Spring Security中的会话【Session】管理与防御以及会话的并发控制

已于 2023-11-06 15:51:32 修改
阅读量4.4k 收藏 9
点赞数 5
分类专栏: Java 文章标签: Spring Security session 会话
于 2021-12-17 10:48:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35363507/article/details/121901049
版权

       众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】,从而实现不同的请求之间就存在着关联。当用户首次访问时,会自动为该用户生成一个sessionId,然后用Cookie作为载体进行记录,用户在会话周期中间访问都会带上Cookie中的内容,因此系统就可以识别出是哪一个用户。

一、会话固定攻击

        尽管Cookie是非常有用的,但是有些用户出于安全或者保护个人隐私的目的,会关闭Cookie,如上图Google Chrome中的设置。在这种情况下,就不能使用基于Cookie实现Session,这样就使得用户体验不太好。所以针对于这一点,有些网站提供URL重写来实现类似的体验。但是这种情况下会存在问题:URL重写会直接将SessionId拼接在URL上,即例如下面所示。

http://www.test.com/test;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764

        这种方式很容易被黑客进行利用,黑客只需要访问一次站点,将系统生成的SessionId粘贴到这个URL上面,然后将该URL放给用户,只要用户在session有效期内通过此URL进行登录,该sessionId就会绑定到用户的身份,黑客便可以轻松享有同样的会话状态,完全不需要用户名和密码,这就是典型的会话固定攻击。

        会话固定攻击的防御方式其实是很简单,即用户登录后就刷新SessionId,这样原先的SessionId就失去作用。在SpringSecurity中,默认帮我们开启了这种方式,因此并不需要我们特别配置。但是我们也可以手动配置,在Spring Security中的防御会话固定攻击的策略有四种:

newSession: 登录之后创建一个新的session

migrateSession: 登录之后创建一个新的session,并将旧的session中的数据复制过来。

changeSessionId:不创建新的会话,而是使用由Servlet容器提供的会话固定保护。

none: 不做任何变动,登录之后沿用旧的session

        其实这四种策略对应以下四个方法的的三个对象:SessionFixationProtectionStrategy、ChangeSessionIdAuthenticationStrategy、NullAuthenticatedSessionStrategy。

         配置的方式也是很简单,在我下载的Spring Security 5.2.8版本中默认指定的是changeSessionId。

         除了这种改变SessionId的值,也可以通过设置会话过期策略的方式来防御。默认的情况下,会话过期时间是30分钟。也可以指定失效的策略。

二、会话的并发控制

        对于会话并发控制这一概念,在我们经常使用的视频软件中有所体现,例如腾讯视频和爱奇艺,若我的账号购买了会员,那我可以将这个账号分享给我的朋友、家人。当然这种肯定不能无限制的登录,就像对于腾讯视频和爱奇艺,如果不限制登录账号的设备数量,那肯定就亏惨了,而且也不利于自身信息的安全。所以会限制同时登录的设备数量,一旦超过这个限制,前面的账户就会被踢下来,这就是所谓的并发控制。

//session相关的控制
.sessionManagement()
  //指定最大的session并发数量 
  .maximumSessions(1)

        会话的并发数量设置很简单,使用maximumSessions即可。如果没有额外的配置,重新登录的会话会踢掉旧的会话。在介绍会话并发之前需要理解一个叫做SessionRegistry的对象——管理用户的会话状态,也可以称作为用户会话信息表。之所以可以称作为用户会话信息表,是因为其中维护着两个ConcurrentHashMap对象principals和sessionIds,分别存储着主体Principal和会话信息SessionInformation。Principal在之前的文章中说过是包含主体的信息,SessionInformation其实就是包括了主体信息、sessionId、是否过期以及上次请求时间。

       SessionInformation的主要作用是在Spring Security中并发控制中记录Session的信息。Session的在Security中有三个状态:Active(活跃)、Expired(过期)以及Destroyed(无效)。让一个Session无效可以通过Session本身的invalidate方法使其失效,也可以通过Servlet容器管理进行销毁。Session过期很大程度上是由于用户的最大会话数已经达到限制,此时就必须使会话过期,过期的会话会通过过滤器很快的就被删除。

