最新Spring Security实战教程(十三)会话管理机制 - 并发控制与会话固定攻击防护

最新推荐文章于 2025-04-29 22:51:36 发布
最新推荐文章于 2025-04-29 22:51:36 发布
阅读量1.9k 收藏 89
点赞数 97
分类专栏: Spring Security 文章标签: spring java 后端 spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhmyy521125/article/details/147571592
版权

在这里插入图片描述

🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》专栏19年编写主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
🌛《开源项目》本专栏主要介绍目前热门的开源项目,带大家快速了解并轻松上手使用
✨《开发技巧》本专栏包含了各种系统的设计原理以及注意事项,并分享一些日常开发的功能小技巧
💕《Jenkins实战》专栏主要介绍Jenkins+Docker的实战教程,让你快速掌握项目CI/CD,是2024年最新的实战教程
🌞《Spring Boot》专栏主要介绍我们日常工作项目中经常应用到的功能以及技巧,代码样例完整
🌞《Spring Security》专栏中我们将逐步深入Spring Security的各个技术细节,带你从入门到精通,全面掌握这一安全技术
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~

最新Spring Security实战教程(十三)会话管理机制 - 并发控制与会话固定攻击防护

回顾链接:
最新Spring Security实战教程(一)初识Spring Security安全框架
最新Spring Security实战教程(二)表单登录定制到处理逻辑的深度改造
最新Spring Security实战教程(三)Spring Security 的底层原理解析
最新Spring Security实战教程(四)基于内存的用户认证
最新Spring Security实战教程(五)基于数据库的动态用户认证传统RBAC角色模型实战开发
最新Spring Security实战教程(六)最新Spring Security实战教程(六)基于数据库的ABAC属性权限模型实战开发
最新Spring Security实战教程(七)方法级安全控制@PreAuthorize注解的灵活运用
最新Spring Security实战教程(八)Remember-Me实现原理 - 持久化令牌与安全存储方案
最新Spring Security实战教程(九)前后端分离认证实战 - JWT+SpringSecurity无缝整合
最新Spring Security实战教程(十)权限表达式进阶 - 在SpEL在安全控制中的高阶魔法
最新Spring Security实战教程(十一)CSRF攻防实战 - 从原理到防护的最佳实践
最新Spring Security实战教程(十二)CORS安全配置 - 跨域请求的安全边界设定

专栏更新完毕后,博主将会上传所有章节代码到CSDN资源免费给大家下载,如你不想等后续章节代码需提前获取,可以私信或留言!

1. 前言

在Web应用安全体系中,会话管理是认证授权后的重要防线。攻击者常通过会话劫持会话固定突破系统边界,而业务系统则面临并发滥用带来的资源风险。

Spring Security 的会话管理模块由 SessionManagementFilter 与一系列 SessionAuthenticationStrategy 共同协作,负责在用户登录或访问受保护资源时执行统一的会话检查与策略​。默认情况下,框架允许单个用户拥有无限多个并发会话,而在每次登录时会执行会话固定保护策略,将旧 Session ID 迁移到新 Session 中,以防止攻击者利用已有的 Session ID 进行劫持。

在本章节博主将基于 Spring Security 6,带着小伙伴深入解析会话管理的安全实践。

2. 会话固定攻击防护原理

2.1 攻击概述

会话固定(Session Fixation)指攻击者诱导受害者在已知的 Session ID 下登录,随后持该 ID 进行未授权操作。Spring Security 通过 会话固定保护策略,在每次用户登录后刷新 Session ID 来防御此类攻击

攻击流程解析:
在这里插入图片描述

2.2 Spring Security防御策略

SessionManagementFilter 在认证成功后,会调用相应的 SessionAuthenticationStrategy,执行上述策略。migrateSession() 在底层通过 HttpServletRequest.changeSessionId()复制属性到新 Session 来实现 ID 刷新,有效防止攻击者使用固定 ID 进行入侵

配置样例

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            // 启用会话固定防护,采用迁移会话策略
            .sessionManagement(session -> session
                .sessionFixation(fix -> 
                	fix.migrateSession() // 默认:保留旧数据,生成新 Session ID
                	// fix.changeSessionId // 变更会话ID
                	// fix.newSession()  // 完全新建 Session,不保留任何属性
                	// fix.none()        // 禁用保护(不推荐)
                ) 
            )
            .authorizeHttpRequests(auth -> auth
                .anyRequest().authenticated()
            );
        return http.build();
    }
}

配置说明

  • none:不做任何处理,不推荐使用
  • changeSessionId:认证后变更会话ID
  • newSession:创建全新、干净的 Session,不复制原属性;
  • migrateSession(默认):创建新 Session 并复制原有属性,保留必要数据同时更换 ID,防范攻击者利用旧 ID

3. 并发会话控制方案

当同一账号在多个地方登录后,可能带来数据冲突、授权混乱甚至资源浪费。Spring Security 通过并发会话控制,可限制用户的最大在线会话数,并在超过限制时选择“踢出旧会话”或“拒绝新登录”两种策略

3.1 为什么要限制并发会话?

