SessionManagementConfigurer和SecurityContextConfigurer

最新推荐文章于 2024-07-09 14:13:47 发布
最新推荐文章于 2024-07-09 14:13:47 发布
阅读量880 收藏 2
点赞数 1
分类专栏: Spring Authorization Server 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m13012606980/article/details/126427921
版权

SessionManagementConfigurer

介绍SessionManagementConfigurer的ini和configure方法执行流程。

init

init方法主要根据session创建策略来构建SecurityContextRepository以及创建SessionAuthenticationStrategy存放在HttpSecurity上下文配置中。

public void init(H http) {
	SecurityContextRepository securityContextRepository = http.getSharedObject(SecurityContextRepository.class);
	boolean stateless = isStateless();// 1
	if (securityContextRepository == null) {
		if (stateless) {// 2
			http.setSharedObject(SecurityContextRepository.class, new NullSecurityContextRepository());
		}
		else {
			HttpSessionSecurityContextRepository httpSecurityRepository = new HttpSessionSecurityContextRepository();
			httpSecurityRepository.setDisableUrlRewriting(!this.enableSessionUrlRewriting);
			httpSecurityRepository.setAllowSessionCreation(isAllowSessionCreation());
			AuthenticationTrustResolver trustResolver = http.getSharedObject(AuthenticationTrustResolver.class);
			if (trustResolver != null) {
				httpSecurityRepository.setTrustResolver(trustResolver);
			}
			http.setSharedObject(SecurityContextRepository.class, httpSecurityRepository);
		}
	}
	RequestCache requestCache = http.getSharedObject(RequestCache.class);
	if (requestCache == null) { // 3
		if (stateless) {
			http.setSharedObject(RequestCache.class, new NullRequestCache());
		}
	}
	http.setSharedObject(SessionAuthenticationStrategy.class, getSessionAuthenticationStrategy(http));// 4
	http.setSharedObject(InvalidSessionStrategy.class, getInvalidSessionStrategy());
}

1、判断是否是否无状态的,如果想指定无状态可进行如下配置:

RequestMatcher endpointsMatcher = authorizationServerConfigurer.getEndpointsMatcher();
http.requestMatcher(endpointsMatcher)
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS).

2、如果是无状态的则设置SecurityContextRepository为NullSecurityContextRepository,否则SecurityContextRepository设置为HttpSessionSecurityContextRepository
3、如果requestCache 为空(初次执行为null)并且stateless为true(说明是无状态的)则设置RequestCache为NullRequestCache,
4、getSessionAuthenticationStrategy(http)作用是通过AutowireBeanFactoryObjectPostProcessor把ChangeSessionIdAuthenticationStrategy实例(SessionAuthenticationStrategy的实现类)定义成Bean,作为CompositeSessionAuthenticationStrategy(List delegateStrategies)构造函数的delegateStrategies的一个元素对CompositeSessionAuthenticationStrategy进行实例化,然后把CompositeSessionAuthenticationStrategy实例通过AutowireBeanFactoryObjectPostProcessor定义成bean,最后把CompositeSessionAuthenticationStrategy实例返回。然后把key(SessionAuthenticationStrategy.class),value(CompositeSessionAuthenticationStrategy实例)存放在H(HttpSecurity)#sharedObject属性Map集合中。

configure

主要是为创建SessionManagementFilter实例,并把实例设置到过滤器链中。

public void configure(H http) {
	SecurityContextRepository securityContextRepository = http.getSharedObject(SecurityContextRepository.class);// 1
	SessionManagementFilter sessionManagementFilter = new SessionManagementFilter(securityContextRepository,
			getSessionAuthenticationStrategy(http));// 2
	if (this.sessionAuthenticationErrorUrl != null) {// 3
		sessionManagementFilter.setAuthenticationFailureHandler(
				new SimpleUrlAuthenticationFailureHandler(this.sessionAuthenticationErrorUrl));
	}
	InvalidSessionStrategy strategy = getInvalidSessionStrategy();// 4
	if (strategy != null) {
		sessionManagementFilter.setInvalidSessionStrategy(strategy);
	}
	AuthenticationFailureHandler failureHandler = getSessionAuthenticationFailureHandler();// 5
	if (failureHandler != null) {
		sessionManagementFilter.setAuthenticationFailureHandler(failureHandler);
	}
	AuthenticationTrustResolver trustResolver = http.getSharedObject(AuthenticationTrustResolver.class);// 6
	if (trustResolver != null) {
		sessionManagementFilter.setTrustResolver(trustResolver);
	}
	sessionManagementFilter = postProcess(sessionManagementFilter);// 7
	http.addFilter(sessionManagementFilter);// 8
	if (isConcurrentSessionControlEnabled()) {
		ConcurrentSessionFilter concurrentSessionFilter = createConcurrencyFilter(http);

