Spring全家桶-Spring Security之会话管理

已于 2022-05-25 19:13:34 修改
阅读量1k 收藏 3
点赞数 1
分类专栏: Spring Security 文章标签: spring java Spring Security Security框架 安全框架
于 2022-05-25 19:06:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qian1314520hu/article/details/124939893
版权

Spring全家桶-Spring Security之会话管理

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

文章目录

前言

一、Session是什么?

Session(会话)就是无状态的HTTP实现用户状态可维持的一种解决方案。HTTP本身无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,服务也不能为用户提供相关的个性话服务。Session可以解决以上问题。服务器通过与用户约定每个请求都携带一个ID,从而让不同请求之间有了关联, 而id又可以很方便地绑定具体用户, 所以我们可以把不同请求归类到同一用户。Session代表服务器与浏览器的一次会话过程,这个过程是连续的,也可以时断时续的。在Servlet中,当JSP页面没有显式禁止session的时候,在打开浏览器第一次请求该jsp的时候,服务器会自动为其创建一个session,并赋予其一个sessionID,发送给客户端的浏览器。以后客户端接着请求本应用中其他资源的时候,会自动在请求头上添加:(Cookie:SESSIONID=客户端第一次拿到的session ID)。这样,服务器端在接到请求时候,就会收到session ID,并根据ID在内存中找到之前创建的session对象,提供给请求使用。
URL重写很容易被恶意黑客利用。黑客只需访问一次系统, 将系统生成的sessionId提取并拼凑在URL上, 然后将该URL发给一些取得信任的用户。 只要用户在session有效期内通过此URL进行登录, 该sessionId就会绑定到用户的身份, 黑客便可以轻松享有同样的会话状态, 完全不需要用户名和密码, 这就是典型的会话固定攻击。

二、会话固定攻击

我们将sessionId会写入到cookie中,尽管cookie非常有用, 但有时用户会在浏览器中禁用它, 可能是出于安全考虑, 也可能是为了保护个人隐私。 在这种情况下, 基于cookie实现的sessionId自然就无法正常使用了。 因此, 我们还可以支持用URL重写的方式来实现类似的功能。
但是有一个问题:URL重写很容易被恶意黑客利用。黑客只需访问一次系统, 将系统生成的sessionId提取并拼凑在URL上, 然后将该URL发给一些取得信任的用户。 只要用户在session有效期内通过此URL进行登录, 该sessionId就会绑定到用户的身份, 黑客便可以轻松享有同样的会话状态, 完全不需要用户名和密码.这样就会产生会话固定攻击。

Spring Security进行会话管理

上面了解了相关的session,现在进行Spring Security中的session管理。

1.创建项目spring-security-session

创建项目spring-security-session,相关项目的pom.xml如下:

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>

我们一最简单的方式进行登陆验证,看看相关的session数据。

2.创建WebSecurityConfig

我们使用最简单配置进行配置处理。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/user/**").hasAnyRole("USER","ADMIN")
                .antMatchers("/books/**").hasAnyRole("ADMIN")
                .antMatchers("/").permitAll()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .permitAll()
                .and()
                .csrf()
                .disable();
    }
}

3.修改配置文件application.yml

将用户设置到配置文件中

spring:
  security:
    user:
      name: admin
      roles: ADMIN
      password: 123456

4.创建相应的接口

  1. IndexController:
@RestController
public class IndexController {

    @GetMapping("/")
    public String index(){
        return "index";
    }
}
  1. BookController:
@RestController
public class BookController {

    @GetMapping("/books/index")
    public String index(){
        return "books/index";
    }

    @GetMapping("/books/list")
    public String list(){
        return "books/list";
    }
}
  1. UserController:
@RestController
public class UserController {

    @GetMapping("/user/index")
    public String index(){
        return "user/index";
    }

    @GetMapping("/user/list")
    public String list(){
        return "user/list";
    }
}

