Spring Security---ConcurrentSessionFilter

最新推荐文章于 2024-05-15 14:11:50 发布
最新推荐文章于 2024-05-15 14:11:50 发布
阅读量313 收藏
点赞数
分类专栏: 技术 框架技术 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_5958/article/details/82569765
版权

                                 ConcurrentSessionFilter(转)

ConcurrentSessionFilter做的功能比较简单,主要是判断session是否过期以及更新最新访问时间

     通过代码HttpSession session = request.getSession(false);判断获取session

1、首先判断session是否存在--------HttpSession session = request.getSession(false)

    如果session不存在,直接放过,执行下一个过滤器。

   如果存在,则执行第二步

2、根据sessionid从sessionRegistry中获取SessionInformation,从SessionInformation中获取session是否过期

    如果没有过期,则更新SessionInformation的访问日期。

    如果过期,则执行doLogout()方法,这个方法会将session无效,并将SecurityContext中的Authentication中的权限置空,同时在SecurityContenxtHoloder中清除SecurityContext

    然后查看是否有跳转的URL,如果有就跳转,没有就输出提示信息

在ConcurrentSessionFilter有两个重要的类需要知道,一个是sessionRegistry(默认使用sessionRegistryImpl),一个是SessionInformation 。

sessionRegistry顾名思义 session注册表,有维护两个类变量ConcurrentMap<Object,Set<String>> principals 和Map<String, SessionInformation> sessionIds

principals以用户认证信息为key,values值sessionId集合,sessionIds以sessionId为key,以SessionInformation 为values值。

sessionInformation只要存放4个参数,一个是lastRequest;(最近访问时间),一个是sessionId,一个是principal(用户认证权限),一个是expired (是否过期)

这两个类变量的信息会在后面的登陆认证的时候进行赋值

 

代码如下

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        HttpSession session = request.getSession(false);
        if (session != null) {
            SessionInformation info = sessionRegistry.getSessionInformation(session.getId());
            if (info != null) {
                if (info.isExpired()) {
                    // Expired - abort processing
                    doLogout(request, response);
                    String targetUrl = determineExpiredUrl(request, info);
                    if (targetUrl != null) {
                        redirectStrategy.sendRedirect(request, response, targetUrl);
                        return;
                    } else {
                        response.getWriter().print("This session has been expired (possibly due to multiple concurrent " +
                                "logins being attempted as the same user).");
                        response.flushBuffer();
                    }
                    return;
                } else {
                    // Non-expired - update last request date/time
                    sessionRegistry.refreshLastRequest(info.getSessionId());
                }
            }
        }
        chain.doFilter(request, response);
    }

