spring security的session管理

最新推荐文章于 2024-06-08 17:30:00 发布
最新推荐文章于 2024-06-08 17:30:00 发布
阅读量9.8k 收藏 41
点赞数 4
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36500178/article/details/113091776
版权

1 spring security的session管理

spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategyonAuthentication方法中,先看看这个接口和其实现类。

1.1 SessionAuthenticationStrategy接口

public interface SessionAuthenticationStrategy {

        /**
         * 当一个认证生成之后处理session的逻辑
         *
         */
        void onAuthentication(Authentication authentication, HttpServletRequest request,
                        HttpServletResponse response) throws SessionAuthenticationException;

}

SessionAuthenticationStrategy只是一个接口,这个接口有很多实现类,但是spring security默认使用的是CompositeSessionAuthenticationStrategy,如下图所示:

1.2 CompositeSessionAuthenticationStrategy

直接看CompositeSessionAuthenticationStrategyonAuthentication方法实现:

private final List<SessionAuthenticationStrategy> delegateStrategies;

public void onAuthentication(Authentication authentication,
                        HttpServletRequest request, HttpServletResponse response)
                                        throws SessionAuthenticationException {
                for (SessionAuthenticationStrategy delegate : this.delegateStrategies) {
                        if (this.logger.isDebugEnabled()) {
                                this.logger.debug("Delegating to " + delegate);
                        }
                        delegate.onAuthentication(authentication, request, response);
                }
        }

是不是很熟悉?CompositeSessionAuthenticationStrategy中有一个list集合存储着实现了SessionAuthenticationStrategy的类,然后遍历这个list,让它们去做正在的session逻辑操作。现在的问题是,这个delegateStrategies中到底存储的是那些实现类呢如图所示

1.3 onAuthentication的调用入口

前面说了spring security的认证流程是从AbstractAuthenticationProcessingFilter开始的,而认证相关的流程则是由其子类UsernamePasswordAuthenticationFilter来实现的。AbstractAuthenticationProcessingFilterattemptAuthentication认证成功之后会调用SessionAuthenticationStrategyonAuthentication方法来处理session相关逻辑。直接上代码

//session策略,默认的实现类是CompositeSessionAuthenticationStrategyprivate SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy();

