdn.net/gzmyh/article/details/129267449)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值