5.运行程序

运行程序,访问:http://localhost:8080/user/list,将跳转到登陆页:
在这里插入图片描述
我们使用chrome的调试工具,快捷键F12进入。
在这里插入图片描述
我们看看list接口的详细信息:
在这里插入图片描述
这个Spring Security给我们生成的,我们将后面jsessionId放到链接中访问试试。
在这里插入图片描述
我们看到这里会报错,可以看出Spring Security已经给我们设置了URL重写的问题.默认spring security给我们规避了URL重写的漏洞。Spring Security的HTTP防火墙会帮助我们拦截不合法的URL, 当我们试图访问带session的URL时
后台会报错:

org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String ";"
	at org.springframework.security.web.firewall.StrictHttpFirewall.rejectedBlocklistedUrls(StrictHttpFirewall.java:456) ~[spring-security-web-5.6.2.jar:5.6.2]
	at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:429) ~[spring-security-web-5.6.2.jar:5.6.2]
	at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:196) ~[spring-security-web-5.6.2.jar:5.6.2]
	at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:183) ~[spring-security-web-5.6.2.jar:5.6.2]
	at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:354) ~[spring-web-5.3.18.jar:5.3.18]
	at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:267) ~[spring-web-5.3.18.jar:5.3.18]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:100) ~[spring-web-5.3.18.jar:5.3.18]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) ~[spring-web-5.3.18.jar:5.3.18]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.springframework.web.filter.FormContentFilter.doFilterInternal(FormContentFilter.java:93) ~[spring-web-5.3.18.jar:5.3.18]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) ~[spring-web-5.3.18.jar:5.3.18]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:201) ~[spring-web-5.3.18.jar:5.3.18]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) ~[spring-web-5.3.18.jar:5.3.18]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:197) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:97) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:541) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:135) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:92) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:78) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:360) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:399) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:889) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1743) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.tomcat.util.threads.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1191) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.tomcat.util.threads.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:659) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) ~[tomcat-embed-core-9.0.60.jar:9.0.60]
	at java.base/java.lang.Thread.run(Thread.java:834) ~[na:na]

StrictHttpFirewall.class

private void rejectedBlocklistedUrls(HttpServletRequest request) {
        Iterator var2 = this.encodedUrlBlocklist.iterator();
        String forbidden;
        do {
            if (!var2.hasNext()) {
                var2 = this.decodedUrlBlocklist.iterator();
                do {
                    if (!var2.hasNext()) {
                        return;
                    }
                    forbidden = (String)var2.next();
                } while(!decodedUrlContains(request, forbidden));
                throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\"");
            }
            forbidden = (String)var2.next();
        } while(!encodedUrlContains(request, forbidden));
        throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\"");
    }

设置session过期处理

我们可以进行session过期跳转到相应的界面中,只需要进行如下配置即可:

protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/user/**").hasAnyRole("USER","ADMIN")
                .antMatchers("/books/**").hasAnyRole("ADMIN")
                .antMatchers("/").permitAll()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .permitAll()
                .and()
                .sessionManagement()
                //session过期跳转页面
                .invalidSessionUrl("/session/error")
                .and()
                .csrf()
                .disable();
    }

我们自定义扩展session 过期的策略,我们看到设置策略的地方是通过如下代码进行设置:

public SessionManagementConfigurer<H> invalidSessionStrategy(InvalidSessionStrategy invalidSessionStrategy) {
        Assert.notNull(invalidSessionStrategy, "invalidSessionStrategy");
        this.invalidSessionStrategy = invalidSessionStrategy;
        return this;
    }

我们可以创建一个自定义的session过期策略,只需要实现InvalidSessionStrategy接口即可。
我们还可以设置session的过期时间(默认为30分钟),通过如下设置:

server:
  servlet:
    session:
      timeout: 30m

一探究竟

我们看看Spring Security是怎么进行处理的呢?
我们已经知道,Spring Security通过我们的WebSecurityConfig进行HTTP的认证处理.如下:

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/user/**").hasAnyRole("USER","ADMIN")
                .antMatchers("/books/**").hasAnyRole("ADMIN")
                .antMatchers("/").permitAll()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .permitAll()
                .and()
                .csrf()
                .disable();
    }

