spring security session-management

最新推荐文章于 2024-07-09 14:13:47 发布
最新推荐文章于 2024-07-09 14:13:47 发布
阅读量1.5k 收藏
点赞数
分类专栏: spring 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyong313/article/details/84540300
版权

1、在配置文件中增加 一个listen

<listener>
  <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

 2、FilterChainProxy 增加 ConcurrentSessionFilter ,这个Filter 要两个属性 sessionRegistry(需要SessionRegistryImpl实例expiredUrl过滤失败时跳转的url

<http>
<custom-filter position="FORM_LOGIN_FILTER" ref="loginFilter" />
<custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrentSessionFilter" />
<!-- 防止同一用户多次登录,使第二次登录失 -->
<session-management session-authentication-strategy-ref="concurrentSessionControlStrategy" />
</http>
<!-- Login Filter -->
<beans:bean id="loginFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	 <beans:property name="sessionAuthenticationStrategy" ref="concurrentSessionControlStrategy" />
	<beans:property name="authenticationManager" ref="authenticationManager" />
	<beans:property name="authenticationSuccessHandler" ref="loginAuthenticationSuccessHandler" />
	<beans:property name="authenticationFailureHandler" ref="loginAuthenticationFailureHandler" />
</beans:bean>
<beans:bean id="concurrentSessionFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<beans:property name="sessionRegistry" ref="sessionRegistry" />
		<beans:property name="expiredUrl" value="/admin/login" />
		<beans:property name="logoutHandlers">
			<beans:list>
				<beans:ref bean="logoutHandler" />
			</beans:list>
		</beans:property>
	</beans:bean>
<beans:bean id="logoutHandler" class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler" />
<!-- the flowing settings for session management -->
<beans:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
<beans:bean id="concurrentSessionControlStrategy" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
		<beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
		<beans:property name="maximumSessions" value="1" />
		<beans:property name="migrateSessionAttributes" value="true" />
		<beans:property name="exceptionIfMaximumExceeded" value="false" />
</beans:bean>

 3、代码  AbstractAuthenticationProcessingFilter  在方法dofilter()根据属性 concurrentSessionControlStrategy的方法onAuthentication

在ConcurrentSessionFilter Filter 中做具体是通过还是不过的验证

  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        HttpSession session = request.getSession(false);

        if (session != null) {
            SessionInformation info = sessionRegistry.getSessionInformation(session.getId());

            if (info != null) {
                if (info.isExpired()) {
                    // Expired - abort processing
                    doLogout(request, response);

                    String targetUrl = determineExpiredUrl(request, info);

                    if (targetUrl != null) {
                        redirectStrategy.sendRedirect(request, response, targetUrl);

                        return;
                    } else {
                        response.getWriter().print("This session has been expired (possibly due to multiple concurrent " +
                                "logins being attempted as the same user).");
                        response.flushBuffer();
                    }

                    return;
                } else {
                    // Non-expired - update last request date/time
                    sessionRegistry.refreshLastRequest(info.getSessionId());
                }
            }
        }

        chain.doFilter(request, response);
    }

 

李永博客的主页

liyong313
关注
专栏目录
Spring Session -- Spring Security Integration Spring Security 集成
kxh166的博客
10-18 235
Spring Session 提供管理用户会话信息的 API 和实现。使支持集群会话变得简单,而无需绑定到特定于应用程序容器的解决方案,还提供与以下各项(HttpSession、WebSocket、WebSessionSpring Security)的透明集成
Spring Security(13)——session管理
Elim的博客
06-09 8471
Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1     检测session超时       Spring Security可以在用户使用已经超时的sessionId进行请求时将用户引导到指定的页面。这个可以通过如下配置来实现。         ...            "/session_time
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
Spring SecuritySession Management
01-06 776
     Spring  Security为我们提供了SessionAuthenticationStrategy接口来定制针对Session的一些特殊管理,如防Session的固定攻击, 防Session的单用户多次登陆等, 这些特殊的管理功能Spring Security都为我们提供了相应的类,如下示:       1. SessionFixationProtectionStrategy,...
SpirngSecurity-会话管理(sessionManagement)(三)
最新发布
znjy111的博客
07-09 795
SpringSecurity默认是通过session对用户的登录进行管理的,如果想控制同一时间,只允许用户在一个地方登录,就需要使用SpringSecuritysessionManagement功能。基于上一节的分支,我们新建一个spring-security-session-management分支。
Spring SecuritySession管理
Evan_L的博客
04-21 1962
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2436
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
Session Management
weixin_34075268的博客
03-14 245
Qt 5.3Session Management Qt 5.3.2 Reference DocumentationContentsShutting a Session DownProtocols and Support on Different PlatformsGetting Session Management to Work with QtTesting and Debugging Sess...
spring-security-in-action
03-31
5. **会话管理(Session Management)**:Spring Security提供了会话管理功能,可以防止会话劫持、会话固定攻击等安全问题。 6. **CSRF防护**:跨站请求伪造(CSRF)是一种常见的Web攻击,Spring Security通过添加...
Spring Security系列】Spring Security整合Spring Session解决集群会话问题
qq_28248897的博客
07-02 974
Spring Security提供的会话并发控制是基于内存实现的,在集群部署时如果想要使用会话并发控制,则必须进行适配。 session共享,本质上就是存储容器的变动,但如何得到最优存取结构、如何准确清理过期会话,以及如何整合WebSocket等无法回避。Spring Session就是专门用于解决集群会话问题的,它不仅为集群会话提供了非常完善的支持,与Spring Security的整合也有专门的实现。 Spring Session支持多种类型的存储容器,包括Redis、MongoDB等。由于接下来的整合
SpringSecurity中文文档—Authentication—Session Management
Logger
03-06 766
文章目录Detecting TimeoutsConcurrent Session ControlSession Fixation Attack Protection Detecting Timeouts 您可以将Spring Security配置为检测无效会话ID的提交,并将用户重定向到适当的URL。这是通过会话管理元素实现的: @Override protected void configure(HttpSecurity http) throws Exception{ http .
SpringSecurity Session管理
Curtisjia的博客
10-31 313
目录Session管理Session超时设置Session并发控制 Session管理 Session超时设置 Session超时时间也就是用户登录的有效时间。要设置Session超时时间很简单,只需要在配置文件中添加: server: servlet: session: timeout: 60 #1分钟 Session的最小有效期为60秒,也就是说即使你设置为小于60秒的值,其有效期还是为60秒 在Spring Security中配置Session管理器,并配置Session失效
Spring Security——session管理
weixin_33921089的博客
05-05 302
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1335
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
SpringSecurity-暂未完成-SessionManagementConfigurer类
文天大人
09-15 1110
怀念二抱三抱
Spring SecuritySession管…
寂寞相思鸟
06-05 520
为保证用户的session安全,Spring Security可以配置以使用户同时单次在线。 也就是说,一个登陆用户只允许出现在一个session中。 第一步,在web.xml中配置session监听器监听session的声明周期。             org.springframework.security.web.session.HttpSessionEventPublisher  
springsecurity sessiontimeout
03-29
To do this, you need to configure the `session-management` element in your Spring Security configuration file. ``` ... <session-management> <concurrency-control max-sessions="1" expired-url="/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值