从零开始java安全权限框架篇(七):spring security整合Redis实现session共享

最新推荐文章于 2024-07-16 14:18:28 发布
最新推荐文章于 2024-07-16 14:18:28 发布
阅读量4.4k 收藏 18
点赞数 2
文章标签: session共享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35755863/article/details/100555650
版权
本文详细介绍了如何使用Spring Security结合Spring Session实现在分布式环境下的session共享,包括配置、自定义session管理、用户锁定机制的实现。文章还讨论了在实现过程中遇到的问题和解决方案,如登录验证、记住我功能、权限检验等,并提供了完整代码链接。
摘要由CSDN通过智能技术生成

目录

 

一:spring security整合spring session实现session共享

二:代码

        1.springsecurity的配置文件

        2.自定义的session管理

三:获取到当前的所有用户以及踢出一个用户

四:用户锁定

1.我们先来看看锁定的时序图

2.流程解析

3.代码

(1)登录流程验证验证

(2)登录失败加锁

五:安全权限的总结

1.为什么要用Spring security

2.为什么要大量自定义和重写security的框架方法

3.主要的技术要点

4.主要实现功能

一:spring security整合spring session实现session共享

  其实这边坑还是还是很多了,我照着官网整合了半天,发现记住我的功能用不了(真的是springboot的几个版本都是用不了的)。然后就想跳过这个功能,毕竟之前也弄到过Redis上去了。那就去实现基于Redis的Session共享吧,结果整出来发现官网上一个说明心态崩了。

  我这边也尝试了用spring session整合来实现session共享,但是不知道为何很多Bug无法解决。比如记住我功能的无法实现,因为每一次都需要重写Cookie的机制很不好弄然后session共享也没办法获取到所有的用户等。最后,只能重写speing security的方法了具体实现如下:主要是就是Session共享。(完整代码块在最后)

二:代码

1.springsecurity的配置文件

package com.config.Seurity;






import javax.annotation.Resource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler;

import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;
import org.springframework.security.web.session.HttpSessionEventPublisher;





import org.springframework.stereotype.Repository;

import com.config.Seurity.hander.AjaxSuccessHander;
import com.config.Seurity.hander.AjaxfailHander;

import com.config.Seurity.permission.CustomPermissionEvaluator;
import com.config.Seurity.pwdEnder.MyPasswordEncoder;
import com.config.Seurity.repository.MyPersistentTokenRepository;
import com.config.Seurity.repository.MySessionRegistryImpl;
import com.config.Seurity.service.LoginService;







/**
 * spring security的配置
 * ClassName: SecurityConfig 
 * Function: 一句话描述功能. 
 * auth: monxz
 * date: 2019年8月28日 上午10:04:50 
 * @param <S>
 *
 *
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
		@Autowired
		private LoginService loginService;
		
		
		
		//静态文件夹忽略
		private String[] allowedRes= {"/static/**","/css/**","/js/**","/my/**","/img/**","/ajax/**","favicon.ico"};
		
		//不需要验证的
		private String[]  allowedUrl= {"/api/**","/user/user/current"};


		//登录执行的逻辑
		 @Autowired
		 public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {
		      auth.userDetailsService(loginService).passwordEncoder(new MyPasswordEncoder());
		     
		  }

		 
		//配置信息
		 @Override
		    protected void configure(HttpSecurity http) throws Exception { 
			 	
		       
			 	//配置访问权限
		        http.authorizeRequests()
		        		//允许匿名访问(如api)
		                .antMatchers(allowedUrl)
		                .permitAll()		                        
		                //其他地址的访问均需验证权限
		                .anyRequest()
		                .authenticated();
		        		
		        
		         //配置登录以及成功失败的处理方式
		         http.formLogin()		               
		                //指定登录页是"/view/login"   
		                .loginPage("/view/login").permitAll()    //
		                
		                
		                //ajax方式登录		               
		                .successHandler(new AjaxSuccessHander())
		                .failureHandler(new AjaxfailHander())
		                .loginProcessingUrl("/login")
		                .usernameParameter("username")  //ajax请求必须的
		                .passwordParameter("password");
		                
		                //form表单登录
//		                .defaultSuccessUrl("/view/index")       //登录成功后默认跳转到路径"
		               
