Spring Security session固定策略

最新推荐文章于 2024-05-23 09:00:00 发布
最新推荐文章于 2024-05-23 09:00:00 发布
阅读量668 收藏
点赞数
分类专栏: Java Spring SpringBoot 文章标签: spring security session java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhdhdh0920/article/details/108705453
版权
Java 同时被 3 个专栏收录
60 篇文章 1 订阅
订阅专栏
SpringBoot
13 篇文章 0 订阅
订阅专栏
Spring
5 篇文章 0 订阅
订阅专栏

session固定是指服务器在给客户端创建session后,在该session过期之前,它们都将通过该session进行通信。

我们可以在Security配置文件中,通过session-management的session-fixation-protection属性来改变其策略,有三种策略可供选择:

  • migrateSession:这是默认值。其表示在用户登录后将新建一个session,同时将原session中的attribute都copy到新的session中;

Specifies that a new session should be created and the session attributes from the original HttpSession should be retained.

  •  none:不启用session固定保护策略。如果系统中有另外的session保护机制,这个配置可能有用。

Specifies that no session fixation protection should be enabled. This may beuseful when utilizing other mechanisms for protecting against session fixation.For example, if application container session fixation protection is already inuse. Otherwise, this option is not recommended.

  • newSession:表示重新创建一个新的session,但是不copy原session拥有的attribute。

Specifies that a new session should be created, but the session attributes from the original HttpSession should not be retained.

具体使用那种策略需要根据实际业务需求进行权衡。

宏奕0920
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot-----Security安全机制的sessions配置策略
wendy专栏
11-03 8651
1、配置security.sessions策略 #安全配置 security: sessions: stateless basic: enabled: true #启用SpringSecurity的安全配置 user: name: wendy #认证用户名 password: wendy1 #认证密码 role: #授权 - USER 2...
Spring2.5 访问 Session 属性的四种策略
sukyle的专栏
09-30 631
WEB 应用通常会引入 Session,用来在服务端和客户端之间保存一系列动作/消息的状态,比如网上购物维护 user 登录信息直到user 退出。在 user 登录后,Session 周期里有很多 action 都需要从 Session 中得到user,再验证身份权限,或者进行其他的操作。这其中就会涉及到程序去访问 Session属性的问题。在java中,Servlet 规范提供了H
会话(Session固定
:)每天进步一点点
09-29 6138
会话(Session)固定   会话安全是一个复杂的话题,会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。   对于攻击者决定性的信息是会话标识,任何伪装的攻击都需要这个。有三个方法获得合法的会话标识:   预测   劫持   固定   预测依赖猜测合法的会话标识。根据 PHP 的会话原理,会话标识是相当随机的,这不大可能是薄弱环节。
Spring Security源码分析九:Spring Security Session管理
最新发布
Karka_的博客
05-23 786
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4069
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Spring Security实现不同接口安全策略方法详解
09-07
对于基于Session的应用,可以设置Cookie的属性、Session固定化防护等。 5. **角色和权限体系** 在`HttpSecurity`中,可以使用`authorizeRequests()`方法来定义访问控制规则,如哪些URL需要特定角色才能访问。可以...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
基于java config的springSecurity 六 集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
spring security 官方文档
10-08
4. **会话管理(Session Management)**:Spring Security提供了强大的会话管理功能,可以限制同一用户同时在线的数量,检测会话劫持和会话固定攻击,并能实现会话超时策略。 5. **CSRF保护(Cross-Site Request ...
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1890
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
Session定置
tooby的专栏
07-27 272
          [Web]Session定置攻击的过程和预防 08/30/2013 问题 确保用户的session标识符不会由第三方提供,例如挟持了用户的session的攻击者 方案 只要用户的授权范围改变,如成功登陆后,就通过session_regenerate_id()来重新生成session标识符 <?...
Spring Security 自定义登录Session配置
CodingGoat
02-18 1976
有这样一个需求,一个账号只能在一个客户端浏览器上登录,如果同样的账号在别的客户端浏览器上登录的话,之前的登录需要被踢下去
spring security简单介绍和访问策略
生而为人我很抱歉
08-10 1076
spring securityspring自带的后端权限校验安全控制框架,功能完善,简单易上手。 第一步,在pom.xml加入spring security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifact...
Session固定攻击
weixin_34365635的博客
04-11 213
2019独角兽企业重金招聘Python工程师标准>>> ...
Session攻击手段(会话劫持/固定)及其安全防御措施
热门推荐
马学朝的博客
01-19 3万+
一、       概述        对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持
Session Fixation session固定攻击
Author_CHEN的博客
09-15 725
Session Fixation session固定攻击 参考 https://en.wikipedia.org/wiki/Session_fixation Session Fixation session固定攻击 一、常见攻击场景 1. 场景1 简单的攻击场景 2. 场景2 使用服务器生成的sessionID 3. 场景3 使用跨子域cookie攻击 二、常见防御手段 1. 不从 GET/POST 的变量中接受session的id 2. 每次登录都更改sessionID 3. 每次请求都生
Java会话技术之 —— Spring Session
congge
01-30 887
前言 在上一篇我们聊到了会话技术的基础原理中session和cookie的使用,基于cookie和session可以实现客户端(浏览器)和服务端的会话存储,从请求的无状态变为一定程度的有状态,在文章最后,通过一个简单的演示,看到这样一种现象,即在分布式环境下,假如客户端第一次携带着JSESSINID访问了A服务器的某个接口,再次访问B服务器相同服务的相同接口时,却发现获取到的JSESSINID值为null 很明显,在分布式环境下,基于单机模式下的session和cookie的值是无法跨进程互通,于是我们想,
springsecurity session
03-16
Spring Security SessionSpring Security框架中的一个模块,用于管理用户会话。它提供了一些功能,如会话管理、会话过期、会话固定攻击防护等,可以帮助开发人员更好地保护应用程序的安全性。同时,Spring Security Session还支持多种会话存储方式,如内存存储、数据库存储、Redis存储等,可以根据实际需求选择合适的存储方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宏奕0920

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值