Spring Security(四) Spring Security Session管理

最新推荐文章于 2024-06-08 17:30:00 发布
最新推荐文章于 2024-06-08 17:30:00 发布
阅读量758 收藏 5
点赞数
分类专栏: SpringBoot & SpringCloud 学习实战 文章标签: spring boot Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panjianlongWUHAN/article/details/112783449
版权

Spring Security Session管理

目录

Spring Security Session管理

Session超时设置

Session并发控制

Session集群处理

Session超时设置

Session超时时间也就是用户登录的有效时间。要设置Session超时时间很简单,只需要在配置文件中添加,单位为秒,通过上面的配置,Session的有效期为一个小时。

server:
  session:
    timeout: 3600

Session的最小有效期为60秒,也就是说即使你设置为小于60秒的值,其有效期还是为60秒

Session失效后,刷新页面后将跳转到认证页面,我们可以再添加一些配置,自定义Session失效后的一些行为

在Spring Security中配置Session管理器,并配置Session失效后要跳转的URL:上面配置了Session失效后跳转到/session/invalid,并且将这个URL添加到了免认证路径中。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class) // 添加验证码校验过滤器
        .addFilterBefore(smsCodeFilter,UsernamePasswordAuthenticationFilter.class) // 添加短信验证码校验过滤器
            .formLogin() // 表单登录
                .loginPage("/authentication/require") // 登录跳转 URL
                .loginProcessingUrl("/login") // 处理表单登录 URL
                .successHandler(authenticationSucessHandler) // 处理登录成功
                .failureHandler(authenticationFailureHandler) // 处理登录失败
            .and()
                .authorizeRequests() // 授权配置
                .antMatchers("/authentication/require",
                        "/login.html", "/code/image","/code/sms","/session/invalid").permitAll() // 无需认证的请求路径
                .anyRequest()  // 所有请求
                .authenticated() // 都需要认证
            .and()
                .sessionManagement() // 添加 Session管理器
                .invalidSessionUrl("/session/invalid") // Session失效后跳转到这个链接
            ......
}

在Controller里添加一个方法,映射该请求:

@GetMapping("/session/invalid")
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    public String sessionInvalid(){
        return "session已失效,请重新认证";
    }

为了演示,我们将Session的超时时间设置为最小值60秒,重启项目,认证后等待60秒并刷新页面:

Session并发控制

Session并发控制可以控制一个账号同一时刻最多能登录多少个。我们在Spring Security配置中继续添加Session相关配置:

@Autowired
private MySessionExpiredStrategy sessionExpiredStrategy;

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class) // 添加验证码校验过滤器
        .addFilterBefore(smsCodeFilter,UsernamePasswordAuthenticationFilter.class) // 添加短信验证码校验过滤器
            .formLogin() // 表单登录
                .loginPage("/authentication/require") // 登录跳转 URL
                .loginProcessingUrl("/login") // 处理表单登录 URL
                .successHandler(authenticationSucessHandler) // 处理登录成功
                .failureHandler(authenticationFailureHandler) // 处理登录失败
            .and()
                .authorizeRequests() // 授权配置
                .antMatchers("/authentication/require",
                        "/login.html", "/code/image","/code/sms","/session/invalid").permitAll() // 无需认证的请求路径
                .anyRequest()  // 所有请求
                .authenticated() // 都需要认证
            .and()
                .sessionManagement() // 添加 Session管理器
                .invalidSessionUrl("/session/invalid") // Session失效后跳转到这个链接
                .maximumSessions(1)
                .expiredSessionStrategy(sessionExpiredStrategy)
                .and()
            ......

maximumSessions配置了最大Session并发数量为1个,如果mrbird这个账户登录后,在另一个客户端也使用mrbird账户登录,那么第一个使用mrbird登录的账户将会失效,类似于一个先入先出队列。expiredSessionStrategy配置了Session在并发下失效后的处理策略,这里为我们自定义的策略MySessionExpiredStrategy

MySessionExpiredStrategy实现SessionInformationExpiredStrategy

@Component
public class MySessionExpiredStrategy implements SessionInformationExpiredStrategy {

    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
        HttpServletResponse response = event.getResponse();
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write("您的账号已经在别的地方登录,当前登录已失效。如果密码遭到泄露,请立即修改密码!");
    }
}

除了后者将前者踢出的策略,我们也可以控制当Session达到最大有效数的时候,不再允许相同的账户登录。

要实现这个功能只需要在上面的配置中添加:

......
.and()
    .sessionManagement() // 添加 Session管理器
    .invalidSessionUrl("/session/invalid") // Session失效后跳转到这个链接
    .maximumSessions(1)
    .maxSessionsPreventsLogin(true)
    .expiredSessionStrategy(sessionExpiredStrategy)
    .and()
......

重启系统,在chrome上登录mrbird账户后,在firefox上尝试使用mrbird账户登录:可以看到登录受限。

Session集群处理

Session集群听着高大上,其实实现起来很简单。当我们登录成功后,用户认证的信息存储在Session中,而这些Session默认是存储在运行运用的服务器上的,比如Tomcat,netty等。当应用集群部署的时候,用户在A应用上登录认证了,后续通过负载均衡可能会把请求发送到B应用,而B应用服务器上并没有与该请求匹配的认证Session信息,所以用户就需要重新进行认证。要解决这个问题,我们可以把Session信息存储在第三方容器里(如Redis集群),而不是各自的服务器,这样应用集群就可以通过第三方容器来共享Session了

我们引入Redis和Spring Session依赖:

<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

然后在yml中配置Session存储方式为Redis:

spring:
  session:
    store-type: redis

开启Redis,并且启动两个应用实例,一个端口为8080,另一个端口为9090。

我们现在8080端口应用上登录:

