SpringSecurity(六):Session(集群)管理和Logout

最新推荐文章于 2024-07-23 16:12:48 发布
最新推荐文章于 2024-07-23 16:12:48 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mj86534210/article/details/78394349
版权

Security的用户认证信息默认是存储在session中的,对于session过期的时间,springboot的里默认的是30分钟。

当然也可以自己设置:

application.yml:

server:
  session:
    timeout: 7200  #最少是一分钟,就算比一分钟少也会默认转成一分钟,如果不设置默认为30分钟

security的session管理:



SessionManagementConfigurer的其他属性

	//默认的session认证策略:ChangeSessionIdAuthenticationStrategy,用来放置固定的会话攻击
	private final SessionAuthenticationStrategy DEFAULT_SESSION_FIXATION_STRATEGY = createDefaultSessionFixationProtectionStrategy();
	private SessionAuthenticationStrategy sessionFixationAuthenticationStrategy = this.DEFAULT_SESSION_FIXATION_STRATEGY;
	private SessionAuthenticationStrategy sessionAuthenticationStrategy;
	private SessionAuthenticationStrategy providedSessionAuthenticationStrategy;
	
	/**
	 * 无效的session策略:确定在{@code SessionManagementFilter}中提交和检测到无效会话ID时{@code SessionManagementFilter}的行为。
	 * 默认是重定向到invalidSessionUrl
	 */
	private InvalidSessionStrategy invalidSessionStrategy;
	
	/**
	 * 在{@code ConcurrentSessionFilter}中检测到过期的会话时,确定{@code ConcurrentSessionFilter}的行为。
	 */
	private SessionInformationExpiredStrategy expiredSessionStrategy;
	
	
	private List<SessionAuthenticationStrategy> sessionAuthenticationStrategies = new ArrayList<SessionAuthenticationStrategy>();
	
	/**
	 * 维护一个 SessionInformation 实例的注册表。
	 * 包括session的创建,刷新,删除获取等
	 */
	private SessionRegistry sessionRegistry;
	/**
	 * 最大session连接数
	 */
	private Integer maximumSessions;
	/**
	 * session过期跳转的url
	 */
	private String expiredUrl;
	/**
	 * 达到最大session值是否阻止登陆
	 */
	private boolean maxSessionsPreventsLogin;
	/**
	 * 指定Spring Security的各种会话创建策略。
	 * 默认是需要就创建
	 */
	private SessionCreationPolicy sessionPolicy = SessionCreationPolicy.IF_REQUIRED;
	
	/**
	 * 是否允许将session信息重写入url中。
	 * 默认是false,这样可以防止向外部域泄露信息。
	 */
	private boolean enableSessionUrlRewriting;
	/**
	 * session无效时候跳转的url
	 */
	private String invalidSessionUrl;
	/**
	 * session认证错误的url
	 */
	private String sessionAuthenticationErrorUrl;
	/**
	 * 认证失败的handler
	 */
	private AuthenticationFailureHandler sessionAuthenticationFailureHandler;
用户可以根据自己需求配置对应的策略和session失效时候的跳转


session的集群管理。这里使用的是redis

pom导入依赖

		<!-- session -->
		<dependency>
			<groupId>org.springframework.session</groupId>
			<artifactId>spring-session</artifactId>
		</dependency>
		<!-- redis -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>

添加redis配置:最后的application.yml

spring:
  #mysql
  datasource:
    driver-class-name:  com.mysql.jdbc.Driver
    url: jdbc:mysql://192.168.31.26:3306/test?useUnicode=yes&characterEncoding=UTF-8&useSSL=false
    username: root
    password: root
  #jpa
  jpa:
    hibernate:
      ddl-auto: update   #第一次是创建
    show-sql: true
  #spring session存储类型
  session:        
    store-type: REDIS
  #redis
  redis:
    host: 192.168.31.109
    port: 6379
    password: 123456

#session超时时间
server:
  session:
    timeout: 7200  #最少是一分钟,就算比一分钟少也会默认转成一分钟,如果不设置为30分钟

测试结果:




Logout功能

1.使当前session失效

2.消除与当前用户相关的remember-me记录

3.清空当前的SecurityContext

4.重定向到登录页


首页index.html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
	<h3>首页</h3>
	<a href="/logout">退出</a>
</body>
</html>

添加登出配置 

			.logout()
				.logoutUrl("/logout")    //登出路径
				.logoutSuccessUrl("/login.html")    //登出成功跳转到登陆页面
				.deleteCookies("JSESSIONID")		//删除cookie
				.and()

