Spring Security 要怎么处理 session 共享?

最新推荐文章于 2022-05-09 11:46:19 发布
VIP文章 最新推荐文章于 2022-05-09 11:46:19 发布
阅读量2.7k 收藏 15
点赞数 2
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java3456/article/details/106790242
版权

今天我们就来看看集群化部署,Spring Security 要如何处理 session 并发。

1.集群会话方案

在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图:

在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,被 Nginx 转发到 Tomcat A 上,然后在 Tomcat A 上往 session 中保存了一份数据,下次又来一个请求,这个请求被转发到 Tomcat B  上,此时再去 Session 中获取数据,发现没有之前的数据。

1.1 session 共享

对于这一类问题的解决,目前比较主流的方案就是将各个服务之间需要共享的数据,保存到一个公共的地方(主流方案就是 Redis):

当所有 Tomcat 需要往 Session 中写数据时,都往 Redis 中写,当所有 Tomcat 需要读数据时,都从 Redis 中读。这样,不同的服务就可以使用相同的 Session 数据了。

这样的方案,可以由开发者手动实现,即手动往 Redis 中存储数据,手动从 Redis 中读取数据,相当于使用一些 Redis 客户端工具来实现这样的功能,毫无疑问,手动实现工作量还是蛮大的。

一个简化的方案就是使用 Spring Session 来实现这一功能,Spring Session 就是使用 Spring 中的代理过滤器,将所有的 Session 操作拦截下来,自动的将数据 同步到 Redis 中,或者自动的从 Redis 中读取数据。

对于开发者来说,所有关于 Session 同步的操作都是透明的,开发者使用 Spring Session,一旦配置完成后,具体的用法就像使用一个普通的 Session 一样。

1.2 session 拷贝

session 拷贝就是不利用 redis,直接在各个 Tomcat 之间进行 session 数据拷贝,但是这种方式效率有点低,Tomcat A、B、C 中任意一个的 session 发生了变化,都需要拷贝到其他 Tomcat 上,如果集群中的服务器数量特别多的话,这种方式不仅效率低,还会有很严重的延迟。

所以这种方案一般作为了解即可。

1.3 粘滞会话

所谓的粘滞会话就是将相同 IP 发送来的请求,通过 Nginx 路由到同一个 Tomcat 上去,这样就不用进行 session 共享与同步了。这是一个办法,但是在一些极端情况下,可能会导致负载失衡(因为大部分情况下,都是很多人用同一个公网 IP)。

所以,Session 共享就成为了这个问题目前主流的解决方案了。

2.Session共享

2.1 创建工程

首先 创建一个 Spring Boot 工程,引入 Web、Spring Session、Spring Security 以及 Redis:

最低0.47元/天 解锁文章
java架构学习基地
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Springboot +spring security,如何解决Session共享问题
weixin_40991408的博客
05-25 1072
Springboot +spring security,如何解决Session共享问题
Shiro之Session分析
lbl的博客
02-11 1521
本文中的时序图使用在线工具https://www.websequencediagrams.com/生成 背景:使用Spring boot搭建web工程,使用shiro做认证授权工作 疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiro的Session SecurityUtils.getSubject() 在处理请求时,可以通过Securi...
第二十三章 多项目集中权限管理及分布式会话——《跟我学Shiro》
jinnianshilongnian的专栏
04-16 666
  目录贴: 跟我学Shiro目录贴   在做一些企业内部项目时或一些互联网后台时;可能会涉及到集中权限管理,统一进行多项目的权限管理;另外也需要统一的会话管理,即实现单点身份认证和授权控制。   学习本章之前,请务必先学习《第十章 会话管理》和《第十六章 综合实例》,本章代码都是基于这两章的代码基础上完成的。   本章示例是同域名的场景下完成的,如果跨域请参考《第十五章 单点登...
SpringSecurity中的集群会话Session存在的问题以及解决方案(保持、复制、共享
SunRains
12-21 3029
在初步了解Session的时候,我们就知道Session通常是保存在服务器的内存当中的。每一次客户访问都会携带SessionId,然后在服务器的内存中寻找。虽然这种方式简单快捷,但是仍存在比较明显的缺点。服务器的内存是有限的,所以留给Session的空间不多,因此一旦用户的访问量比较多时内存就会捉襟见肘。而且因为session是存在内存当中,并不是持久化存储,就算服务器性能特别好,但是也不免存在服务器的异常停止和重启,这个时候就会导致会话状态的丢失。
Spring Security的核心和集群部署Session 共享
weixin_42739473的博客
01-24 4262
1.构建一个SpringSecurity应用 1.1Spring Boot 版本是  2.0.4.RELEASE,引入security启动器     <dependency>             <groupId>org.springframework.boot</groupId>             <artifactId>spring...
Shiro在Spring的会话管理(session
热门推荐
u012737182的博客
11-13 3万+
会话管理 在shiro里面可以发现所有的用户的会话信息都会由Shiro来进行控制,那么也就是说只要是与用户有关的一切的处理信息操作都可以通过Shiro取得,实际上可以取得的信息可以有用户名、主机名称等等,这所有的信息都可以通过Subject接口取得。System.out.println("SESSION ID = " + SecurityUtils.getSubject().getSession(
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
SpringBoot集成Spring Security登录管理 添加 session 共享
利用Spring Session和redis对Session进行共享详解
08-29
主要给大家介绍了关于利用SpringSession和redis对Session进行共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Spring-Boot-Redis-SessionSpring Boot整合Redis与Session共享
02-13
✓安全性依赖后,Security默认开启,如果不使用Security,而不是使用WebSecurityConfigurerAdapterConfig,使用2.1.5.RELEASE之前的版本,则不需要约会安全性核Session用于管理用户会话信息的API和实现。 网页Web...
spring+struts+mybatis+security+memcached+GBAC权限架构开源项目
11-13
spring+struts+mybatis+security+memcached+GBAC权限架构开源项目, 懂的自己下载看,不懂的...补充一点,因为security3对于分布式应用系统有限制,因为没有提供session共享的功能,所以建议大家自己扩展下,这里我就不累赘说
SpringSecurity整合JWT.docx
06-27
如果业务需要扩展,搭建了集群的话,还需要将session共享。 无状态登录 而什么是无状态登录呢,简而言之,就是服务的不需要再保存任何的用户信息,而是用户自己携带者信息去访问服务端,服务端通过这些信息来识别...
Spring+shiro session与线程池的坑
byt420的专栏
02-25 640
java web编程中,经常使用shiro来管理session,也确实好用 shiro来获取session的方式 SecurityUtils.getSubject().getSession() 其中SecurityUtils的getSubject代码如下 /** * Returns the currently accessible {@code Subject} availab...
退出登陆获取不到 Session
进阶的球儿
08-13 993
这里要说的是,如果在退出登陆时,在sendRedirect 之后使用 SecurityUtils.getSubject().logout(); 会导致 session 清空,所以在返回退出成功页面时,获取不到 session 里的任何信息。 @RequestMapping(value = "/logout", method = RequestMethod.GET) @...
org.apache.shiro.SecurityUtils.getSubject().getSession()
bitree1的博客
01-11 1万+
Shiro的Session管理 概述和配置使用 1.概述   Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。 2.基本使用   可以通过与当前执行的Subject 交互来获取Session: Subject currentUser...
从零开始java安全权限框架篇(七):spring security整合Redis实现session共享
qq_35755863的博客
09-09 4391
目录 一:spring security整合spring session实现session共享 二:代码 1.springsecurity的配置文件 2.自定义的session管理 三:获取到当前的所有用户以及踢出一个用户 四:用户锁定 1.我们先来看看锁定的时序图 2.流程解析 3.代码 (1)登录流程验证验证 (2)登录失败加锁 五...
SpringSecurity in Action》二: 基于redis实现session共享
shangcunshanfu的博客