		concurrentSessionFilter = postProcess(concurrentSessionFilter);
		http.addFilter(concurrentSessionFilter);
	}
}

1、如果你配置的sessionCreationPolicy是无状态的那么此时获取的SecurityContextRepository为NullSecurityContextRepository,否则为HttpSessionSecurityContextRepository对应init(H http) 方法的第2步。
2、创建SessionManagementFilter对象,初始化其属性securityContextRepository、和sessionAuthenticationStrategy,这里需要注意是sessionAuthenticationStrategy不在是一个值,在init(H http)中设置了sessionAuthenticationStrategy为CompositeSessionAuthenticationStrategy,但CsrfConfigurer#configure方法执行早于SessionManagementConfigurer#configure的方法,在CsrfConfigurer#configure方法执行时对sessionAuthenticationStrategy进行了添加操作添加一个CsrfAuthenticationStrategy,如下:
在这里插入图片描述
在这里插入图片描述
3、4、5 如果你对sessionManagement()相关属性进行自定义才会进行设置,否则不设置
在这里插入图片描述
6、和3、4、5一样都需要自定义才会存在,否则为null
7、通过AutowireBeanFactoryObjectPostProcessor把sessionManagementFilter实例定义成bean
8、把sessionManagementFilter过滤器添加到H(HttpSecurity)的过滤器列表(filters)中

SecurityContextConfigurer

SecurityContextConfigurer是相比SessionManagementConfigurer只对configure方法进行了重写。

configure

主要是为创建SecurityContextPersistenceFilter 实例,并把实例设置到过滤器链中。

@Override
@SuppressWarnings("unchecked")
public void configure(H http) {
	SecurityContextRepository securityContextRepository = http.getSharedObject(SecurityContextRepository.class);// 1
	if (securityContextRepository == null) {
		securityContextRepository = new HttpSessionSecurityContextRepository(); // 2
	}
	SecurityContextPersistenceFilter securityContextFilter = new SecurityContextPersistenceFilter(
			securityContextRepository);// 3
	SessionManagementConfigurer<?> sessionManagement = http.getConfigurer(SessionManagementConfigurer.class); // 4
	SessionCreationPolicy sessionCreationPolicy = (sessionManagement != null)
			? sessionManagement.getSessionCreationPolicy() : null;
	if (SessionCreationPolicy.ALWAYS == sessionCreationPolicy) {
		securityContextFilter.setForceEagerSessionCreation(true);// 5
	}
	securityContextFilter = postProcess(securityContextFilter);// 6
	http.addFilter(securityContextFilter);// 7
}

1、从http(HttpSecurity)中获取SecurityContextRepository.class对象。在SessionManagementConfigurer的init方法执行时已经针对是否是无状态设置了SessionManagementConfigurer对应的实际对象。
2、如果securityContextRepository为null就默认创建一个securityContextRepository为HttpSessionSecurityContextRepository
3、创建SecurityContextPersistenceFilter对象
4、从http(HttpSecurity)中获取SessionManagementConfigurer对象
5、如果SessionManagementConfigurer的SessionCreationPolicy等于ALWAYS那么对SecurityContextPersistenceFilter的属性forceEagerSessionCreation设置值为true
6、作用是通过AutowireBeanFactoryObjectPostProcessor把SecurityContextPersistenceFilter实例定义成Bean
7、把SecurityContextPersistenceFilter过滤器添加到H(HttpSecurity)的过滤器列表(filters)中