        有了SessionInformation的理解后,我们再来看SessionRegistryImpl这个实现SessionRegistry的类,对会话信息表的具体操作也是在这个实现类中。

public class SessionRegistryImpl implements SessionRegistry, ApplicationListener<SessionDestroyedEvent> {
    protected final Log logger = LogFactory.getLog(SessionRegistryImpl.class);
	// 用户及其对应Session,一个用户可能有多个session
    private final ConcurrentMap<Object, Set<String>> principals;
	// SessionId及其对应的SessionInformation
    private final Map<String, SessionInformation> sessionIds;
    public SessionRegistryImpl() {
        this.principals = new ConcurrentHashMap();
        this.sessionIds = new ConcurrentHashMap();
    }
    public SessionRegistryImpl(ConcurrentMap<Object, Set<String>> principals, Map<String, SessionInformation> sessionIds) {
        this.principals = principals;
        this.sessionIds = sessionIds;
    }
	// 获取当前的所有主体信息
    public List<Object> getAllPrincipals() {
        return new ArrayList(this.principals.keySet());
    }
	// 获取主体对应的会话信息,可包含过期或者不过期的SessionInformation
    public List<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions) {
        // 获取当前主体的所有会话ID
        Set<String> sessionsUsedByPrincipal = (Set)this.principals.get(principal);
        if (sessionsUsedByPrincipal == null) {
            return Collections.emptyList();
        } else {
            List<SessionInformation> list = new ArrayList(sessionsUsedByPrincipal.size());
            Iterator var5 = sessionsUsedByPrincipal.iterator();
            while(true) {
                SessionInformation sessionInformation;
                
                do {
                 // 获取对应ID的SessionInformation,若没有则继续获取,循环结束则直接返回List
                    do {
                        if (!var5.hasNext()) {
                            return list;
                        }
                        String sessionId = (String)var5.next();
                        sessionInformation = this.getSessionInformation(sessionId);
                    } while(sessionInformation == null);
                // 查询是否过期的且当前SessionInformation是否过期
                } while(!includeExpiredSessions && sessionInformation.isExpired());
                // 满足条件则添加至List
                list.add(sessionInformation);
            }
        }
    }
	// 根据ID获取对应的SessionInformation
    public SessionInformation getSessionInformation(String sessionId) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");
        return (SessionInformation)this.sessionIds.get(sessionId);
    }
	// 实现onApplicationEvent接口,表明处理SessionDestoryedEvent事件
    public void onApplicationEvent(SessionDestroyedEvent event) {
        String sessionId = event.getId();
		// 移除对应sessionId的相关数据
        this.removeSessionInformation(sessionId);
    }
	// 刷新最近操作日期
    public void refreshLastRequest(String sessionId) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");
        SessionInformation info = this.getSessionInformation(sessionId);
        if (info != null) {
            info.refreshLastRequest();
        }
    }
	// 新增会话信息
	// SessionManagementConfigure默认会将RegisterSessionAuthenticationStrategy添加
	// 到一个组合式的SessionAuthenticationStrategy中,
	// 并由AbstractAuthenticationProcessingFilter在成功调用时,触发该动作。
    public void registerNewSession(String sessionId, Object principal) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");
        Assert.notNull(principal, "Principal required as per interface contract");
		// 若存在,则先删除会话信息
        if (this.getSessionInformation(sessionId) != null) {
            this.removeSessionInformation(sessionId);
        }
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Registering session " + sessionId + ", for principal " + principal);
        }
		// 会话信息
        this.sessionIds.put(sessionId, new SessionInformation(principal, sessionId, new Date()));
		// 判断用户是否存在
        this.principals.compute(principal, (key, sessionsUsedByPrincipal) -> {
            if (sessionsUsedByPrincipal == null) {
                sessionsUsedByPrincipal = new CopyOnWriteArraySet();
            }
			// 若用户存在,将当前sessionId添加到对应的集合中。
			// 用Set即可实现去重
            ((Set)sessionsUsedByPrincipal).add(sessionId);
            if (this.logger.isTraceEnabled()) {
                this.logger.trace("Sessions used by '" + principal + "' : " + sessionsUsedByPrincipal);
            }
            return (Set)sessionsUsedByPrincipal;
        });
    }
	// 删除会话信息
    public void removeSessionInformation(String sessionId) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");
        SessionInformation info = this.getSessionInformation(sessionId);
        if (info != null) {
            if (this.logger.isTraceEnabled()) {
                this.logger.debug("Removing session " + sessionId + " from set of registered sessions");
            }
			// 以String类型的Key删除对应的sessionId及其Information
            this.sessionIds.remove(sessionId);
            this.principals.computeIfPresent(info.getPrincipal(), (key, sessionsUsedByPrincipal) -> {
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug("Removing session " + sessionId + " from principal's set of registered sessions");
                }
				// 将用户会话记录中的,对应用户的对应session删除
                sessionsUsedByPrincipal.remove(sessionId);
				// 如果获取成功,则清理对应的内容
                if (sessionsUsedByPrincipal.isEmpty()) {
                    if (this.logger.isDebugEnabled()) {
                        this.logger.debug("Removing principal " + info.getPrincipal() + " from registry");
                    }
                    sessionsUsedByPrincipal = null;
                }
                if (this.logger.isTraceEnabled()) {
                    this.logger.trace("Sessions used by '" + info.getPrincipal() + "' : " + sessionsUsedByPrincipal);
                }
                return sessionsUsedByPrincipal;
            });
        }
    }
}