然后访问9090端口应用的主页:

可以看到登录也是生效的。这就实现了集群化Session管理。

Peter Pan 1231
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring security 登录接口不校验_Spring Security 自定义登录认证(二)
weixin_34280468的博客
01-25 3932
一、前言本篇文章将讲述Spring Security自定义登录认证校验用户名、密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据温馨小提示:Spring Security中有默认的密码加密方式以及登录用户认证校验,但小编这里选择自定义是为了方便以后业务扩展,比如系统默认带一个超级管理员,当认证时识别到是超级管理员账号登录访问时给它赋予最高权限,可以访问系统所有...
redis 登录_实战开发,使用 Spring Session 完成网站登录改造
weixin_39589644的博客
11-26 191
上次小黑在文章中介绍了种分布式一致性 Session 的实现方式,在这种中最常用的就是后端集中存储方案,这样即使 web 应用重启或者扩容,Session 都没有丢失的风险。今天我们就使用这种方式对 Session 存储方式进行改造,将其统一存储到 Redis 中。实现方案我们先来想一下,如果我们不依靠任何框架,自己如何实现后端 Session 集中存储。这里我们假设我们的网站除了某些页面,比...
Spring Security源码分析九:Spring Security Session管理
最新发布
ZL_1618的博客
06-08 663
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Security 设置session
guoyiqi
04-02 771
使用SecurityContextHolder来偷窥登入帐号密码,手段还真是不够文雅。 Spring-Security3是有提供取得登入资讯塞到Session的实践,不过写起来很烦,很烦也大概不易被破解^^。 Google这方面的资讯,不是缺漏,就是讲述古早的版本,还有中文网站,资讯虽新,却常出现文章一大抄的谬误,我目前是用3.0.2版,和3.0.1、3.0 .0差异何在也不知,不过至少我这方面有...
SpringMVC集成spring session + redis实现单点登录
Jack方
05-20 850
0、pom.xml 依赖包 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"> <modelVersion>4.
Spring Session+Redis零侵入实现单点登录
ThinkMore
08-13 1679
Spring Session 实现单点登录 此种方式相对于上节所说使用原生(Jedis+Jackson+Cookie+Filter)的方式实现起来更加简便,同时对业务代码的侵入性也十分之小,其原理与原生方式类似,并通过对HttpServletRequest和HttpServletResponse的包装来实现cookie的读写,序列化采用JDK原生的方式,故用户对象(User)需要实现Serial...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
我们将基于给定的标签——SpringBootSpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
如何基于spring security实现在线用户统计
08-19
spring-security.xml 文件中,我们需要添加 session-management 配置,以便使用 session 注册跟踪,并实现显示系统中当前活跃用户的数量。 ```xml <s:session-management invalid-session-url="/timeout"> ...
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和...
Spring Security 强制退出指定用户的方法
08-27
为了实现这一点,我们需要使用 Spring SecuritySpring Session。 首先,我们需要简单划分下用户的权限。我们可以将用户分为三类:管理员(ROLE_MANAGER)、普通用户(ROLE_USER)和拉黑用户(ROLE_BLACK)。...
spring session redis解决分布式登录问题
weixin_44098139的博客
04-18 1150
之前部署的服务都是单机服务,登录用户名校验和权限校验采用的是spring security,配置及实现步骤见另一个博文:http://blog.sina.com.cn/s/blog_6b8518810102xeld.html 随着服务请求量的增加及防单点考虑,将服务由单机改为分布式系统。程序里解决了队列处理、事务控制等问题开始上线,上线后发现登录一直有问题,原因是服务由vanish+4台tomc...
Spring security管理session
远方的少年
03-21 2013
    首先要要在web.xml中加上一个监听session的监听器.   &lt;listener&gt; &lt;listener-class&gt;org.springframework.security.web.session.HttpSessionEventPublisher&lt;/listener-class&gt; &lt;/listener&gt;然后在spring se...
spring security 会话管理
swadian2008的博客
08-28 2091
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
2536-springsecurity系列--关于session管理1
zzxx1994617的博客
07-24 1966
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
从零学习spring security(五)单机session管理
Java旅途
08-03 715
一、session过期处理 我们知道session默认的过期时间是30分钟,为了快速实现session过期后如何处理,我们将session设置成1分钟,当然security里面要求session最少过期时间是1分钟,如果设置的少于1分钟会当成1分钟处理。 1) application.properties中设置session过期时间 server.servlet.session.timeout=6...
Spring Security区分session失效与踢出登录策略
绅士jiejie的博客
04-04 3196
Spring Security区分session失效与踢出登录策略
java重定向session失效_SpringSecurity Session并发过期后会重定向到 /login (入口点问题)问题的解决...
weixin_35972359的博客
02-27 1266
问题描述在 SpringSecurity 中,我想配置一个关于session并发的控制,于是我是这样配置的@Overrideprotected void configure(HttpSecurity http) throws Exception {http.sessionManagement().invalidSessionStrategy(new InvalidSessionStrategyIm...
Springf Security】入门篇-设置session超时和阻止并发登录
qq_42980244的博客
08-19 975
如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 设置session超时时间 server: servlet: session: timeout: 60 #设置超时时间60s 设置session超时之后跳转 http.sessionManagement().invalidSessionUrl("/session/invalid") controller上加个方法,url对应/session/invalid 测试如下: 2.同一
Spring Security 3.0.1中文教程:权限管理与修复
教程涵盖Spring Security的基础知识、入门指南、安全命名空间配置等内容,适用于想要深入理解Spring权限管理的开发者。" Spring Security是一个广泛使用的Java安全框架,它为应用程序提供了强大的身份验证和授权...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值