测试过程略


源码地址:

https://gitee.com/mengcan/SpringSecurity.git



MJ丶
关注
专栏目录
(四)Spring Security注销登录
qq_40179479的博客
09-01 246
Spring Security支持在继承WebSecurityConfigurerAdapter的配置类中配置注销登录: HttpSecurity内的logout()方法以一个LogoutConfigurer作为配置基础,创建一个用于注销登录的过滤器: HttpSecurity: public LogoutConfigurer<HttpSecurity> logout() throws Exception { return (LogoutConfigurer)this.getOr
Spring Security源码分析九:Spring Security Session管理
郑龙飞
01-19 3328
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将
Spring Security——session管理
weixin_33921089的博客
05-05 304
2019独角兽企业重金招聘Python工程师标准>>> ...
微服务安全——SpringSecurity6详解
最新发布
qq_44027353的博客
07-23 2384
本文使用的是Security6的版本,先介绍SpringSecurity的使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单的SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
Spring Boot+Spring Security:获取用户信息和session并发控制
热门推荐
悟纤学院
04-08 3万+
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 一、获取当前用户信息 1.1从页面上显示当前登陆的用户名 &lt...
Spring Security 3》 【第三章】增强用户体验(2)
小糊涂蛋大糊涂神的专栏
08-03 1001
Spring Security 3》 【第三章】增强用户体验(2) 摘要: 术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。 理解退出功能 术语退出(Logout
springboot- 使用session存储用户信息,注销登录logout
鲸鱼姐的专栏
08-04 1万+
技术路线:使用session存储用户信息,退出时删除用户信息 1.index. html设置退出按钮 <div class="navbar-btn navbar-btn-right"> <a class="btn btn-success update-pro" href="#" title="Upgrade to Pro" data-...
SpringBoot+SpringSecurity+SpringSession
dsghre的专栏
12-02 811
在一次的web项目开发中,初期用了公司的负载均衡,后台2台服务器,用了会话保持,所以在用户登录后没有问题。后来更换了域名和主体,没法实现会话保持,改成了springsession,记录下来操作。 一、加入依赖 <dependency> <groupId>org.springframework.session</groupId> <artifactId&...
Spring Boot整合Security系列步骤及问题排查(十四)—— Session管理及退出
成长笔记
04-03 1920
过期管理 1.直接在配置文件中配置: server: servlet: session: # 单位(s),默认30分钟,最少1分钟 timeout: 600 # session集群存储配置,如REDIS # store-type: REDIS 多端登录管理和退出 退出处理: 使当前session失效 清除与当前用户相关的remember-...
Spring Security
yinyin_xiao的博客
08-19 2233
权限认证:Spring Security
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3599
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security Logout
白石的专栏
12-05 1682
本文建立在我们的[表单登录教程](https://www.baeldung.com/spring-security-login)之上,将重点关注如何**使用 Spring Security 配置注销**。
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 2119
SpringSecurity退出登录报错,logout,404,CSRF防护
Spring Security】分布式架构下,Spring Security 要如何处理 session 共享?
讯开技术孵化器博客
05-19 1026
集群会话方案 在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,被 Nginx 转发到 Tomcat A 上,然后在 Tomcat A 上往 session 中保存了一份数据,下次又来一个请求,这个请求被转发到 Tomcat B 上,此时再去 Session 中获取数据,
Spring Security系列】Spring Security集群会话的缺陷
qq_28248897的博客
07-01 350
会话通常保存在服务器内存中,客户端访问时根据自己的sessionId在内存中查找,这种方法虽然简单快捷,但缺点也很明显。从容量上来说,服务器内存有限,除了系统正常运行的消耗,留给session的空间不多,当访问量增大时,内存就会捉襟见肘。从稳定性上来说,session依赖于内存,而内存并非持久性存储容器,就算服务器本身是可靠的,但当部署在上面的服务停止或重启时,也会导致所有会话状态丢失。当然,这两个缺点还只是体验性缺陷,并不足以影响可用性,在单机部署时为 了节省精力忽略这两个问题也是可以的。但当我们的系统采
java session 超时_Javaweb项目session超时解决方案
weixin_35112750的博客
02-12 1102
在Java Web开发中,Session为我们提供了很多方便,Session是由浏览器和服务器之间维护的。Session超时理解为:浏览器和服务器之间创建了一个Session,由于客户端长时间(休眠时间)没有与服务器交互,服务器将此Session销毁,客户端再一次与服务器交互时之前的Session就不存在了。0.需求需要对所有的/web/**请求进行登录拦截,Session超时时跳转到登录页面。1...
java session logout,在Logout Servlet中使会话无效
weixin_32002013的博客
02-16 275
HttpSession session = request.getSession();try{session.removeAttribute("logonSessData");session.invalidate();String pageToForward = request.getContextPath();response.sendRedirect(pageToForward);}catc...
Spring Security/logout请求默认跳转到/login?logout解决方案
weixin_55658418的博客
03-03 3041
spring security logout请求 重定向
java怎么实现自动退出功能_SpringSecurity退出功能实现的正确方式
weixin_39789499的博客
11-28 435
本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。其实这是一个非常简单的功能,我见过很多的程序员在使用了Spring Security之后,仍然去自己写controller方法实现logout功能,这种做法就好像耕地,你有机械设备你不用,你非要用牛。一、logout最简及最佳实践其实使用Spring Security进行logout非常简单,只需要在spri...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值