        对于SessionRegistryImpl我们还有额外注意的几点,若是稍不注意很容易在后续的使用过程中碰壁。

        第一点,对象中的Principals采用以用户信息为Key。而在HashMap中,以对象为Key必须覆写hashCode和equals两个方法,因此在自己实现UserDetails时必须重写这两个方法,若没有重写会导致同一个用户每次登录注销时计算得到的Key都不相同,所以每次登录都会向Principals中添加一个用户,而注销时却从来不能有效移除。这种情况下,不仅达不到会话并发控制的效果,还会引起内存泄露。

        第二点,我们注意到SessionRegistryImpl其实是实现了接口ApplicationListener的。在Servlet中监听Session相关事件的方法是实现HttpSessionListener接口,并在系统中注册该监听器。而SpringSecurity中在HttpSessionEventPublisher类中实现HttpSessionEventPublisher接口,并转换成Spring的事件机制,从而也就有了SessionDestroyedEvent这个事件,即会话的销毁事件。所以为了要实现事件的监听,就必须将HttpSessionEventPublisher注册到IOC容器中,这样才能将Java时间转换为Spring事件【只要使用会话管理功能,就应该配置HttpSessionEventPublisher】。

        有了上面的理解,此时我们再来分析并发控制的策略。看完下面的并发控制策略后,其实会发现这里面只有控制当超过会话数量时,使会话的状态过期的操作。当时并没有进行会话的注册和删除。这也就是上面第二点所说,Security中会话创建和删除事件都是通过Spring的事件机制实现的,我们在SessionRegistryImpl同一个包中也可以看到Creation和Destoryed分别都有对应的事件,通过这两个事件才实现注册、销毁。

public class ConcurrentSessionControlAuthenticationStrategy implements MessageSourceAware, SessionAuthenticationStrategy {
    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
    private final SessionRegistry sessionRegistry;
	// 如果超出最大会话数是否阻止新会话的建立
    private boolean exceptionIfMaximumExceeded = false;
	// 最大的会话数
    private int maximumSessions = 1;
    public ConcurrentSessionControlAuthenticationStrategy(SessionRegistry sessionRegistry) {
        Assert.notNull(sessionRegistry, "The sessionRegistry cannot be null");
        this.sessionRegistry = sessionRegistry;
    }
    public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
		// 获取当前用户的所有有效的会话信息
        List<SessionInformation> sessions = this.sessionRegistry.getAllSessions(authentication.getPrincipal(), false);
		
