【Spring Security OAuth2笔记系列】- Spring Social第三方登录 - 单机session管理

最新推荐文章于 2021-03-31 11:56:58 发布
最新推荐文章于 2021-03-31 11:56:58 发布
阅读量1k 收藏
点赞数
分类专栏: # spring security+oauth2 文章标签: 单机session管理 sessionManagement session超时提醒 expiredSessionStrategy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_zhuqiang/article/details/81983527
版权

单机session管理

到目前为止三个功能:

  • 用户名 + 密码登录
  • 手机号 + 短信登录
  • 社交网站登录

前两种使用表单提交方式完成,后一种使用oath授权完成;

虽然表现方式和处理流程不同,但是有一个共同点,认证后的用户信息是存放在session中的;

  • session超时
    • 如何管理超时时间
    • 超时后如何处理

  • session并发 : a 机器登录,又在b机器登录的场景下,只运行一台机器登录

    • 如何保持后来者生效,之前的失效

  • 集群session管理
    均衡负载如果没有做session粘连的话,会出现登录在a机器,请求数据在b机器

session超时

注意:server.session.timeout 已经过时了

server:
  port: 80
  servlet:
    session:
      timeout: 10s

重启测试,发现并没有超时;在以下源码中限制了最小为1分钟;

org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory#configureSession

实现session超时提醒

session超时之后,再次访问进行一个提醒要怎么做呢?

cn.mrcode.imooc.springsecurity.securitybrowser.BrowserSecurityConfig#configure

配置下session失效跳转的url地址,这个地址需要我们实现。你可以做任何的业务逻辑;同时记得放行该地址,否则又被拦截授权了
.and()
.sessionManagement()
.invalidSessionUrl("/session/invalid")
cn.mrcode.imooc.springsecurity.securitybrowser.BrowserSecurityController#sessionInvalid
这里就打印下消息

@GetMapping("/session/invalid")
@ResponseStatus(HttpStatus.UNAUTHORIZED)
public SimpleResponse sessionInvalid() {
    String message = "session失效";
    return new SimpleResponse(message);
}

实现session并发登录控制

// 配置地址或则策略类
.maximumSessions(1) //限制同一个用户只能有一个session登录
//.expiredUrl("/session/expired") // 也可以跳转到一个服务
.expiredSessionStrategy(new MySessionInformationExpiredStrategy())  // 失效后的策略。定制型更高,失效前的请求还能拿到

编写策略类

/**
 * session并发登录失效策略
 * @author : zhuqiang
 * @version : V1.0
 * @date : 2018/8/6 21:28
 */
public class MySessionInformationExpiredStrategy implements SessionInformationExpiredStrategy {
    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
        // 该对象能获取到访问失效前的url地址
        event.getResponse().setContentType("application/json;charset=UTF-8");
        event.getResponse().getWriter().write("session并发登录");
    }
}

测试:在不同浏览器登录,然后在最开始登录的浏览器中访问一个服务查看下;

实现session并发登录策略2

.maximumSessions(1) //限制同一个用户只能有一个session登录
.maxSessionsPreventsLogin(true)  // 当session达到最大后,阻止后登录的行为

测试会提示:”Maximum sessions of 1 for this principal exceeded”

代码重构,消除重复代码,可提供可配置功能

这里尝试自己看一遍视频,然后全程去思考如何提出来。不行的时候再看源码

重构的时候需要注意一个坑:

/** 当session达到最大值后,是阻止用户登录还是剔除掉已登录用户
 * fasle : 会走{@link cn.mrcode.imooc.springsecurity.securitybrowser.session.MySessionInformationExpiredStrategy}
 * true:会阻止登录,这个阻止登录的个性化消息没有设置,看源码的时候好像可以覆盖那个过滤器;设置为true会看到报错信息,然后就可以查看覆盖说明了
 * */
private boolean maxSessionsPreventsLogin;
代码有毒 mrcode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security初探
yzxqml的专栏
01-16 195
    现在很多企业和开发团队都使用了SSH2(Struts 2 +Spring 2.5 +Hibernate)框架来进行开发,  我们或许已经习惯了强大的Spring Framework 全局配置管理,不可否认,Sping是一个很优秀的开源框架,但是由于Spring3.0版本后强大的的注解式bean的诞生,Spring MVC框架这匹黑马正悄然杀起,但今天Spring MVC不是主角,今天我...
Spring Security(学习笔记) --会话管理(会话并发管理实现以及源码分析,会话固定攻击)!
最新发布
TONGZHOUGONGDU的博客
04-28 898
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security中的防火墙。
springboot+springsecurity session配置管理
u014295903的博客
05-09 853
springboot+springsecurity session配置管理一、前述二、场景2.1、默认会话到期处理2.2、达到会话限制数量踢掉之前登陆用户2.3、达到会话限制数量不允许新用户登陆三、总结 一、前述 在实际的使用过程中,用户会话的有效期以及管理也是很重要的部分。不同需求管理方式也不一样。本文就是根据我在项目中的使用而总结的经验,可能并不全面,但会以最直接的方式展示,也方便快速上手。同时也展示出前后端分离前后的配置,差别仅是路径和拦截而已。其中返回json封装请看我的其他帖子吧。 首先,介绍几种
SpringSecurity3.1.2控制一个账户同时只能登录一次
liufeng520的专栏
10-30 1万+
网上看了很多资料,发现多多少少都有一些不足(至少我在使用的时候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同时只能登录一次的配置实现。   网上很多配置是这样的,在标签中加入concurrency-control配置,设置max-sessions=1。 Xml
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
热门推荐
杰明Jamin的博客
01-02 4万+
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析,网上很多文章的实现方法写得比较复杂 ,这里介绍一个简单的方法。
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2集成短信验证码登录以及第三方登录 Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-authorization-server.zip
08-25
OAuth2是一种开放标准,用于授权第三方应用访问用户资源,而无需共享用户凭证。在这个项目中,我们将使用Spring Boot 2.1.7.RELEASE版本,这是Spring的一个轻量级启动器,简化了设置和配置过程。 首先,我们要了解...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
spring Security 重复登录配置无效的问题
我要飞翔
03-13 5365
关于spring Security重复登录的配置,百度一大堆,我这里就不啰嗦了。 今天碰到 按照网上的配置,但是 感觉配置无效,同一用户还是可以登录,不知道为什么,开始以为是自己配置的又问题。再三确认感觉自己的配置没有一点问题, 所有查找原因:查看源代码 发现 org.springframework.security.core.session.SessionRegistryIm
Spring Security3边学边写(N)会话管理和并行控制
sb33060418的专栏
10-09 358
在开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢? Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。 本次实...
Ora-00018 Maximum number of sessions exceeded超出最大会话数
skiof007的专栏
02-14 9289
<br />Ora-00018 Maximum number of sessions exceeded超出最大会话数<br />Oracel默认Process的值为150,导致实际的Session值会超过Oracle的设置值(Session的数量是Process*1.1+5),所以会出错。<br />解决方法:<br />建议将Process的值往大了改。<br />查看当前系统中的Process<br />SQL> show parameter processes;<br />NAME          
SpringBoot集成SpringSecurity(四)前后端分离、Session会话控制
xinshengdelei的专栏
03-31 2463
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码中通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
如何禁止用户重复输入java_java相关:Spring Security实现禁止用户重复登陆的配置原理...
weixin_34959044的博客
03-01 179
java相关:Spring Security实现禁止用户重复登陆的配置原理发布于 2021-1-10|复制链接摘记: 这篇文章主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下系统使用了Spring Security做权限管理,现在对于系统的用户,需要改动配置,实现无法多地登陆。一...
Spring Security系列Spring Security会话管理
qq_28248897的博客
07-01 1353
只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。 1.什么是会话 会话(session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,站点也无法为用户提供个性化的服务。session
Spring Security 自动踢掉前一个登录用户,一个配置搞定!
江南一点雨的专栏
05-07 9077
登录成功后,自动踢掉前一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。 自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。 本文是本系列的第十三篇,阅读前面文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你...
spring-security 是怎么实现同一个用户登录次数限制的(包含源码分析)
java_fisher的博客
06-27 1796
package com.example.demo.sms; import com.example.demo.core.AbstractSecurityConfigurerAdapter; import com.example.demo.core.MySimpleRedirectSessionInformationExpiredStrategy; import org.springframework.beans.factory.annotation.Autowired; import org.spring.
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
Spring Security OAuth2 Boot提供了一系列自动配置选项,方便开发者快速集成OAuth2.0协议,尤其是在迁移至Spring Boot 2.x时,作为旧版OAuth支持与新版Spring Security 5之间的一个过渡工具。 1.1 自动配置与授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值