我们的配置类继承了WebSecurityConfigurerAdapter

protected void configure(HttpSecurity http) throws Exception {
        this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
        http.authorizeRequests((requests) -> {
            ((AuthorizedUrl)requests.anyRequest()).authenticated();
        });
        http.formLogin();
        http.httpBasic();
    }

WebSecurityConfigurerAdapter有一个HttpSecurity属性,这个对象是进行http安全的设置类。
我们默认的时候怎么处理?

protected final HttpSecurity getHttp() throws Exception {
		//判断http是否为空
        if (this.http != null) {
            return this.http;
        } else {
            AuthenticationEventPublisher eventPublisher = this.getAuthenticationEventPublisher();
            this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
            AuthenticationManager authenticationManager = this.authenticationManager();
            this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
            Map<Class<?>, Object> sharedObjects = this.createSharedObjects();
            this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
            if (!this.disableDefaults) {
            	//申请默认的配置
                this.applyDefaultConfiguration(this.http);
                ClassLoader classLoader = this.context.getClassLoader();
                //加载相应的配置
                List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
                Iterator var6 = defaultHttpConfigurers.iterator();

                while(var6.hasNext()) {
                    AbstractHttpConfigurer configurer = (AbstractHttpConfigurer)var6.next();
                    this.http.apply(configurer);
                }
            }

            this.configure(this.http);
            return this.http;
        }
    }

我们看看 applyDefaultConfiguration方法

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {
        http.csrf();
        http.addFilter(new WebAsyncManagerIntegrationFilter());
        http.exceptionHandling();
        http.headers();
        //默认会进行session管理
        http.sessionManagement();
        http.securityContext();
        http.requestCache();
        http.anonymous();
        http.servletApi();
        http.apply(new DefaultLoginPageConfigurer());
        http.logout();
    }

这里spring security默认会进行session的管理,我们看看具体的实现

public SessionManagementConfigurer<HttpSecurity> sessionManagement() throws Exception {
        return (SessionManagementConfigurer)this.getOrApply(new SessionManagementConfigurer());
    }

Spring Security通过SessionManagementConfigurer进行session管理的相关配置。

//默认的session处理策略
private final SessionAuthenticationStrategy DEFAULT_SESSION_FIXATION_STRATEGY = createDefaultSessionFixationProtectionStrategy();
 
public SessionManagementConfigurer() {
		//设置session的相关策略
        this.sessionFixationAuthenticationStrategy = this.DEFAULT_SESSION_FIXATION_STRATEGY;
        this.sessionAuthenticationStrategies = new ArrayList();
    }

我们看到默认的策略是通过调用createDefaultSessionFixationProtectionStrategy方法进行生成。

private static SessionAuthenticationStrategy createDefaultSessionFixationProtectionStrategy() {
		//创建默认的session策略
        return new ChangeSessionIdAuthenticationStrategy();
    }

ChangeSessionIdAuthenticationStrategy类:

public final class ChangeSessionIdAuthenticationStrategy extends AbstractSessionFixationProtectionStrategy {
    public ChangeSessionIdAuthenticationStrategy() {
    }

    HttpSession applySessionFixation(HttpServletRequest request) {
    	//改变sessionId
        request.changeSessionId();
        return request.getSession();
    }
}

因此Spring Security默认是为请求每次生成sessionId进行处理的。所以URL重写就不能成功,会抛出相关的错误。

public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
        boolean hadSessionAlready = request.getSession(false) != null;
        if (hadSessionAlready || this.alwaysCreateSession) {
            HttpSession session = request.getSession();
            if (hadSessionAlready && request.isRequestedSessionIdValid()) {
                Object mutex = WebUtils.getSessionMutex(session);
                String originalSessionId;
                String newSessionId;
                synchronized(mutex) {
                    originalSessionId = session.getId();
                    //ChangeSessionIdAuthenticationStrategy
                    session = this.applySessionFixation(request);
                    newSessionId = session.getId();
                }

                if (originalSessionId.equals(newSessionId)) {
                    this.logger.warn("Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks");
                } else if (this.logger.isDebugEnabled()) {
                    this.logger.debug(LogMessage.format("Changed session id from %s", originalSessionId));
                }

                this.onSessionChange(originalSessionId, session, authentication);
            }

        }
    }

我们看到AbstractSessionFixationProtectionStrategy实现了SessionAuthenticationStrategy接口,我们看看这个接口的实现,通过类名就不难看出是session的不同策略。
在这里插入图片描述
Spring Security提供了如下策略:

  1. newSession:登录之后创建一个新的session
 final HttpSession applySessionFixation(HttpServletRequest request) {
        HttpSession session = request.getSession();
        String originalSessionId = session.getId();
        this.logger.debug(LogMessage.of(() -> {
            return "Invalidating session with Id '" + originalSessionId + "' " + (this.migrateSessionAttributes ? "and" : "without") + " migrating attributes.";
        }));
        Map<String, Object> attributesToMigrate = this.extractAttributes(session);
        int maxInactiveIntervalToMigrate = session.getMaxInactiveInterval();
        session.invalidate();
        session = request.getSession(true);
        this.logger.debug(LogMessage.format("Started new session: %s", session.getId()));
        this.transferAttributes(attributesToMigrate, session);
        if (this.migrateSessionAttributes) {
            session.setMaxInactiveInterval(maxInactiveIntervalToMigrate);
        }

        return session;
    }
  1. migrateSession:登录之后创建一个新的session, 并将旧的session中的数据复制过来
final HttpSession applySessionFixation(HttpServletRequest request) {
        HttpSession session = request.getSession();
        String originalSessionId = session.getId();
        this.logger.debug(LogMessage.of(() -> {
            return "Invalidating session with Id '" + originalSessionId + "' " + (this.migrateSessionAttributes ? "and" : "without") + " migrating attributes.";
        }));
        Map<String, Object> attributesToMigrate = this.extractAttributes(session);
        int maxInactiveIntervalToMigrate = session.getMaxInactiveInterval();
        session.invalidate();
        session = request.getSession(true);
        this.logger.debug(LogMessage.format("Started new session: %s", session.getId()));
        this.transferAttributes(attributesToMigrate, session);
        if (this.migrateSessionAttributes) {
            session.setMaxInactiveInterval(maxInactiveIntervalToMigrate);
        }

        return session;
    }
  1. changeSessionId:不创建新的会话,而是使用由Servlet容器提供的会话固定保护
HttpSession applySessionFixation(HttpServletRequest request) {
        request.changeSessionId();
        return request.getSession();
    }
  1. none:不做任何的处理,登陆之后沿用就的session
 public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
    }

我们看看相关代码:

public final class SessionFixationConfigurer {
        public SessionFixationConfigurer() {
        }

        public SessionManagementConfigurer<H> newSession() {
            SessionFixationProtectionStrategy sessionFixationProtectionStrategy = new SessionFixationProtectionStrategy();
            sessionFixationProtectionStrategy.setMigrateSessionAttributes(false);
            SessionManagementConfigurer.this.setSessionFixationAuthenticationStrategy(sessionFixationProtectionStrategy);
            return SessionManagementConfigurer.this;
        }

        public SessionManagementConfigurer<H> migrateSession() {
            SessionManagementConfigurer.this.setSessionFixationAuthenticationStrategy(new SessionFixationProtectionStrategy());
            return SessionManagementConfigurer.this;
        }

        public SessionManagementConfigurer<H> changeSessionId() {
            SessionManagementConfigurer.this.setSessionFixationAuthenticationStrategy(new ChangeSessionIdAuthenticationStrategy());
            return SessionManagementConfigurer.this;
        }

        public SessionManagementConfigurer<H> none() {
            SessionManagementConfigurer.this.setSessionFixationAuthenticationStrategy(new NullAuthenticatedSessionStrategy());
            return SessionManagementConfigurer.this;
        }
    }

现在我们大体上知道了session的相关管理。具体的操作可以进入相应的类中看看具体的实现。
我们可以通过自己在http中设置sesssionManager进行处理。我们现在将不做任何session处理,我们修改 WebSecurityConfig,代码如下:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/user/**").hasAnyRole("USER","ADMIN")
                .antMatchers("/books/**").hasAnyRole("ADMIN")
                .antMatchers("/").permitAll()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .permitAll()
                .and()
                .sessionManagement().sessionFixation().none()
                .and()
                .csrf()
                .disable();
    }

sessionManagement().sessionFixation().none()设置的策略为 none:不做任何的处理,登陆之后沿用就的session.