        int sessionCount = sessions.size();
        int allowedSessions = this.getMaximumSessionsForThisUser(authentication);
		// 判断当前用户的会话数量是否超过最大值
        if (sessionCount >= allowedSessions) {
			// 如果最大会话数量为-1,则默认不限制会话数量
            if (allowedSessions != -1) {
				// 当已存在的会话数量等于最大会话数时
                if (sessionCount == allowedSessions) {
					// 判断当前会话是否已经在用户对应的会话列表中
                    HttpSession session = request.getSession(false);
                    if (session != null) {
                        Iterator var8 = sessions.iterator();
                        while(var8.hasNext()) {
                            SessionInformation si = (SessionInformation)var8.next();
							// 当前验证的会话并不是新的会话,则不做任何的处理
                            if (si.getSessionId().equals(session.getId())) {
                                return;
                            }
                        }
                    }
                }
				// 进行策略判断
                this.allowableSessionsExceeded(sessions, allowedSessions, this.sessionRegistry);
            }
        }
    }
    ......
    protected void allowableSessionsExceeded(List<SessionInformation> sessions, int allowableSessions, SessionRegistry registry) throws SessionAuthenticationException {
        // 当用户达到最大会话数时,是否阻止新会话的建立
		if (!this.exceptionIfMaximumExceeded && sessions != null) {
			// 按照建立会话时间先后升序排序,
            sessions.sort(Comparator.comparing(SessionInformation::getLastRequest));
			// 取待过期的会话 
            int maximumSessionsExceededBy = sessions.size() - allowableSessions + 1;
            List<SessionInformation> sessionsToBeExpired = sessions.subList(0, maximumSessionsExceededBy);
            Iterator var6 = sessionsToBeExpired.iterator();
            while(var6.hasNext()) {
				// 新会话建立,使最早的会话过期
                SessionInformation session = (SessionInformation)var6.next();
                session.expireNow();
            }

        } else {
			// 提示会话已超过数量
            throw new SessionAuthenticationException(this.messages.getMessage("ConcurrentSessionControlAuthenticationStrategy.exceededAllowed", new Object[]{allowableSessions}, "Maximum sessions of {0} for this principal exceeded"));
        }
    }
    ......
}

        通过上面的分析,也可以让我们理解为什么官网对于SessionInformation的解释中一开始就提出了Session的三个状态:Active、Expired、Destoryed。因为在会话并发控制,三个状态都是通过三个模块进行控制。