sessionManagementFilter和SecurityContextPersistenceFilter

我们先看一下Spring Authorization Server 授权服务涉及到的相关过滤器列表:
在这里插入图片描述

然后我们在看上面提到了sessionManagementFilter和SecurityContextPersistenceFilter完成什么工作。

SecurityContextPersistenceFilter

SecurityContextPersistenceFilter过滤器执行早于sessionManagementFilter。

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
	// ensure that filter is only applied once per request(确保每个请求只应用一次过滤器)
	if (request.getAttribute(FILTER_APPLIED) != null) {
		chain.doFilter(request, response);
		return;
	}
	request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
	if (this.forceEagerSessionCreation) {
		HttpSession session = request.getSession();
		if (this.logger.isDebugEnabled() && session.isNew()) {
			this.logger.debug(LogMessage.format("Created session %s eagerly", session.getId()));
		}
	}
	HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
	SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);// 1
	try {
		SecurityContextHolder.setContext(contextBeforeChainExecution);// 2
		if (contextBeforeChainExecution.getAuthentication() == null) {
			logger.debug("Set SecurityContextHolder to empty SecurityContext");
		}
		else {
			if (this.logger.isDebugEnabled()) {
				this.logger
						.debug(LogMessage.format("Set SecurityContextHolder to %s", contextBeforeChainExecution));
			}
		}
		chain.doFilter(holder.getRequest(), holder.getResponse());// 3
	}
	finally {
		SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();// 4
		// Crucial removal of SecurityContextHolder contents before anything else.
		SecurityContextHolder.clearContext();// 5
		this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());// 6
		request.removeAttribute(FILTER_APPLIED);
		this.logger.debug("Cleared SecurityContextHolder to complete request");
	}
}

1、 this.repo.loadContext(holder);根据当时设置的SessionCreationPolicy返回不同的实例,如果SessionCreationPolicy为STATELESS则返回的是NullSecurityContextRepository,否则为HttpSessionSecurityContextRepository。加载context,此处返回的内容为null。
2、把contextBeforeChainExecution存放在SecurityContextHolder的Context中
3、执行过滤器链列表的下一个过滤器的doFilter方法。如果现在是一个登录操作那么简单的流程大致如下:
在这里插入图片描述
4、清空SecurityContextHolder的context
5、执行repo对象的saveContext方法,如果repo为NullSecurityContextRepository则不作任何操作,如果repo为HttpSessionSecurityContextRepository则对应如下操作:

@Override
public void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response) {
	SaveContextOnUpdateOrErrorResponseWrapper responseWrapper = WebUtils.getNativeResponse(response,
			SaveContextOnUpdateOrErrorResponseWrapper.class);// 1
	Assert.state(responseWrapper != null, () -> "Cannot invoke saveContext on response " + response
			+ ". You must use the HttpRequestResponseHolder.response after invoking loadContext");
	responseWrapper.saveContext(context);// 2
}

1、对SaveContextOnUpdateOrErrorResponseWrapper 进行实例化
2、执行NullSecurityContextRepository或者HttpSessionSecurityContextRepository的saveContext方法。NullSecurityContextRepository#saveContext不作任何操作。
HttpSessionSecurityContextRepository#saveContext执行如下

@Override
protected void saveContext(SecurityContext context) {
	final Authentication authentication = context.getAuthentication();
	HttpSession httpSession = this.request.getSession(false);
	String springSecurityContextKey = HttpSessionSecurityContextRepository.this.springSecurityContextKey;
	// See SEC-776
	if (authentication == null
			|| HttpSessionSecurityContextRepository.this.trustResolver.isAnonymous(authentication)) {
		if (httpSession != null && this.authBeforeExecution != null) {
			// SEC-1587 A non-anonymous context may still be in the session
			// SEC-1735 remove if the contextBeforeExecution was not anonymous
			httpSession.removeAttribute(springSecurityContextKey);
			this.isSaveContextInvoked = true;
		}
		if (this.logger.isDebugEnabled()) {
			if (authentication == null) {
				this.logger.debug("Did not store empty SecurityContext");
			}
			else {
				this.logger.debug("Did not store anonymous SecurityContext");
			}
		}
		return;
	}
	httpSession = (httpSession != null) ? httpSession : createNewSessionIfAllowed(context, authentication);// 1
	// If HttpSession exists, store current SecurityContext but only if it has
	// actually changed in this thread (see SEC-37, SEC-1307, SEC-1528)
	if (httpSession != null) {
		// We may have a new session, so check also whether the context attribute
		// is set SEC-1561
		if (contextChanged(context) || httpSession.getAttribute(springSecurityContextKey) == null) {
			httpSession.setAttribute(springSecurityContextKey, context);// 2
			this.isSaveContextInvoked = true;
			if (this.logger.isDebugEnabled()) {
				this.logger.debug(LogMessage.format("Stored %s to HttpSession [%s]", context, httpSession));
			}
		}
	}
}