iteye_5958
关注
专栏目录
实现sessionfilter_关于使用session过滤器实现登录拦截
weixin_39953673的博客
01-14 605
首先在web.xml中配置,配置方法与字符拦截器大同小异,配置如下:SessionFiltcom.ed.web.admin.action.LoginFilterencodingutf-8forceEncodingtrueSessionFilt要拦截的页面和普通过滤器配置没什么区别,就是多了两个初始化参数,两个参数的作用分别是:encoding----->用来指定一个具体的字符集forceEn...
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 3006
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
springsecurity使用自定义登录过滤器实现并发session
woshihedayu的博客
03-11 1018
springsecurity中的相关配置如下 @Override protected void configure(HttpSecurity http) throws Exception { http.exceptionHandling() .authenticationEntryPoint(new UnauthorizedEntryPoint()) .and().csrf().disable() .authorizeReque
ConcurrentSessionFilter
yecong111的专栏
11-28 8151
ConcurrentSessionFilter做的功能比较简单,主要是判断session是否过期以及更新最新访问时间      通过代码HttpSession session = request.getSession(false);判断获取session 1、首先判断session是否存在--------HttpSession session = request.getSession(fals
Spring Security学习笔记之UsernamePasswordAuthenticationFilter, ConcurrentSessionFilter
py_xin的博客
09-23 1万+
UsernamePasswordAuthenticationFilter主要用来处理登录时的验证操作. 它的一般用法请参考Spring Security学习笔记之整体配置 这里主要介绍一下如何用它来防止用户重复登录的问题. UsernamePasswordAuthenticationFilter的父类AbstractAuthenticationProcessingFilter有一个属性
定制的Spring Security(Acegi)的并发会话过滤器(ConcurrentSessionFilter)的编码过程
Stay Hungury Stay Foolish
09-21 260
上一帖述及使用ConcurrentSessionFilter限制同帐号登录多次的方法,同帐号多次登录限制是运行系统必需的功能,所以作者对其深入测试,在上一帖中也列举了Spring Security的ConcurrentSessionFilter和ConcurrentSessionControllerImpl类的几个限制。做一下简单的总结,下面假设同时使用DigestProcessingFilter...
Spring Security3源码分析(13)-SessionManagementFilter分析-上
Benjamin
09-11 2074
SessionManagementFilter过滤器对应的类路径为  org.springframework.security.web.session.SessionManagementFilter  这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果不想使用这个过
spring-security:Spring安全测试项目
06-20
3. 滤器链:Spring Security的核心是其滤器链,包括`DelegatingFilterProxy`、`SecurityContextPersistenceFilter`、`ConcurrentSessionFilter`等。这些滤器协同工作,处理从请求到响应的整个生命周期。通过调整滤器...
spring security解析----架构解读
Dream - to be coder
04-01 304
spring security架构解读 spring security就是filter执行链
springsecurity初体验(5.3.5官方文档)-1
tianyadaoke2020的博客
08-27 1762
5.1.2 密码存储 PasswordEncoder,5.0之前默认的NoOpPasswordEncoder ,框架用了DelegatingPasswordEncoder模式,方便将来更新存储方式的时候不用变动框架。 创建委托: PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder(); 创建自定义的委托: String idForEncode = "bcrypt"; M
spring-security3.1源码
02-28
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。Spring Security 3.1 版本是该框架的一个重要里程碑,它提供了许多关键的安全特性,包括身份验证、授权、会话管理以及对Web...
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 1757
spring-secrity的Filter顺序+自定义过滤器
(十五)springboot实战——spring securtity的核心过滤器介绍
厉害哥哥的博客
02-07 934
本节内容主要介绍spring securtity安全框架的一些核心过滤器及其作用,我们都清楚spring securtity安全框架底层是基于filter过滤器实现的,采用的是责任链的设计模式,它有一条很长的过滤器链。本次spring securtity原理介绍使用的版本是5.6.8,不同版本之间可能略有差异。
SpringSecurity访问多人在线Session管理的实现原理
最新发布
JavaMyDream的博客
05-15 194
【代码】SpringSecurity访问多人在线Session管理的实现原理。
spring security自定义登录授权过滤器限制同一账号同时在线数量
L_D_W的博客
10-25 2323
摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。
SpringSecurity框架流程定制化的进一步优化方案,精简代码
zzztimes的博客
11-14 376
之前讲解过一篇SpringSecurity定制化流程的方案,很多人说看起来比较复杂,这次对其中流程优化部分,顺便记录下最新的理解心得。 与全定制化的区别: 1. 上文提到自定义UsernamePasswordAuthenticationFilter过滤器,重写attemptAuthentication()方法,通常这里会在这里对验证码,请求方法类型等进行合法性校验 由于是优化,肯定是基于之前的代码,因此有些地方不清楚的可以参考上篇文章:
Spring Security session fixation防护和Session的管理和并发
weixin_33777877的博客
05-20 1570
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security】前后端分离,限制用户登录(一个账号同一时间只能在一段登录)
Meditation_Crazy
10-27 2390
前言 实现这块功能的时候,通过搜索,简单配置了下: 但是没生效。然后就是看代码,百度,还是没成功。 最后偶尔查到了这个: 既然找到了源码,那就断点,跑一下试试,结果,登录过程中,并没有进这个类org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy。 然后根据类名,查找相关配置,就找到了其他的一些配置。 http://www.jetchen.cn/spring
spring security3教程系列--自定义过滤链
热门推荐
shadowsick的专栏
02-08 1万+
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8576449 spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤链,看本文章需要读者对spring security3 有一定程度的了解
SpringSecurity框架详解:安全配置与过滤器机制
"本文档主要介绍了SpringSecurity框架的使用和配置,包括版本信息、常用过滤器以及框架的工作原理。" 在Spring Security框架中,安全机制的核心是通过一系列的过滤器来实现对Web应用程序的保护。Spring Security ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值