总结

Spring Security为我们提供了多种session的处理策略。方便我们进行session的管理。Spring也为我们提供了Spring session的相关包。后面我们会说到。因为我们是在单机中,一般我们的服务部署为了达到高可用的情况一般都不止一台服务,这个时候我们的session该如何管理?在并发的情况下,Spring Security是如何控制session的呢?

Tony-devj
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-rest-security
07-04
angular_bootstrap_spring 带有 Bootstrap 和 Spring 4 以及 Spring Security 的 Angular JS 此示例是一个 Angular js 单页应用程序 (SPA),带有用于小部件和样式的引导程序。 Spring 4:用于创建 RESTful 控制器接口,然后通过 ajax 请求调用。 Spring Security 3:使用一个简单的设置,并配置了一个 http 基本入口点,该入口点将始终返回未经授权的 http 状态(401),这将导致 angular js 拦截响应,如果检测到 401,将触发登录事件。 将触发基本身份验证,并根据 spring 安全配置中指定的用户服务验证用户凭据。 正在使用 Spring Security 会话管理。 根据 spring 安全配置的登录详细信息: 用户名 = 用户密码 = 密码 测
spring-security-eventlog:一个Grails插件来记录Spring安全事件
05-12
Spring Security Eventlog插件 这个插件创建一个简单的Spring安全事件日志。 每次用户登录或注销时,都会创建一个日志条目,其中存储了远程地址,会话ID,用户名,事件名称,切换的用户名以及事件发生的时间。 事件记录到名为SPRING_SECURITY_EVENT的表中,该表映射到域对象ca.redtoad.eventlog.SpringSecurityEvent。 每个事件都有以下字段: 用户名-输入的用户名 sessionId-用户的会话 eventName-事件的名称 remoteAddress-用户的IP地址 SwitchedUsername-切换到的用户名 dateCreated-事件的时间戳 捕获的一些事件名称: AuthenticationFailureBadCredentialsEvent-用户名或密码错误 AuthenticationSuc
Spring-Security:安全攻击对策
05-13
Spring安全研究 基本安全功能 身份验证功能:检查应用程序用户的合法性。 授权功能:控制对应用程序资源或处理的访问。 增强的安全功能 会话管理功能:保护用户免受会话劫持或会话固定攻击控制会话的生命周期(创建,破坏,超时)。 CSRF预防功能:保护用户免受跨站请求伪造(CSRF)攻击。 具有浏览器安全功能的链接功能:在攻击中滥用了与浏览器安全功能相关的浏览器功能打印出可以保护用户的安全标头。 Spring Security模块配置 模组名称 解释 Spring安全核心 由核心组件组成,以实现身份验证和授权功能 Spring安全网 包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持基于Java的配置方法的类或解释XML名称空间的类,等等。) Spring安全标签库 包含JSP标记库以使用认证信息或授权信息 CSRF预防功能以及与Spr
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1633
Springboot +spring security,实现session并发控制及实现原理分析
springsecurity oauth2.0 基于session的认证授权(intercepter拦截器)2
健康平安的活着的专栏
07-31 2001
一 基于session的认证流程 1.1 认证流程 基于session的认证流程为: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 流程如下: 基于Session的认证机制由Servlet规范定制.
spring securitysession管理
qq_36500178的博客
01-24 9585
1 spring securitysession管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法中,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
SpringSecuritySession 使用
Earth_Programer的博客
04-12 2844
在之前的几章里面,我们分别做了快速入门、自定义表单登录、自定义手机登录。他们有一个共同点,就是目前我们与客户端之间的交互都依赖于 Session。那么本章我们就带大家来了解一下 SpringSecuritySession 的使用与设置。 Session 是什么? Session 中文意思为会议,在计算机中,尤其在网络应用中称为会话控制。 Session直接翻译成中文比较困难,一般都译成时域...
Spring Security中的会话Session管理与防御以及会话的并发控制
SunRains