1、在这里你会发现会判断httpSession是否为空,为空则创建一个session
2、把context作为value,“SPRING_SECURITY_CONTEXT”作为key保存在session中,如果是一个登录操作,那么context中存放的Authentication就是UsernamePasswordAuthenticationToken。
在这里插入图片描述
在这里插入图片描述

涉及问题

这里存在一个问题,如果你是前后端的项目,你想着用session是无状态的,然后使用JWT作为验证的token,这是没问题的,你可以在Spring Authorization Server的登录成功后生成自定义的JWT,返回给前端,但如果你的Spring Authorization Server同时支持授权码功能,它需要资源所有者进行登录后在生成授权码,如果你使用session是无状态那么它不会把SecurityContext(对应到登录SecurityContext#Authentication会存放对象为UsernamePasswordAuthenticationToken)存放在session中,那么即使你登录成功后,去请求授权端点获取授权码,也是无法获取授权码的,因为在授权端点过滤器中,会执行如下逻辑:

Authentication principal = SecurityContextHolder.getContext().getAuthentication();

此时获取的Authentication 为null,说明没有进行身份验证,最后给前端提示错误“Full authentication is required to access this resource”。所以说Spring Authorization Server如果是session无状态策略,涉及到一些需要登录然后在处理后边逻辑的都是无法使用的。这里感觉Spring Authorization Server多少是有点问题的对session无状态策略的支持。

sessionManagementFilter

此过滤器对请求参数中不包含属性FILTER_APPLIED (“__spring_security_session_mgmt_filter_applied”)才会进行执行。

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
	if (request.getAttribute(FILTER_APPLIED) != null) {
		chain.doFilter(request, response);
		return;
	}
	request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
	if (!this.securityContextRepository.containsContext(request)) {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication != null && !this.trustResolver.isAnonymous(authentication)) {
			// The user has been authenticated during the current request, so call the
			// session strategy
			try {
				this.sessionAuthenticationStrategy.onAuthentication(authentication, request, response);// 1
			}
			catch (SessionAuthenticationException ex) {
				// The session strategy can reject the authentication
				this.logger.debug("SessionAuthenticationStrategy rejected the authentication object", ex);
				SecurityContextHolder.clearContext();
				this.failureHandler.onAuthenticationFailure(request, response, ex);
				return;
			}
			// Eagerly save the security context to make it available for any possible
			// re-entrant requests which may occur before the current request
			// completes. SEC-1396.
			this.securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);
		}
		else {
			// No security context or authentication present. Check for a session
			// timeout
			if (request.getRequestedSessionId() != null && !request.isRequestedSessionIdValid()) {
				if (this.logger.isDebugEnabled()) {
					this.logger.debug(LogMessage.format("Request requested invalid session id %s",
							request.getRequestedSessionId()));
				}
				if (this.invalidSessionStrategy != null) {
					this.invalidSessionStrategy.onInvalidSessionDetected(request, response);
					return;
				}
			}
		}
	}
	chain.doFilter(request, response);
}

1、在Authentication不为null并且非匿名的情况下,对CompositeSessionAuthenticationStrategy中的属性delegateStrategies进行遍历,我们知道delegateStrategies中存放着ChangeSessionIdAuthenticationStrategy,ChangeSessionIdAuthenticationStrategy会对session进行处理。

@Override
public void onAuthentication(Authentication authentication, HttpServletRequest request,
		HttpServletResponse response) {
	boolean hadSessionAlready = request.getSession(false) != null;
	if (!hadSessionAlready && !this.alwaysCreateSession) {
		// Session fixation isn't a problem if there's no session
		return;
	}
	// Create new session if necessary
	HttpSession session = request.getSession();
	if (hadSessionAlready && request.isRequestedSessionIdValid()) {
		String originalSessionId;
		String newSessionId;
		Object mutex = WebUtils.getSessionMutex(session);
		synchronized (mutex) {
			// We need to migrate to a new session
			originalSessionId = session.getId();
			session = applySessionFixation(request);
			newSessionId = session.getId();
		}
		if (originalSessionId.equals(newSessionId)) {
			this.logger.warn("Your servlet container did not change the session ID when a new session "
					+ "was created. You will not be adequately protected against session-fixation attacks");
		}
		else {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug(LogMessage.format("Changed session id from %s", originalSessionId));
			}
		}
		onSessionChange(originalSessionId, session, authentication);
	}
}