  • 防止账号共享:同一账号在多处登录可能意味着凭证泄露;
  • 防范会话劫持:一旦旧会话被劫持,可通过限制数量来自动踢出旧会话

3.2 核心组件

  • SessionRegistry:维护用户与其活跃 Session 的映射;
  • ConcurrentSessionControlAuthenticationStrategy:在用户登录时检查并发会话数量,超过上限可抛出 SessionAuthenticationException 或踢出最早会话;
  • HttpSessionEventPublisher:侦听 HttpSessionEvent,在 Session 销毁时同步更新 SessionRegistry

3.3 配置样例

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    // 1. 注册Session事件监听器,以使 Spring Security 能够及时了解会话生命周期事件
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .sessionManagement(session -> session
                .maximumSessions(1)   // 同一用户仅允许 1 个会话
                .maxSessionsPreventsLogin(true) // 超出拒绝后续登录;false 则踢出最早会话
                .expiredUrl("/login?expired") // 会话过期后重定向地址
            );
        return http.build();
    }
}

4. 测试验证方案

为了演示本次并发控制与会话固定攻击防护的功能,这里博主借鉴官方的样例代码稍做调整进行演示

官方样例代码:https://github.com/spring-projects/spring-security-samples/tree/main/servlet/spring-boot/java/session-management/maximum-sessions

❶ 确保引入spring-security-test

<dependencies>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
        </dependency>
    </dependencies>

❷ 编写配置类

@Configuration
@EnableWebSecurity
public class SessionSecurityConfig {
    // 1. 注册Session事件监听器,以使 Spring Security 能够及时了解会话生命周期事件
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http    .authorizeHttpRequests((authorizeRequests) -> authorizeRequests
                        .anyRequest().authenticated()).formLogin(withDefaults())

                .sessionManagement(session -> session
                        .sessionFixation(sf -> sf.migrateSession())

                        .maximumSessions(1)   // 同一用户仅允许 1 个会话
                        .maxSessionsPreventsLogin(true) // 超出拒绝后续登录;false 则踢出最早会话
                        .expiredUrl("/login?expired") // 会话过期后重定向地址
                );
        return http.build();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
                .username("user")
                .password("password")
                .roles("USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }
}

❸ 编写测试请求

@RestController
public class HomeController {
    @GetMapping("/")
    public String hello() {
        return "hello";
    }
}

❹ 编写测试类

import com.toher.springsecurity.demo.session.management.DemoSessionApplication;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.mock.web.MockHttpSession;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;

import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestBuilders.formLogin;
import static org.springframework.security.test.web.servlet.response.SecurityMockMvcResultMatchers.authenticated;
import static org.springframework.security.test.web.servlet.response.SecurityMockMvcResultMatchers.unauthenticated;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;

/**
 * @Description:
 * @Auther: Micro麦可乐
 */
@SpringBootTest(classes = DemoSessionApplication.class) // 替换为实际的主配置类
@AutoConfigureMockMvc
public class SessionConcurrencyTest {

    @Autowired
    private MockMvc mockMvc;

    @Test
    void testConcurrentLogin() throws Exception {
        // 第一次登录
        MvcResult mvcResult = mockMvc.perform(formLogin())
                .andExpect(authenticated())
                .andReturn();
        MockHttpSession firstLoginSession = (MockHttpSession) mvcResult.getRequest().getSession();

        mockMvc.perform(get("/").session(firstLoginSession))
                .andExpect(authenticated());

        // 第二次登录将被拒绝
        mockMvc.perform(formLogin()).andExpect(authenticated());


        // 验证第一次会话已失效
        mockMvc.perform(get("/").session(firstLoginSession))
                .andExpect(unauthenticated());
    }
}

❺ 并行运行测试

我们需要观察控制台信息返回,小伙伴可以调整 .maxSessionsPreventsLogin(true) 值以测试第二次登陆是拒绝,还是退出最早会话
第一次登陆请求