12-17 3692
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
spring security 深入浅出(一) session认证方式(1)
tonysong111073的专栏
06-26 2030
深入浅出学习 spring security
SpringSecurity中的集群会话Session存在的问题以及解决方案(保持、复制、共享)
SunRains
12-21 3031
在初步了解Session的时候,我们就知道Session通常是保存在服务器的内存当中的。每一次客户访问都会携带SessionId,然后在服务器的内存中寻找。虽然这种方式简单快捷,但是仍存在比较明显的缺点。服务器的内存是有限的,所以留给Session的空间不多,因此一旦用户的访问量比较多时内存就会捉襟见肘。而且因为session是存在内存当中,并不是持久化存储,就算服务器性能特别好,但是也不免存在服务器的异常停止和重启,这个时候就会导致会话状态的丢失。
SpringSecurity.zip
06-08
什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。...Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理
使用Spring Security控制会话的方法
08-26
在本文中,我们将说明Spring Security如何允许我们控制HTTP会话。这篇文章主要介绍了使用Spring Security控制会话 ,需要的朋友可以参考下
SpringSecuritysession管理
拒绝熬夜啊的博客
11-30 4141
文章目录SpringSecuritysession管理1 Session超时2 限制最大登录数3 踢出用户4 退出登录5 Session 共享 SpringSecuritysession管理 1 Session超时 当用户登录后,我们可以设置 session 的超时时间,当达到超时时间后,自动将用户退出登录。 Session 超时的配置是 SpringBoot 原生支持的,我们只需要在 application.properties 配置文件中配置: server: servlet: sess
SpringSecurity (七)session管理会话管理
weixin_43189971的博客
07-19 1235
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理Session销毁监听器......
SpringSecuritySession管理
吴大侠的博客
11-26 2447
一、会话超时 配置session会话超时时间,默认为30分钟,但是Spring Boot中的会话超时时间至少为60秒,当session超时后, 默认跳转到登录页面. #session设置 #配置session超时时间 server.servlet.session.timeout=60 自定义设置session超时后地址,设置session管理和失效后跳转地址 http.sessionM...
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1803
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
Day91.Spring Security框架: 认证与授权、Spring Session集成--Session共享
a111042555的博客
06-27 1247
Spring Security
Spring Security实战(四)—— 会话管理
weixin_49561506的博客
04-16 1361
spring security会话管理,介绍了如何防止会话固定攻击,会话并发控制,集群会话的三种解决方案,以及整合Spring Session和reids解决集群会话的问题
SpringBoot项目打包分离高阶操作
最新发布
Record Little
04-23 577
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
spring-boot-starter-security是用来做什么的?
02-25
spring-boot-starter-securitySpring Boot框架中的一个模块,于提供安全认证和授权功能。它基于Spring Security框架,可以帮助开发者轻松地实现应用程序的身份验证、授权和访问控制。 具体来说,spring-boot-starter-security提供了以下功能: 1. 身份验证:可以通过配置用户名和密码、数据库、LDAP等方式进行用户身份验证。 2. 授权:可以定义角色和权限,并通过注解或配置进行访问控制。 3. Session管理:可以管理用户的会话信息,包括Session超时、并发控制等。 4. CSRF防护:提供跨站请求伪造(CSRF)的防护机制。 5. 表单登录:支持基于表单的用户登录认证。 6. OAuth2集成:支持OAuth2协议,可以作为OAuth2服务器或客户端进行认证和授权。 使用spring-boot-starter-security可以简化安全功能的集成和配置,提高开发效率,并且可以保护应用程序免受常见的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值