java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation
Remember-me配置
今天在完善自己毕设的登录操作时,想为我的登录弄一个记住我的选项,能够使我短时间内可以免登录。好在Spring-security封装好了这个功能,我们只要调用就好。而这个功能在Spring-security有两种实现方式:1)将登录信息发送给浏览器以Cookie的方式存储,登录的时候进行验证拿出Cookie来进行比较。2)将登录信息放入数据库中,登录的时候对比表的字段。
而今天我想说的是关于第二种的配置。第一种方法有很直白的问题,就是安全问题,存在浏览器中Cookie实在过于不安全,很容易被盗取。那么话不多说,需要完成第二种方法首先我们要去建一个表来存储我们的Session,而这个表的名字和字段是Spring-security规定好的,我们不能随意去改动,而sql语句如下:
CREATE TABLE persistent_logins (username VARCHAR(64) NOT NULL DEFAULT ‘’, series VARCHAR(64) PRIMARY KEY, token VARCHAR(64) NOT NULL , last_used TIMESTAMP NOT NULL)
建立好表的第二步当然要去我们的Spring-security的配置文件去配置我们的Remember-me,对应的部分属性我也在注释上表明了,希望大家能够明白每个属性到底有什么用,能够更好的学习成长:
第三步就是给定记住我的前端参数了,注意前端一定有一个remember-me参数,这个参数等于true代表是记住,false为不记住,只有当我们规定了这个参数Spring-security才能知道是否启用rememeber-me。而我是用ajax和json来进行数据传输的,以下是个人的代码:
Session fixation问题的引出
配置起来确实毫不费劲,但是这里面很容易的抛出了一个问题:我们该如何防止Session fixation攻击。
在解决这个问题之前,我们需要了解什么是Session fixation。Session fixation是会话伪造漏洞。让我举个例子来说就是比如说我访问了一个网站,得到一个session会话的id,如果这个网站没有特殊处理过Session fixation,那么这个会话id在我们登录前和登录后都是同一个。如果此时我把这个id作为参数附带到网站的url上发给别人,别人点进去后是跟我处于同一个Session会话中,此时他输入账号密码登入进去时我也会获得他的身份从而登陆进去,从而为所欲为。
Spring-security的Session管理器
这种我们都能想到的问题,制作Spring-security的大哥们能想不到吗?所以我们可以通过配置Spring-security的Session管理器来解决这个问题,配置如下:
这个配置为我们解决两个问题:1)Session fixation攻击问题。2)当一个用户多个地方登录的处理。
首先第一个问题通过session-fixation-protection这个属性来解决的,migrateSession代表的是当我们登录后我们会产生一个新的Session来使用且复制我们之前那个Session的所有属性。这样的话,当我们被Session fixation攻击了,我们点入别人的链接,输入了账号密码,但是此时我的Session在登录之后不再是之前的Session,别人也就无从利用之前的Session来冒充我们的身份了。
第二个问题是通过security:concurrency-control标签实现的,我们可以规定一个用户最多存在的session为1,此时当这个用户又在别处的登录的时候,之前的用户的session会销毁掉,只有当前这个用户才能继续访问。
配置完Session管理器,我们还需要对应的去web.xml里配置一个监听器,这个是绝对不能缺少,我们的Session的自动销毁要通过这个监视器才能实现:
今日的笔记到这也就结束,通过上一篇和这一篇,我们已经基本把spring-security关于登录认证这一方面给弄通透了,这也是这个框架的核心内容,希望各位能从中得到一定的参考和见解!
扫一扫
5972
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