在这里插入图片描述

测试请求获取数据

在这里插入图片描述

再次登陆发起请求返回登陆页

在这里插入图片描述

❻ 会话固定攻击模拟

# 获取初始会话ID
curl -I http://localhost:8080/login
Set-Cookie: JSESSIONID=12345; Path=/; HttpOnly

# 使用固定会话ID尝试认证
curl -X POST http://localhost:8080/login \
     -H "Cookie: JSESSIONID=12345" \
     -d "username=admin&password=123456"

# 验证响应是否生成新会话ID
Set-Cookie: JSESSIONID=67890; Path=/; HttpOnly

以该 ID 发起登录请求,登录后检查返回的 Set-Cookie 中 Session ID 是否已更换,验证 ID 刷新策略

5. 会话事件监听器

很多时候我们会话失效我们会进行一些操作,如:日记记录,那么就可以会话事件监听器来实现,如

@Component
public class SessionActivityListener implements ApplicationListener<SessionDestroyedEvent> {

    @Override
    public void onApplicationEvent(SessionDestroyedEvent event) {
        event.getSecurityContexts().forEach(context -> {
            AuditLog.log("会话终止", 
                context.getAuthentication().getName(),
                "原因: " + event.getSessionId());
        });
    }
}

6. 结语

通过本章节的讲解配置与实战示例,结合 sessionFixation().migrateSession()maximumSessions(...) 等配置,相信小伙伴已掌握 Spring Security 的并发会话控制与会话固定防护策略,能够为应用构建坚实的会话安全防线。

如果你在实践过程中有任何疑问或更好的扩展思路,欢迎在评论区留言,最后希望大家 一键三连 给博主一点点鼓励!

