Spring Security登出Session失效

最新推荐文章于 2024-06-08 17:30:00 发布
最新推荐文章于 2024-06-08 17:30:00 发布
阅读量4.5k 收藏 10
点赞数
分类专栏: JAVA
原文链接:https://mrbird.cc/Spring-Security-Session-Manage.html
版权

一、配置Session和自定义登出

package com.sf.browser;

import com.sf.config.MySessionExpiredStrategy;
import com.sf.filter.ValidateCodeFilter;
import com.sf.handler.MyAuthenticationFailureHandler;
import com.sf.handler.MyAuthenticationSucessHandler;
import com.sf.handler.MyLogOutSuccessHandler;
import com.sf.service.impl.UserDetailService;
import com.sf.smsvalidate.SmsAuthenticationConfig;
import com.sf.smsvalidate.SmsCodeFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

@Configuration
@EnableWebSecurity
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationSucessHandler authenticationSucessHandler;

    @Autowired
    private MyAuthenticationFailureHandler authenticationFailureHandler;

    @Autowired
    private ValidateCodeFilter validateCodeFilter;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private UserDetailService userDetailService;


    @Autowired
    private SmsCodeFilter smsCodeFilter;

    @Autowired
    private SmsAuthenticationConfig smsAuthenticationConfig;

    @Autowired
    private MySessionExpiredStrategy mySessionExpiredStrategy;

    @Autowired
    private MyLogOutSuccessHandler logOutSuccessHandler;


    @Autowired
    SessionRegistry sessionRegistry;

    /**
     * .loginPage("/login.html")指定了跳转到登录页面的请求URL,
     * .loginProcessingUrl("/login")对应登录页面form表单的action="/login",
     * .antMatchers("/login.html").permitAll()表示跳转到登录页面的请求不被拦截
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class) // 添加验证码校验过滤器
                .addFilterBefore(smsCodeFilter, UsernamePasswordAuthenticationFilter.class) // 添加短信验证码校验过滤器
                .formLogin() // 表单登录
                // http.httpBasic() // HTTP Basic
                .loginPage("/authentication/require") // 登录跳转 URL, 进行验证或者登陆页 跳转
                .loginProcessingUrl("/login") // 处理表单登录 URL
                .successHandler(authenticationSucessHandler) // 处理登录成功
                .failureHandler(authenticationFailureHandler) // 处理登录失败
                .and()
                .rememberMe()
                .tokenRepository(persistentTokenRepository()) // 配置 token 持久化仓库
                .tokenValiditySeconds(3600) // remember 过期时间,单为秒
                .userDetailsService(userDetailService) // 处理自动登录逻辑
                .and()
                .authorizeRequests() // 授权配置
                .antMatchers("/authentication/require", "/login.html", "/code/image",
                        "/code/sms", "/session/invalid", "/css/*", "/js/*", "/login1.html", "/statics/**", "/signout/success").permitAll() // 登录跳转 URL 无需认证 (含登录页的静态资源)
                .anyRequest()  // 所有请求
                .authenticated() // 都需要认证
                .and()
                .sessionManagement() // 添加 Session管理器
                .invalidSessionUrl("/session/invalid") // Session失效后跳转到这个链接
                .maximumSessions(1) //最大session并发数量,超过定义数量前一个session就会失效
                .maxSessionsPreventsLogin(true) //Session达到最大有效数的时候,不再允许相同的账户登录。
                .expiredSessionStrategy(mySessionExpiredStrategy)//配置了Session在并发下失效后的处理策略;
                .sessionRegistry(sessionRegistry)//添加 session 注册
                .and()
                .and()
                .logout()//自定义退出登录
                .logoutUrl("/signout")//退出登录的URL
                .invalidateHttpSession(true)
                //.logoutSuccessUrl("/signout/success")//退出成功后跳转的URL
                .deleteCookies("JSESSIONID")//退出成功后删除名称为JSESSIONID的cookie, 删除不成功???
                .logoutSuccessHandler(logOutSuccessHandler) //logoutSuccessHandler指定退出成功处理器来处理退出成功后的逻辑:
                .and()
                .csrf().disable()// 关闭 CSRF攻击防御关了
                .apply(smsAuthenticationConfig);// 将短信验证码认证配置加到 Spring Security 中
    }


    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 配置token持久化对象
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();//默认表
        jdbcTokenRepository.setDataSource(dataSource);
        jdbcTokenRepository.setCreateTableOnStartup(false);
        return jdbcTokenRepository;
    }
    
    
    /**
     * 用户登录以后security 会把生成的session 放到 SessionRegistry 里面。那么我门想让session 失效只用找到对应的session,然后将它从SessionRegistry 中剔除出去就好了。
     * 但是查看了源码发现SessionRegistry 是 final 。。。。。这个可怎么办呢?
     * 自己new 一个对象吧,所以我就new SessionRegistry(),并用我自己的SessionRegistry管理session 咯
     */
    @Bean
    public SessionRegistry getSessionRegistry(){
        SessionRegistry sessionRegistry=new SessionRegistryImpl();
        return sessionRegistry;
    }
}

二、自定义登出SuccessHandler,在里面出来登录用户的session,不然虽然登出但是session还有效,下次登录会累加session次数,超出上面配置的maximumSessions,会提示 "Maximum sessions of {n} for this principal exceeded"

package com.sf.handler;

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.session.SessionInformation;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.List;


@Component
public class MyLogOutSuccessHandler implements LogoutSuccessHandler {

	@Autowired
	private SessionRegistry sessionRegistry;