黑白键的约定
关注
专栏目录
Spring Security 6.x 系列(14)—— 会话管理会话固定攻击防护及Session共享
gmHappy
01-03 2807
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 了清晰了协议和会话的概念,并对 Spring Security 的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
spring security 会话管理
冬阳
08-31 1329
当浏览器调用登录接口登录成功后,服务端会和浏览器之间建立一个会话(Session)浏览器在每次发送请求时都会携带一个 Sessionld,服务端则根据这个 Sessionld 来判断用户身份当浏览器关闭后,服务端的 Session 并不会自动销毁,需要开发者手动在服务端调用Session销毁方法,或者等 Session 过期时间到了自动销毁。
spring securitysession管理
qq_36500178的博客
01-24 1万+
1 spring securitysession管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
Spring Security - Session 管理
最新发布
Flying_Fish_roe的博客
09-28 845
如果需要实现复杂的会话策略,可以实现@Override// 自定义逻辑Spring Security会话管理功能为现代 Web 应用程序提供了强大的会话控制和安全保护能力。从基本的会话创建策略、会话固定保护,到高级的并发会话控制和分布式会话管理Spring Security 通过灵活的配置选项和扩展能力,帮助开发者打造更安全、更可靠的应用程序。无论是构建单体应用还是分布式微服务架构,Spring Security会话管理都能提供丰富的功能来满足不同的需求,是保障应用安全性的重要一环。
Spring SecuritySession管理
Evan_L的博客
04-21 2145
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 892
Session:在计算机,尤其是在网络应用,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象的变量将不会丢失,而是在整个用户会话一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话Session 对象最常见的一个用法就是存储用户的首选项。
SpringSecuritysession并发控制
weixin_41359273的博客
03-29 375
SpringSecuritysession并发控制1.pom.xml2.建表语句3.application.properties3.实体类4.mapper及xml文件5.UserService5.Security的配置6.测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/20
Spring Security(九):会话管理(Session)
热门推荐
人不风流枉少年
05-25 1万+
一:会话超时 1. application.yml 配置session会话超时时间,默认为30秒,但是Spring Boot会话超时时间至少为60秒 server: servlet: session: timeout: 60 2. security configuration 配置session超时后地址 http.csrf().disable() .antMatc...
使用Spring Security控制会话的方法
08-26
本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理并发控制会话创建策略 Spring Security 提供了四种会话创建策略:always、ifRequired、never 和 stateless。这些策略可以在 Java ...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1842
Springboot +spring security,实现session并发控制及实现原理分析
基于java config的springSecurity 六 集成spring session
01-23
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
Spring Security系列】Spring Security整合Spring Session解决集群会话问题
qq_28248897的博客
07-02 995
Spring Security提供的会话并发控制是基于内存实现的,在集群部署时如果想要使用会话并发控制,则必须进行适配。 session共享,本质上就是存储容器的变动,但如何得到最优存取结构、如何准确清理过期会话,以及如何整合WebSocket等无法回避。Spring Session就是专门用于解决集群会话问题的,它不仅为集群会话提供了非常完善的支持,与Spring Security的整合也有专门的实现。 Spring Session支持多种类型的存储容器,包括Redis、MongoDB等。由于接下来的整合
SpringSecurity Session管理
Curtisjia的博客
10-31 338
目录Session管理Session超时设置Session并发控制 Session管理 Session超时设置 Session超时时间也就是用户登录的有效时间。要设置Session超时时间很简单,只需要在配置文件添加: server: servlet: session: timeout: 60 #1分钟 Session的最小有效期为60秒,也就是说即使你设置为小于60秒的值,其有效期还是为60秒 在Spring Security配置Session管理器,并配置Session失效
SpringSecurity】十三、基于Session实现授权认证
llg___的博客
03-19 1034
定义三个接口,登录,服务端保存session,登出,让session失效。以及一个资源接口,查看当前是登录访问资源,还是未登录访问资源。客户端下次再请求,就带上sid,服务端校验是否存在对应的session,存在则不要求用户再登录了。服务端返回给客户端session id (sid),被客户端存到自己的cookie。用户认证成功后,服务端生成用户数据保存在session。拦截器add并放行/login,只测/r**接口。修改实体类,加个权限字段,存储用户权限。加个测试资源接口/r2。
SpringSecuritySession管理
吴大侠的博客
11-26 2555
一、会话超时 配置session会话超时时间,默认为30分钟,但是Spring Boot会话超时时间至少为60秒,当session超时后, 默认跳转到登录页面. #session设置 #配置session超时时间 server.servlet.session.timeout=60 自定义设置session超时后地址,设置session管理和失效后跳转地址 http.sessionM...
6.Spring Security Session 管理
LoveSummer
11-05 7475
Spring Security Session 管理 用户登录成功后,信息保存在服务器 Session ,这节学习下如何管理这些 Session。这节将在 Spring Security 短信验证码登录的基础上继续扩展。 Session 超时设置 Session 超时时间也就是用户登录的有效时间。要设置 Session 超时时间很简单,只需要在配置文件添加: server: session...
SpringSecuritySession 使用
Earth_Programer的博客
04-12 3029
在之前的几章里面,我们分别做了快速入门、自定义表单登录、自定义手机登录。他们有一个共同点,就是目前我们与客户端之间的交互都依赖于 Session。那么本章我们就带大家来了解一下 SpringSecuritySession 的使用与设置。 Session 是什么? Session 文意思为会议,在计算机,尤其在网络应用称为会话控制。 Session直接翻译成文比较困难,一般都译成时域...
Spring Security(学习笔记) --会话管理会话并发管理实现以及源码分析,会话固定攻击)!
TONGZHOUGONGDU的博客
04-28 1028
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security的防火墙。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑白键的约定

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值