Spring Security(13)——session管理

最新推荐文章于 2024-04-21 16:06:55 发布
最新推荐文章于 2024-04-21 16:06:55 发布
阅读量8.4k 收藏 1
点赞数 1
分类专栏: Spring Security Spring Security简介 文章标签: Spring Security session管理 个人在线数控制 concurrency-control session-management
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elim168/article/details/72953320
版权
这篇博客详细介绍了Spring Security在session管理方面的功能,包括检测session超时、并发控制和session固定攻击保护。通过配置<security:session-management>元素,可以实现超时重定向、限制同一用户并发登录及防范session固定攻击。对于session超时,可以通过invalid-session-url属性指定重定向页面。在并发控制中,通过max-sessions属性限制并发会话数量,并通过error-if-maximum-exceeded决定超出限制时的行为。同时,文章还讨论了session固定攻击的防护策略,包括migrateSession、none和newSession三种模式。
摘要由CSDN通过智能技术生成

 

       Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。

 

1.1     检测session超时

       Spring Security可以在用户使用已经超时的sessionId进行请求时将用户引导到指定的页面。这个可以通过如下配置来实现。

   <security:http>

      ...

      <!-- session管理,invalid-session-url指定使用已经超时的sessionId进行请求需要重定向的页面 -->

      <security:session-management invalid-session-url="/session_timeout.jsp"/>

      ...

   </security:http>

 

       需要注意的是session超时的重定向页面应当是不需要认证的,否则再重定向到session超时页面时会直接转到用户登录页面。此外如果你使用这种方式来检测session超时,当你退出了登录,然后在没有关闭浏览器的情况下又重新进行了登录,Spring Security可能会错误的报告session已经超时。这是因为即使你已经退出登录了,但当你设置session无效时,对应保存session信息的cookie并没有被清除,等下次请求时还是会使用之前的sessionId进行请求。解决办法是显示的定义用户在退出登录时删除对应的保存session信息的cookie。

   <security:http>

      ...

      <!-- 退出登录时删除session对应的cookie -->

      <security:logout delete-cookies="JSESSIONID"/>

      ...

   </security:http>

       此外,Spring Security并不保证这对所有的Servlet容器都有效,到底在你的容器上有没有效,需要你自己进行实验。

 

最低0.47元/天 解锁文章
elim168
关注
专栏目录
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 2736
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置
gmHappy
01-02 2527
在实现会话管理之前,我们还是先来了解一下协议和会话的概念,连协议和会话都不知道是啥,还谈啥管理
spring security之会话管理
xkshihaoren的博客
12-03 852
1.会话固定攻击 会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造...
Spring Security——session管理
weixin_33921089的博客
05-05 302
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity(六):Session(集群)管理和Logout
MJ丶的博客
10-30 2270
Security的用户认证信息默认是存储在session中的,对于session过期的时间,springboot的里默认的是30分钟。 当然也可以自己设置: application.yml: server: session: timeout: 7200 #最少是一分钟,就算比一分钟少也会默认转成一分钟,如果不设置默认为30分钟 securitysession管理
Spring SecuritySession管理
最新发布
Evan_L的博客
04-21 1930
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
Spring SecuritySession Management
01-06 776
     Spring  Security为我们提供了SessionAuthenticationStrategy接口来定制针对Session的一些特殊管理,如防Session的固定攻击, 防Session的单用户多次登陆等, 这些特殊的管理功能Spring Security都为我们提供了相应的类,如下示:       1. SessionFixationProtectionStrategy,...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+据库】
02-16
我们将基于给定的标签——SpringBoot、SpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)
qq_51553982的博客
07-30 642
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求是来自用户的某个浏览器,但是无法确保这请求是用户授权发送。当前端请求到达后,将请求携带的CSRF令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该HTTP请求。将CSRF放入到cookie中,在清求时获取cookie中的CSRF令牌一并提交即可,其实最直接的实现方式是设置到header中即可,这样是否方便,反正每次令牌都会变化即使你的请求被获取也不会有这样的问题。......
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringSecurity (七)session管理(会话管理
weixin_43189971的博客
07-19 1334
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理Session销毁监听器......
SpringSecurity Session管理
Curtisjia的博客
10-31 311
目录Session管理Session超时设置Session并发控制 Session管理 Session超时设置 Session超时时间也就是用户登录的有效时间。要设置Session超时时间很简单,只需要在配置文件中添加: server: servlet: session: timeout: 60 #1分钟 Session的最小有效期为60秒,也就是说即使你设置为小于60秒的值,其有效期还是为60秒 在Spring Security中配置Session管理器,并配置Session失效
spring security session-management
李永
03-23 1536
1、在配置文件中增加 一个listen &lt;listener&gt; &lt;listener-class&gt;org.springframework.web.context.ContextLoaderListener&lt;/listener-class&gt; &lt;/listener&gt;  2、FilterChainProxy 增加 ConcurrentSessi...
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2433
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
Spring Security Session管理
weixin_38927257的博客
11-20 846
文章目录session超时处理demo的application中加入超时配置Spring Boot 2中缺少TomcatEmbeddedServletContainerFactory(TomcatEmbeddedServletContainerFactory is missing in Spring Boot 2)看TomcatServletWebServerFactory类超时页面提醒Brows...
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1938
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
SpringSecurity-暂未完成-SessionManagementConfigurer类
文天大人
09-15 1110
怀念二抱三抱
北风网:Spring Security详解——企业级权限控制的解决方案
课程由讲师慧慧主讲,内容覆盖了Spring Security的核心功能,如身份验证、授权、事务管理和应用业务逻辑的安全性管理。它强调了在设计系统时,会遇到多个关注点,其中核心关注点关注业务逻辑的实现,而横切关注点则...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值