		                
		         //注销 ,直接访问   ip:port/logout		
		         http .logout()
		                .logoutSuccessUrl("/view/login")          //退出登录后跳转到登录主界面"
		                .deleteCookies()						//有记住我功能,删除cookie
		                .permitAll();
		         	
		                
		         //记住我
		         http.rememberMe()
		         .tokenRepository(persistentTokenRepository())
		          		.tokenValiditySeconds(60*15)
		          		
		          	
		          		;
		          		

		         
		                //跨域以及其他的一些配置
		         http .csrf()
		         	  .disable()   // 关闭CSRF跨域
		              .headers()
		              .frameOptions()
		              .sameOrigin();  // 允许加载frame子菜单
		        
		         http.sessionManagement()
//		         	 .sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
		         	 .sessionFixation()
		         	 .migrateSession()
		             .invalidSessionUrl("/view/login")
		             .maximumSessions(1)
		             .expiredUrl("/view/login")
		             .sessionRegistry(sessionRegistry())		             
		             ;
		       
		         

		    }
		 
		
		 
		 
		 //静态资源
		 @Override
		  public void configure(WebSecurity web) throws Exception {
			 			
		        // 设置拦截忽略文件夹,可以对静态资源放行
		        web.ignoring().antMatchers(allowedRes);
		   }
		 
//================================权限认证=======================================		 
		 
		 // 注入自定义url和权限验证器	     
		    @Bean
		    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler() {
		        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
		        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
		        return handler;
		    }
			