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
                        throws IOException, ServletException {
                HttpServletRequest request = (HttpServletRequest) req;
                HttpServletResponse response = (HttpServletResponse) res;
                if (!requiresAuthentication(request, response)) {
                        chain.doFilter(request, response);
                        return;
                }
                Authentication authResult;
                try {
                        authResult = a
最低0.47元/天 解锁文章
爱肖哥真是太好啦
关注
  • 4
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot +spring security,如何解决Session共享问题
weixin_40991408的博客
05-25 1148
Springboot +spring security,如何解决Session共享问题
Spring Security Session管理
weixin_38927257的博客
11-20 619
文章目录session超时处理demo的application中加入超时配置Spring Boot 2中缺少TomcatEmbeddedServletContainerFactory(TomcatEmbeddedServletContainerFactory is missing in Spring Boot 2)看TomcatServletWebServerFactory类超时页面提醒Brows...
Spring Security(学习笔记) --会话管理(会话并发管理实现以及源码分析,会话固定攻击)!
TONGZHOUGONGDU的博客
04-28 896
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security中的防火墙。
Spring Security源码分析九:Spring Security Session管理
最新发布
ZL_1618的博客
06-08 661
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Security实现禁止用户重复登陆的配置原理
08-25
主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring全家桶-Spring Security之会话管理
HQ DevJ的专栏
05-25 1168
Spring全家桶-Spring Security之会话管理 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之会话管理前言一、Session
Spring Security中的会话【Session管理与防御以及会话的并发控制
SunRains
12-17 4107
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
SpringSecuritySession 使用
Earth_Programer的博客
04-12 2944
在之前的几章里面,我们分别做了快速入门、自定义表单登录、自定义手机登录。他们有一个共同点,就是目前我们与客户端之间的交互都依赖于 Session。那么本章我们就带大家来了解一下 SpringSecuritySession 的使用与设置。 Session 是什么? Session 中文意思为会议,在计算机中,尤其在网络应用中称为会话控制。 Session直接翻译成中文比较困难,一般都译成时域...
SpringSecuritySession管理
吴大侠的博客
11-26 2491
一、会话超时 配置session会话超时时间,默认为30分钟,但是Spring Boot中的会话超时时间至少为60秒,当session超时后, 默认跳转到登录页面. #session设置 #配置session超时时间 server.servlet.session.timeout=60 自定义设置session超时后地址,设置session管理和失效后跳转地址 http.sessionM...
SpringSecurity Session管理
抛弃幻想,准备斗争
04-25 2458
在一个登录系统之中必须有一个前提:一个账户只能够由一个人登录,那么在Spring安全框架之中就提供有此类的验证方式.也就是说利用一些配置就可以针对于当前Session进行管理。 范例:在Web.xml文件里面配置监听器 org.springframework.security.web.session.HttpSessionEventPublisher <listener> ...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
我们将基于给定的标签——SpringBoot、SpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
基于java config的springSecurity 六 集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
spring security 官方文档
10-08
4. **会话管理Session Management)**:Spring Security提供了强大的会话管理功能,可以限制同一用户同时在线的数量,检测会话劫持和会话固定攻击,并能实现会话超时策略。 5. **CSRF保护(Cross-Site Request ...
springsecurity
07-23
7. **Session Management**:Spring Security提供会话管理功能,包括会话固定保护(防止会话劫持)和会话超时设置。 8. **CSRF Protection**:为了防止跨站请求伪造攻击,Spring Security 提供了内置的CSRF令牌管理...
SpringSecurity中的集群会话Session存在的问题以及解决方案(保持、复制、共享)
SunRains
12-21 3444
在初步了解Session的时候,我们就知道Session通常是保存在服务器的内存当中的。每一次客户访问都会携带SessionId,然后在服务器的内存中寻找。虽然这种方式简单快捷,但是仍存在比较明显的缺点。服务器的内存是有限的,所以留给Session的空间不多,因此一旦用户的访问量比较多时内存就会捉襟见肘。而且因为session是存在内存当中,并不是持久化存储,就算服务器性能特别好,但是也不免存在服务器的异常停止和重启,这个时候就会导致会话状态的丢失。
spring security 深入浅出(一) session认证方式(1)
tonysong111073的专栏
06-26 2092
深入浅出学习 spring security
Spring SecuritySession管理
Evan_L的博客
04-21 1453
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
Spring Security默认拦截器链解析(十三)
欢谷悠扬
07-14 1478
1.SessionManagementFilter 会话管理器 见名知意,会话管理器。主要是管理SecurityContext到会话中去。 主要内容: 1.防止重复执行 2.sessionAuthenticationStrategy session认证处理策略 sessionAuthenticationStrategy主要是用于在非匿名身份认证时,可以自定义策略去对HttpSession进行相关操作。 典型用途是确保会话存在或更改会话 ID 以防止会话固定攻击ChangeSessionIdAuthent
spring security session 会话管理
09-03
Spring Security 提供了多种方式来管理会话,保护应用程序的安全性。下面是一些常见的会话管理方式: 1. 基于 Cookie 的会话管理:默认情况下,Spring Security 使用基于 Cookie 的会话管理。它将一个会话标识符存储在用户的浏览器 Cookie 中,并在用户每次请求时验证会话的有效性。 2. 基于 URL 重写的会话管理Spring Security 还支持基于 URL 重写的会话管理。在这种方式下,会话标识符将包含在 URL 中,并在用户每次请求时进行验证。 3. 基于 Token 的会话管理Spring Security 还支持基于 Token 的会话管理。在这种方式下,用户在登录成功后会收到一个令牌(Token),该令牌将用于后续的请求验证。 4. HttpSession 会话管理Spring Security 还可以与传统的 HttpSession 会话管理集成。它可以使用 HttpSession 来存储和验证用户的会话信息。 此外,Spring Security 还提供了一些高级的会话管理功能,如并发控制、超时处理和登录时的会话绑定等。 值得注意的是,根据具体的需求和使用场景,选择适合的会话管理方式非常重要。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值