	@Override
	public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
		System.out.println(authentication);
		System.out.println(authentication.getName());
		List<Object> o= sessionRegistry.getAllPrincipals();
		//退出成功后删除当前用户session
		for (Object principal : o) {
			if (principal instanceof User) {
				final User loggedUser = (User) principal;
				if (authentication.getName().equals(loggedUser.getUsername())) {
					List<SessionInformation> sessionsInfo = sessionRegistry.getAllSessions(principal, false);
					if (null != sessionsInfo && sessionsInfo.size() > 0) {
						for (SessionInformation sessionInformation : sessionsInfo) {
							sessionInformation.expireNow();
						}
					}
				}
			}
		}

		httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
		httpServletResponse.setContentType("application/json;charset=utf-8");
		httpServletResponse.getWriter().write("退出成功,请重新登录");
	}
}

 

旺枝
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Springboot +spring security,如何解决Session共享问题
weixin_40991408的博客
05-25 1150
Springboot +spring security,如何解决Session共享问题
springsecuritysession失效后怎样处理_结合Spring Security进行web应用会话安全管理
weixin_36308872的博客
01-25 1133
结合Spring Security进行web应用会话安全管理在本文中,将为大家说明如何结合Spring Security 管理web应用的会话。如果您阅读后觉得本文对您有帮助,期待您能关注、转发!您的支持是我不竭的创作动力!一、Spring Security创建使用session的方法Spring Security提供4种方式精确的控制会话的创建:always:如果当前请求没有session存在,...
Spring Security源码分析九:Spring Security Session管理
最新发布
ZL_1618的博客
06-08 666
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
spring boot security 配置session失效
gm371200587的博客
05-22 6505
1.启动类文件夹中加入一个filter package com.mozi.hip.empi.web.config;   import java.io.IOException;   import javax.servlet.FilterChain; import javax.servlet.ServletException; import j...
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
关于spring security session失效,ajax报错的解决
lilovfly的专栏
09-23 1835
今天发现spring security 保存的用户名,把一些特殊符号转义,今天发现通过 reques的方式取到发现下划线转移了,这个问题也是无意间看到了。     关于session失效后,spring security  ajax请求受限的资源会出现,例如:    $.ajax({ type: 'POST',   url: url,   data: data,   success:
springmvc 功能 登出_详解springmvc控制登录用户session失效后跳转登录页面
weixin_39607474的博客
12-19 140
springmvc控制登录用户session失效后跳转登录页面,废话不多少了,具体如下:第一步,配置 web.xml15第二步,配置spring-mvc.xml第三步,写拦截器SystemSessionInterceptor 方法public class SystemSessionInterceptor implements HandlerInterceptor {private static f...
SpringSecurity的单机session管理、session超时处理、session失效保证用户只能登录一个浏览器,换一个会挤掉前一个登录
一点光辉的博客
02-05 1295
目录 session超时处理 session并发控制 如果要进行其他的一些特殊处理,比如判断是谁挤掉了上一个session,在@configuration中 如果要保证第一个浏览器登录,不让其他浏览器登录 session集群管理 session超时处理 在配置文件加上时间 //单位是秒,默认是30分钟 server.session.timeout = 10 配置了上面的没有生效...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
Spring Security区分session失效与踢出登录策略
绅士jiejie的博客
04-04 3198
Spring Security区分session失效与踢出登录策略
Spring Security框架中禁用Session
test1372965955的博客
05-06 983
【代码】在Spring Security框架中禁用Session
Spring Security登录超时,angular ajax请求出错自动跳转至登录页(jQuery也适用)
weixin_33882452的博客
07-18 225
  公司开发采用Spring Security+AngualerJS框架,在session过期之后,ajax请求会直接出错。本文介绍如何实现出错情况下自动跳转至登录页。   整体思路是,session过期后,ajax请求返回401 unauthentication错误,前端对$http服务添加拦截器,对401错误进行跳转处理,跳转至登录页。   由于session过期,需要验证的请求(不论是不...
Spring-Security笔记12 Session管理
杨毅的专栏
03-01 2042
Spring-security.xml中配置&lt;!-- Session管理 --&gt; &lt;!-- invalid-session-url Session失效后跳转的界面 --&gt; &lt;sec:session-management invalid-session-url="/sessionInvalid.do?message=invalid-session"  session-...
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案
Java大数据联盟
03-20 2104
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案1 问题描述2 问题重现2.1 使用默认的用户登录页面,退出成功2.2 使用自定义的用户登录页面,退出失败3 原因分析3.1 对比两次请求3.2 分析执行原理3.3 分析结果总结4 解决方法4.1 使用POST请求/logout4.2 使用自定义的RequestMatcher4.3 改变默认的RequestM...
spring security登出
10-12
Spring Security中,可以通过调用logout()方法来实现用户登出。具体实现步骤如下: 1. 在Spring Security配置类中,使用logout()方法配置登出相关信息,例如登出URL、成功登出后跳转的页面等。 2. 在前端页面中,通过发送POST请求到登出URL,触发用户登出操作。 3. 在用户登出成功后,Spring Security会自动清除用户的认证信息,并将用户重定向到指定的页面。 示例代码如下: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // 配置其他安全相关信息 .logout() .logoutUrl("/logout") // 配置登出URL .logoutSuccessUrl("/login?logout") // 配置成功登出后跳转的页面 .invalidateHttpSession(true) // 清除session .deleteCookies("JSESSIONID"); // 删除cookie } } ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值