		
//==========================session管理==================
最低0.47元/天 解锁文章
qq_35755863
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
11-SpringSecuritySession共享
m0_66789766的博客
05-09 864
spring-boot-starter-test test 配置文件 server: port: 8000 spring: redis: host: 10.16.1.110 port: 6379 pool.max-idle: 8 pool.min-idle: 0 pool.max-active: 8 pool.max-wait: -1 password: timeout: 1000 资源接口 创建资源接口: 登录之后默认跳转 / ,展示当前服务的端口号。 @RestController publ
JAVA上百实例源码以及开源项目
01-03
摘要:Java源码,文件操作,权限控制  Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流。 Java绘制图片火焰效果 1个目标...
SpringSecurity整合redissession存储到redis
LLLLLiSHI的博客
04-21 3985
SpringSecurity本身依赖于单节点的实现session存在于内存中。 当在多个容器环境或多实例运行时,改造为redis统一存储,即单点登录 1 pom <dependency> <groupId>org.springframework.session</groupId> <artif...
SpringBoot/Security使用Redis存储Session,超时时间设置
最新发布
z69183787的专栏
07-16 306
所以可以在注解上配置过期时间来完成我们的需求:@EnableRedissonHttpSession(maxInactiveIntervalInSeconds = 3600)一开始我认为只修改yml文件中的server.servlet.session.timeout=60m就行了,但是发现redis中的过期时间还是1800s。现状:spring boot项目,使用redisson将spring session存入redis中,过期时间为默认的30分钟。需求:延长session过期时间。
集群化部署,Spring Security 要如何处理 session 共享
江南一点雨的专栏
05-18 5397
前面和大家聊了 Spring Security 如何像 QQ 一样,自动踢掉已登录用户(Spring Boot + Vue 前后端分离项目,如何踢掉已登录用户?),但是前面我们是基于单体应用的,如果我们的项目是集群化部署,这个问题该如何解决呢? 今天我们就来看看集群化部署,Spring Security 要如何处理 session 并发。 本文是 Spring Security 系列第 17 ,阅读前面的文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门
springSecurity结合使用实现redis管理session
liberty12345678的专栏
09-11 2987
1. pom.xml 添加springsession的依赖: <span style="color:#000000"><code><dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>${spring
SpringSecurity实战(三)-整合SpringSession-Redis
qq1164014750
12-08 1625
文章目录目标集群会话session 保持session 复制session 共享Session 共享实现代码实践核心依赖核心配置redisson.ymlspring session 的配置Spring Security 整合 Spring session问题解决 目标 了解与Spring sessionredis整合 参考:spring security 实战书籍 6.6 章节 集群会话 单机提供单服务只能存在于测试环境,正式环境部署工程,一般都是集群部署或者单机多服务部署。看下两者会话信息
springSession+springSecurity结合使用实现redis管理session
热门推荐
nb7474的博客
03-20 2万+
目录1. pom.xml2. 进行springsessionredis配置3. session配置4. 查看redis5. 获取redis中的当前用户总结 springboot中使用security进行登录及权限控制可以查看之前的文章,springboot中使用spring-security进行登陆控制 此主要介绍在已经使用springsecuriy的项目中如何集成springsessi...
基于Springboot儿童玩具售卖网站的设计与实现(部署视频).zip
05-08
视频教程“springboot儿童玩具售卖网站的设计与实现.mp4”将详细讲解以上各个步骤,包括代码实现、配置详解、问题排查等,帮助开发者从零开始构建这样一个完整的电商平台。通过学习,不仅可以掌握Spring Boot的实践...
JAVA上百实例源码以及开源项目源代码
12-11
Java访问权限控制源代码 1个目标文件 摘要:Java源码,文件操作,权限控制 Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流...
java开源包1
06-28
jSIP这个Java包目标是用Java实现SIP(SIP:Session Initiation Protocol)协议及SIP协议的其它扩展部 分。 Java表达式语法解析库 parboiled parboiled 是一个纯Java库提供了一种轻量级,易于使用,功能强大和优雅的PEG...
java开源包4
06-28
jSIP这个Java包目标是用Java实现SIP(SIP:Session Initiation Protocol)协议及SIP协议的其它扩展部 分。 Java表达式语法解析库 parboiled parboiled 是一个纯Java库提供了一种轻量级,易于使用,功能强大和优雅的PEG...
SpringSecurity in Action》二: 基于redis实现session共享
shangcunshanfu的博客
04-24 3166
文章目录1 概述2 方案3 方案选择 1 概述 这一基于《SpringSecurity in Action》一: 基于Session实现登陆认证的简单实现 SpringSecurity基于session实现登陆认证时,有一个问题就是无法实现分布式部署,因为session是存储在某一个节点(或是某一个服务副本)的内存里的。如有这么一个用户服务,有三个副本,当进行登陆时,登陆请求打在了副本1,而进行用户列表请求时,请求打在了副本2,这时副本2是没有副本1内存中的session信息的,所以请求会失败。这当然是一
7、Spring Session-Spring Security集成
Ron.Zheng
09-22 6480
Spring Session提供了和Spring Security的集成。6.1. Spring Security Remember-Me的支持Spring Session 提供了和 Spring Security’s Remember-Me Authentication
spring-security简单使用与集成redis共享session(一)
王坤的博客
07-07 1706
一、搭建springboot项目 二、编写基础代码 1.Auth权限实体类 public class Auth implements Serializable { private static final long serialVersionUID = 1L; /** * 大模块code,例如咨询类功能 */ private String resourceCode; /** * 细化功能,例如查询咨询列表 */ p
SpringSecurity中的集群会话Session存在的问题以及解决方案(保持、复制、共享
SunRains
12-21 3497
在初步了解Session的时候,我们就知道Session通常是保存在服务器的内存当中的。每一次客户访问都会携带SessionId,然后在服务器的内存中寻找。虽然这种方式简单快捷,但是仍存在比较明显的缺点。服务器的内存是有限的,所以留给Session的空间不多,因此一旦用户的访问量比较多时内存就会捉襟见肘。而且因为session是存在内存当中,并不是持久化存储,就算服务器性能特别好,但是也不免存在服务器的异常停止和重启,这个时候就会导致会话状态的丢失。
SpringSecurity整合SpringSession-Redis 限制用户登录
Life is a starting point everywhere
12-03 1131
前言: 开发的前后端分离的项目,后端用的是SpringSecurity控制权限,而后整合SpringSession - Redis,将Session放到redis支持集群部署,最近需要做一个限制用户登录的功能,即单个用户同一时刻仅能一处登录,SpringSecurity很好的支持了这个功能,但是集成了SpringSession-Redis之后,过程非常的精彩! 首先看一下SpringSecuri...
Spring Security——session管理
weixin_33921089的博客
05-05 293
2019独角兽企业重金招聘Python工程师标准>>> ...
李子柒文化输出争议:Spring Boot整合Redis实现Shiro分布式Session共享
在“地域分布-spring boot整合redis实现shiro的分布式session共享的方法”这一主题中,我们主要聚焦于如何在Spring Boot应用中利用Redis实现Shiro框架的分布式session共享Spring Boot是Java开发中的一个微服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值