alwaysCreateSession属性为true的种情况下,如果尚未创建会话,将创建会话,否则不会对session有任何操作。

zhaoll98k
关注
专栏目录
Spring Boot Session 会话管理
ljinest
01-20 4022
Spring Boot Session 会话管理是用于安全控制一个用户或者实体对基于网络的应用/服务的多个请求的过程。 HTTP用于网站和浏览器之间的交流,而会话则是同一个用户创建的一系列的HTTP请求和事务。 会话管理的实现规定了用户、网络应用之间共享和持续交换会话ID的过程。 由于HTTP协议的无状态,为了跟踪客户的行为,我们需要会话管理。会话管理是一个网络容器框架,用于为特定的用户储存会话数据。 我们可以通过以下方法处理会话: Cookies 网站发送的数据被储存在用户的本地浏览器中 隐藏的表
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1753
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringSecurity-暂未完成-SessionManagementConfigurer类
文天大人
09-15 1116
怀念二抱三抱
Spring Security Config : HttpSecurity安全配置器 SecurityContextConfigurer
Details Inside Spring
06-16 1416
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,SecurityContextConfigurer的配置任务如下 : 配置如下安全过滤器Filter SecurityContextPersistenceFilter 如果存在共享对象SecurityContextRepository,则使用它作为安全上下文存储库,否则创建一个实现类型为HttpSessi...
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2456
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
SpirngSecurity-会话管理(sessionManagement)(三)
最新发布
znjy111的博客
07-09 811
SpringSecurity默认是通过session对用户的登录进行管理的,如果想控制同一时间,只允许用户在一个地方登录,就需要使用SpringSecuritysessionManagement功能。基于上一节的分支,我们新建一个spring-security-session-management分支。
Spring Security Web 5.1.2 源码解析 -- HttpSessionSecurityContextRepository
Details Inside Spring
12-02 5760
Spring Security Web提供的类HttpSessionSecurityContextRepository是一个SecurityContextRepository接口的实现,用于在HttpSession中保存安全上下文(security context),这样属于同一个HttpSession的多个请求,就能够利用此机制访问同一安全上下文了。 package org.springfram...
Spring Boot Session 会话管理示例
allway2的博客
01-28 2519
Spring Boot Session Management tutorial (2022) with Code Example | TechGeekNxt >> Jan 28, 2022 - In this article, we will discuss how to handle Spring Boot Sessionhttps://www.techgeeknext.com/spring-boot/spring-boot-session-management 实现 Spring Boot
URL 使用 jsessionid 异常处理
吕小小布的博客
06-30 981
异常:The request was rejected because the URL contained a potentially malicious String (中文:该请求被拒绝,因为该URL包含潜在的恶意字符串) URL默认会使用jsessionid,因为它不安全。可能导致会话固定攻击和泄漏敏感(会话ID)数据。 我们需要禁用掉URL携带jsessionid spring boot server.servlet.session.tracking-modes=cookie s..
Spring Security---ONE
m0_53157173的博客
11-18 800
Spring Security知识点重点和盲点整理Http Basic登录认证的流程和原理PasswordEncoder详解PasswordEncoder 接口接口实现类formLogin模式登录认证说明登录认证及资源访问权限的控制用户及角色信息配置 Http Basic登录认证的流程和原理 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protec
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
热门推荐
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
Spring Security 登录获取用户信息流程分析
CHENFU_ZKK的博客
09-06 3689
Spring Security 登录获取用户信息流程分析
SpringSecurity源码解析
zjl1638908711的博客
10-21 1494
SpringSecurity源码浅解析
SpringSecurity过滤器分析
04-03 347
无怪网友大多说SpringSecurity使用成本高,但是价值不大,许多功能看起来很鸡肋,添加的过滤器有点多,从一些过滤器来看,有前后端不分离时代的味道。本人配置的SpringSecurity,几乎没剩下什么了,自己写几个Filter估计也不是太难,网友诚不欺我。
Spring Security源码解析
ThisLX的博客
11-01 425
1、SecurityContextPersistenceFilter: SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回S...
Spring Security之Web应用安全
qq_32734365的博客
08-04 2895
Web应用安全 Security Filter Chain DelegatingFilterProxy FilterChainProxy 跳过过滤器链 过滤器顺序 请求匹配和HttpFirewall 和其他基于过滤器的框架一起使用 高级命名空间配置 安全核心过滤器 FilterSecurityInterceptor ExceptionTranslationFilter Authenti...