04-24 3127
文章目录1 概述2 方案3 方案选择 1 概述 这一篇基于《SpringSecurity in Action》一: 基于Session实现登陆认证的简单实现 SpringSecurity基于session实现登陆认证时,有一个问题就是无法实现分布式部署,因为session是存储在某一个节点(或是某一个服务副本)的内存里的。如有这么一个用户服务,有三个副本,当进行登陆时,登陆请求打在了副本1,而进行用户列表请求时,请求打在了副本2,这时副本2是没有副本1内存中的session信息的,所以请求会失败。这当然是一
11-SpringSecuritySession共享
m0_66789766的博客
05-09 846
spring-boot-starter-test test 配置文件 server: port: 8000 spring: redis: host: 10.16.1.110 port: 6379 pool.max-idle: 8 pool.min-idle: 0 pool.max-active: 8 pool.max-wait: -1 password: timeout: 1000 资源接口 创建资源接口: 登录之后默认跳转 / ,展示当前服务的端口号。 @RestController publ
security中登录信息在session中的操作
Bruce_Json的博客
09-10 1296
一、共享用户权限信息 首先每个请求过来都就会去判断是否需要做session共享信息 如果需要session共享用户信息,如果需要就用Attribute做共享 key为SPRING_SECURITY_CONTEXT 二、获取用户权限信息 每个请求都会先去走loadContext来获取权限 如果系统做了session持久化,那么当系统重启后,用户请求过来会自动去session中获取用户权限 具体实现就是从之前共享session中的信息获取 三、退出登录使session失效 ...
shiro,redis,cache实现共享session代码中几个注意的地方改进
yuhui666666的博客
11-28 626
  shiro,redis,cache实现共享session代码中几个注意的地方改进  即shiro把session部分交给我redis管理:注意: token.setRememberMe(true);// 设计记住用户,这样才能机器转义后cookie-->session的反向生成   shiro集成cas就是把认证这块交给了cas   1, setExtNo  就这个特殊...
spring security session共享
最新发布
08-21
Spring Security中实现Session共享有多种方式,可以使用分布式缓存、数据库存储或使用单点登录(Single Sign-On)等方式。下面我将介绍一种常见的方法,即使用分布式缓存实现Session共享。 一、配置分布式缓存 1. 首先,您需要选择一个适合您的分布式缓存解决方案,比如Redis或Memcached。 2. 根据您选择的分布式缓存,添加相应的依赖到项目中,并配置缓存服务器的连接信息。 二、配置Spring Security 1. 创建一个自定义的SessionRegistry实现类,用于管理会话信息。该类可以使用缓存来存储和获取会话数据。您可以实现SessionRegistry接口,并使用分布式缓存来实现相关的方法。 2. 在Spring Security的配置类中添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private SessionRegistry sessionRegistry; @Override protected void configure(HttpSecurity http) throws Exception { http .sessionManagement() .maximumSessions(-1) .sessionRegistry(sessionRegistry) .and() .invalidSessionUrl("/login?expired") .and() // 其他的安全配置... } @Bean public HttpSessionEventPublisher httpSessionEventPublisher() { return new HttpSessionEventPublisher(); } } ``` 三、配置会话管理器 1. 创建一个自定义的会话管理器,并注入SessionRegistry实例。 例如,可以创建一个名为CustomConcurrentSessionControlStrategy的类,并实现ConcurrentSessionControlStrategy接口: ```java @Component public class CustomConcurrentSessionControlStrategy extends ConcurrentSessionControlStrategy { public CustomConcurrentSessionControlStrategy(SessionRegistry sessionRegistry) { super(sessionRegistry); } } ``` 2. 在Spring Security的配置类中添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private SessionRegistry sessionRegistry; @Autowired private CustomConcurrentSessionControlStrategy customConcurrentSessionControlStrategy; @Override protected void configure(HttpSecurity http) throws Exception { http .sessionManagement() .maximumSessions(-1) .sessionRegistry(sessionRegistry) .sessionAuthenticationErrorUrl("/login?expired") .and() .invalidSessionUrl("/login?expired") .and() // 其他的安全配置... } @Bean public HttpSessionEventPublisher httpSessionEventPublisher() { return new HttpSessionEventPublisher(); } @Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } @Bean public CustomConcurrentSessionControlStrategy customConcurrentSessionControlStrategy(SessionRegistry sessionRegistry) { return new CustomConcurrentSessionControlStrategy(sessionRegistry); } } ``` 通过以上配置,您可以启用会话共享并使用分布式缓存来存储和管理会话信息。请根据您的需求进行相应的调整和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值