spring security session-management

最新推荐文章于 2024-05-23 09:00:00 发布
最新推荐文章于 2024-05-23 09:00:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: spring 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyong313/article/details/84540300
版权

1、在配置文件中增加 一个listen

<listener>
  <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

 2、FilterChainProxy 增加 ConcurrentSessionFilter ,这个Filter 要两个属性 sessionRegistry(需要SessionRegistryImpl实例expiredUrl过滤失败时跳转的url

<http>
<custom-filter position="FORM_LOGIN_FILTER" ref="loginFilter" />
<custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrentSessionFilter" />
<!-- 防止同一用户多次登录,使第二次登录失 -->
<session-management session-authentication-strategy-ref="concurrentSessionControlStrategy" />
</http>
<!-- Login Filter -->
<beans:bean id="loginFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	 <beans:property name="sessionAuthenticationStrategy" ref="concurrentSessionControlStrategy" />
	<beans:property name="authenticationManager" ref="authenticationManager" />
	<beans:property name="authenticationSuccessHandler" ref="loginAuthenticationSuccessHandler" />
	<beans:property name="authenticationFailureHandler" ref="loginAuthenticationFailureHandler" />
</beans:bean>
<beans:bean id="concurrentSessionFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<beans:property name="sessionRegistry" ref="sessionRegistry" />
		<beans:property name="expiredUrl" value="/admin/login" />
		<beans:property name="logoutHandlers">
			<beans:list>
				<beans:ref bean="logoutHandler" />
			</beans:list>
		</beans:property>
	</beans:bean>
<beans:bean id="logoutHandler" class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler" />
<!-- the flowing settings for session management -->
<beans:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
<beans:bean id="concurrentSessionControlStrategy" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
		<beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
		<beans:property name="maximumSessions" value="1" />
		<beans:property name="migrateSessionAttributes" value="true" />
		<beans:property name="exceptionIfMaximumExceeded" value="false" />
</beans:bean>

 3、代码  AbstractAuthenticationProcessingFilter  在方法dofilter()根据属性 concurrentSessionControlStrategy的方法onAuthentication

在ConcurrentSessionFilter Filter 中做具体是通过还是不过的验证

  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        HttpSession session = request.getSession(false);

        if (session != null) {
            SessionInformation info = sessionRegistry.getSessionInformation(session.getId());

            if (info != null) {
                if (info.isExpired()) {
                    // Expired - abort processing
                    doLogout(request, response);

                    String targetUrl = determineExpiredUrl(request, info);

                    if (targetUrl != null) {
                        redirectStrategy.sendRedirect(request, response, targetUrl);

                        return;
                    } else {
                        response.getWriter().print("This session has been expired (possibly due to multiple concurrent " +
                                "logins being attempted as the same user).");
                        response.flushBuffer();
                    }

                    return;
                } else {
                    // Non-expired - update last request date/time
                    sessionRegistry.refreshLastRequest(info.getSessionId());
                }
            }
        }

        chain.doFilter(request, response);
    }

 