在这里插入图片描述

Spring Security 6.x 系列(14)—— 会话管理会话固定攻击防护及Session共享
gmHappy
01-03 3022
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Spring Security系列教程20--会话管理之会话并发控制
一一哥
10-18 1340
前言 现在我们已经掌握了如何防御会话固定攻击,以及在会话过期时的处理策略,但是这些都是针对单个HttpSession来说的,对于会话来说,我们还有另一种情况需要考虑:会话并发控制! 那什么是会话并发控制呢?假如我想实现 “在我们的网站中,同一时刻只允许一个用户登录” 这样的效果,该怎么做? 请各位带着以上的这些问题,跟着 一一哥 继续往下学习吧。 一. 会话并发控制 1. 会话并发控制 首先我们来了解一下会话并发控制的概念。 有时候出于安全的目的,我们可能会有这样的需求,就是规定在同一个系统中
Spring Security(学习笔记) --会话管理(会话并发管理实现以及源码分析,会话固定攻击)!
TONGZHOUGONGDU的博客
04-28 1125
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security中的防火墙。
Spring Security系列教程18--会话管理之防御固定会话攻击
一一哥
10-12 1288
前言 在前面几个章节中,一一哥 带各位学习了如何实现基于数据库进行认证授权,如何给登录界面添加图形验证码,如何进行自动登录和注销登录,那么Spring Security的功能难道只有这些吗?肯定不是的,它的宝藏还有很多,我们还需要继续往下学习研究。 今天 壹哥 就带各位学习另一个很重要的功能,就是会话管理! 你可能会问:会话管理?干嘛的?有哪些效果?我们想一下: 我们的项目上线后,如果黑客对我们的项目进行会话固定攻击怎么办? 如果用户登录后,长时间不进行任何操作,要不要让用户重新登录? 如果你
Spring全家桶-Spring Security之会话并发控制集群解决
HQ DevJ的专栏
05-27 1238
Spring全家桶-Spring Security之会话并发控制集群解决 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之会话并发控制集群
Spring Security(十)会话并发控制->JDBC陷阱
core815的专栏
10-11 313
Spring Security中principals采用了以用户信息为key的设计。由于在hashMap中,以对象为key必须覆写hashCode和equals方法,但我们实现UserDetails时并没有这么做,这导致同一用户每次登录注销时计算得到的key都不相同,所以每次登录都会向principals中添加一个用户,而注销时却从来不能有效移除。在这种情况下,不仅达不到会话并发控制的效...
Spring Security中的会话【Session】管理防御以及会话的并发控制
SunRains
12-17 4698
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
爆破专栏丨Spring Security系列教程会话管理之会话并发控制_springboot限制一个页面出现两个会话(1)
Python毕设源码程序王哥
04-20 787
*maximum Sessions: 表示最大并发会话数,设置单个用户允许同时在线的最大会话数,如果没有额外配置,重新登录的会话会踢掉旧的会话。我们可以在SecurityConfig配置类中,通过maximumSessions()方法来置单个用户允许同时在线的最大并发会话数,如果没有额外配置,重新登录的会话会踢掉旧的会话。用户从不同的浏览器登录,都会有对应的session,当用户注销登录之后,session就会失效,但是默认的失效是通过调用。如果你能答对70%,找一个安全工作,问题不大。
Spring Security(九)会话并发控制->监听注销
core815的专栏
10-11 724
在上一文章中,我们尝试将已经登录的旧会话注销(通常访问/logout),理论上应该可以继续登录了,但实际上Spring Security依然提示我们超过了最大会话数。事实上,除非重启服务,否则该用户将很难再次登录系统。这是因为Spring Security是通过监听session的销毁事件来触发会话信息表相关清理工作的,但我们并没有注册过相关的监听器,导致Spring Security无法...
使用Spring Security控制会话的方法
08-26
Spring Security 提供了多种方式来管理会话,包括会话超时、并发会话控制等。在 XML 配置中,可以使用 `<session-management>` 元素来管理会话。 ```xml <session-management> <concurrency-control max-sessions...
spring security 3.x session-management 会话管理失效
08-03
Spring Security中,会话管理主要涉及到会话固定防护(Session Fixation Protection)和会话超时(Session Timeout)。 2. **会话固定防护** - 会话固定攻击是一种常见的安全威胁,攻击者通过获取用户的会话ID来...
SpringBootSpringCloud场景题深度解析
南客先生的博客
04-29 297
本场面试主要围绕SpringBootSpringCloud项目中的应用场景展开,包括SpringBoot的自动配置、SpringCloud的服务注册发现以及分布式系统中的容错处理等问题。通过深入探讨和多种解决方案的对比,展示了候选人在实际生产环境中解决问题的能力。希望本文能帮助广大Java求职者更好地应对面试挑战。
SpringBoot UserAgentUtils获取用户浏览器 操作系统设备统计 信息统计 日志入库
生产队的驴
04-27 473
UserAgentUtils 是于处理用户代理(User-Agent)字符串的工具类,一般用于解析和处理浏览器、操作系统以及设备等相关信息,这些信息通常包含在接口请求的 User-Agent 字符串中。这个库可以用于解析用户代理头,以提取有关所使用的浏览器、浏览器版本、平台、平台版本和设备类型的信息。对于确定客户端是否是台式机、平板电脑或移动设备,或者客户端是否在Windows或Mac OS上(仅举几例)非常有用。超过150种不同的浏览器;7种不同的浏览器类型;超过60种不同的操作系统;
Spring MVC 基础 - 从零构建企业级Web应用
weixin_46619605的博客
04-28 1227
Spring MVC 基础 - 从零构建企业级Web应用
springboot不连接数据库启动(原先连接了mysql数据库)
uncofish的博客
04-27 281
配置application.properties。配置H2内存数据库(无需真实数据库)
springspring bootspring cloud三者区别
帅帅的廉颇的博客
04-23 1185
Spring(基础) → Spring Boot(快速开发) → Spring Cloud(分布式扩展)
Springoot、Flowable快速学习
qq_39035267的博客
04-25 566
Springoot、Flowable快速学习,你想象不到实现起来如此的简单
在面试中被问到spring是什么?
qq_62112907的博客
04-23 1755
数据访问、事务管理等模块化功能。它的优势在于简化开发、提升可维护性,并通过Spring BootSpring Cloud等子项目支持快速构建独立应用和微服务架构。,旨在简化Java应用的开发,提供全面的编程和配置模型。:Spring诞生于2003年,最初为解决EJB的复杂性,现已成为Java生态的事实标准。:将横切关注点(如日志、事务、权限)从业务逻辑中分离,通过动态代理实现代码复用。:统一数据访问层,支持JPA、MongoDB、Redis等。:快速构建独立、生产级应用,简化配置(约定优于配置)。
SpringBoot获取用户信息常见问题(密码屏蔽、驼峰命名和下划线命名的自动转换)
最新发布
运维@小兵的博客
04-29 549
SpringBoot获取用户信息常见问题(密码屏蔽、驼峰命名和下划线命名的自动转换)
评论 59
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micro麦可乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值