SpringSecurity in Action》六: 基于Session实现登陆认证源码分析
shangcunshanfu的博客
05-01 598
文章目录1 概述2 认证流程2.1 Session是如何参与的3 源码解析 1 概述 本篇基于《SpringSecurity in Action》一: 基于Session实现登陆认证 2 认证流程 在《SpringSecurity in Action》书中,对登陆认证流程的示意图,可以看到流程还是很简单的,所以我们只要清楚的认识到就是这么几步,对登陆认证过程的认识就不会差到哪去。 虽然流程图简单,但在细节上还是有很多需要学习的地方的,比如如何获取的用户信息,如何进行密码校验,登陆完成后做了什么,还有就是我
Servlet Session Management(会话管理)-思维导图
DanielChen的博客
08-22 941
spring securityspring session联合使用
05-18
Spring SecuritySpring Session的结合可以提供更强大的安全性和会话管理功能。Spring Security提供了身份验证和授权的功能,而Spring Session提供了跨多个请求的会话管理。 在结合使用时,可以使用Spring Session的`SessionRepositoryFilter`将会话存储在Redis或数据库等外部存储中,并在Spring Security中使用`SessionManagementConfigurer`配置会话管理。以下是一个简单的示例: ``` @Configuration @EnableWebSecurity @EnableRedisHttpSession public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private RedisConnectionFactory redisConnectionFactory; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll() .and() .logout().permitAll(); } @Bean public RedisOperationsSessionRepository sessionRepository() { return new RedisOperationsSessionRepository(redisConnectionFactory); } @Bean public SessionManagementConfigurer<HttpSecurity> sessionManagementConfigurer() { return new SessionManagementConfigurer<HttpSecurity>() { @Override public void configure(HttpSecurity http) throws Exception { http.sessionManagement() .sessionAuthenticationStrategy(sessionAuthenticationStrategy()) .maximumSessions(1) .maxSessionsPreventsLogin(true) .sessionRegistry(sessionRegistry()); } }; } @Bean public SessionAuthenticationStrategy sessionAuthenticationStrategy() { return new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry()); } @Bean public SessionRegistry sessionRegistry() { return new SpringSessionBackedSessionRegistry<>(new RedisOperationsSessionRepository(redisConnectionFactory)); } } ``` 在上面的配置中,`@EnableRedisHttpSession`注解启用了Spring Session,并使用`RedisOperationsSessionRepository`将会话存储在Redis中。`SessionManagementConfigurer`配置了会话管理,包括最大并发会话数和会话注册表。 需要注意的是,Spring Session默认使用一个名为`SESSION`的Cookie来跟踪会话。如果需要自定义Cookie名称和其他会话属性,可以使用`@EnableRedisHttpSession`的`cookieName`和`redisNamespace`属性进行配置。 在使用Spring SecuritySpring Session结合时,还需要确保在各个请求中正确地暴露会话信息。可以使用Spring Session的`SessionRepositoryFilter`来完成这个任务,例如: ``` @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private RedisConnectionFactory redisConnectionFactory; @Bean public FilterRegistrationBean<SessionRepositoryFilter> sessionRepositoryFilterRegistration() { FilterRegistrationBean<SessionRepositoryFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(new SessionRepositoryFilter(sessionRepository())); registration.addUrlPatterns("/*"); registration.setOrder(Ordered.HIGHEST_PRECEDENCE); return registration; } @Bean public RedisOperationsSessionRepository sessionRepository() { return new RedisOperationsSessionRepository(redisConnectionFactory); } } ``` 在上面的配置中,`SessionRepositoryFilter`将会话信息暴露在所有请求中。需要注意的是,`SessionRepositoryFilter`应该注册为具有最高优先级的过滤器,以确保会话数据在其他过滤器之前暴露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值