李永博客的主页

liyong313
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity(06)会话管理
愤怒的菜鸟博客
03-10 750
会话管理 简单总结下springsecurity 对会话的管理配置 配置 配置 http.authorizeRequests().sessionManagement() 做配置的相关操作 .and().sessionManagement(); 会话禁用 .sessionManagement().disable(); 会话过期配置 配置过期跳转url .invalidSessionUrl("/xx") 自定义过期策略 invalidSessionStrategy(new InvalidS
Spring Security Session管理
weixin_38927257的博客
11-20 619
文章目录session超时处理demo的application中加入超时配置Spring Boot 2中缺少TomcatEmbeddedServletContainerFactory(TomcatEmbeddedServletContainerFactory is missing in Spring Boot 2)看TomcatServletWebServerFactory类超时页面提醒Brows...
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2370
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
spring security 会话管理
swadian2008的博客
08-28 2085
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
Spring Security源码分析九:Spring Security Session管理
最新发布
Karka_的博客
05-23 799
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4097
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Spring SecuritySession管…
寂寞相思鸟
06-05 502
为保证用户的session安全,Spring Security可以配置以使用户同时单次在线。 也就是说,一个登陆用户只允许出现在一个session中。 第一步,在web.xml中配置session监听器监听session的声明周期。             org.springframework.security.web.session.HttpSessionEventPublisher  
spring security之会话管理
xkshihaoren的博客
12-03 841
1.会话固定攻击 会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造...
spring security 3.x session-management 会话管理失效
08-03
- 在Spring Security的XML配置文件中,`<http>`元素下的`<session-management>`用于配置会话管理。例如,可以添加`<concurrency-control>`子元素来设置并发会话策略。 - `<session-management>`还可以配置`...
spring-security-in-action
03-31
5. **会话管理(Session Management)**:Spring Security提供了会话管理功能,可以防止会话劫持、会话固定攻击等安全问题。 6. **CSRF防护**:跨站请求伪造(CSRF)是一种常见的Web攻击,Spring Security通过添加...
spring-boot-security
07-16
5. **会话管理(Session Management)**:Spring Security可以控制会话的创建、销毁以及会话固定攻击(Session Fixation)防护。默认情况下,Spring Security会自动处理会话管理。 6. **密码加密(Password ...
spring_security_management.zip
02-03
认证用户的过程:进入认证页面-->输入用户名和密码-->CSRF-->查询存储的用户数据(用户名、密码以及角色信息)-->认证完成 进行实践的项目源代码。
Spring security-包含官方文档
10-24
7. **Session Management**:Spring Security 可以控制会话的最大并发数量,防止会话固定攻击,并提供会话超时和会话劫持的防护。 8. **国际化**:Spring Security 支持多语言,可以在认证失败和权限不足时显示不同...
spring-security-examples
03-06
通过配置sessionManagement和csrf元素,可以防止会话固定攻击和CSRF攻击。 8. **OAuth2集成** "spring-security-examples"可能包含OAuth2认证的例子,展示了如何使用Spring Security作为OAuth2提供者或资源服务器...
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1305
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
Spring Security——session管理
weixin_33921089的博客
05-05 290
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1898
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
Spring Security 入门(1-7)Spring Security - Session管理
weixin_34401479的博客
06-16 176
参考链接:https://xueliang.org/article/detail/20170302232815082 session 管理 Spring Security 通过 http 元素下的子元素 session-management 提供了对 Http Session 管理的支持。 检测 session 超时 Spring Security 可以在用户使用已经超时的 sessionId 进...
Spring SecuritySession Management
01-06 752
     Spring  Security为我们提供了SessionAuthenticationStrategy接口来定制针对Session的一些特殊管理,如防Session的固定攻击, 防Session的单用户多次登陆等, 这些特殊的管理功能Spring Security都为我们提供了相应的类,如下示:       1. SessionFixationProtectionStrategy,...
springsecurity sessiontimeout
03-29
Session timeout in Spring Security refers to the amount of time a user's session can remain active without any activity. When a user logs in to a web application, a session is created for that user. The session remains active until the user logs out, or until the session timeout period expires. By default, Spring Security sets the session timeout to 30 minutes. However, this can be configured in the application's configuration file. To change the session timeout value, you need to set the `server.servlet.session.timeout` property in your `application.properties` file. For example, to set the session timeout to 60 minutes, you can add the following line to your `application.properties` file: ``` server.servlet.session.timeout=60m ``` In addition to setting the session timeout, you can also configure Spring Security to handle session expiration. For example, you can redirect the user to a login page or display a custom message when the session expires. To do this, you need to configure the `session-management` element in your Spring Security configuration file. ``` <http> ... <session-management> <concurrency-control max-sessions="1" expired-url="/login?expired=true" /> </session-management> </http> ``` In the above example, the `max-sessions` attribute limits the user to only one session at a time. If the user tries to open a new session, the previous session will be invalidated. The `expired-url` attribute specifies the URL to redirect the user to when the session expires. In this case, the user will be redirected to the login page with a query parameter indicating that the session has expired.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值