Spring Security学习之会话管理

最新推荐文章于 2024-04-28 19:02:43 发布
最新推荐文章于 2024-04-28 19:02:43 发布
阅读量473 收藏 1
点赞数
分类专栏: Spring Security学习 后端开发 Java学习 文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38586378/article/details/108521483
版权
本文介绍了Spring Security的会话管理,包括会话的概念、防御固定会话攻击、会话过期处理和会话并发控制。Spring Security提供多种策略防御会话固定攻击,如newSession、migrateSession等,默认采用migrateSession。会话过期处理可以通过配置指定URL或自定义策略。会话并发控制可通过maximumSessions设置最大并发会话数,通过HttpSessionEventPublisher处理监听事件。
摘要由CSDN通过智能技术生成

概念

会话:session,对于无状态的HTTP 实现用户状态可维持的一种解决方案。

  • HTTP的无状态特点使得用户给与在服务器交互的过程中,每个请求间没有关联性,即用户的访问没有身份记录,站点无法为用户提供个性化服务。session的诞生解决这个问题(利用session保存用户身份)

  • 服务器通过与用户约定,每个请求都会携带一个id类的信息,使得不用请求间有了关联;id也方便与用户绑定,就可把不同请求归类到同一用户

  • 基于此方案,为了使同一个用户的每个请求都携带一个id,需要一个载体去存储这个id,即cookie

    • 当用户首次访问系统时,系统为该用户生成一个sessionId,并添加到cookie中,那么在这个用户的会话session期间,每个请求都会自动携带cookie,由此系统可轻易识别出这是哪个用户的请求

    • 但是有时候用户可能处于隐私或者安全考虑,会在浏览器中禁掉cookie,这个时候基于cookie实现的sessionId无法正常使用

    • 有些系统使用重写URL来兼容禁用cookie的浏览器,但是容易遭到黑客攻击 http://xxx.com;jsessionid=xxxx

      • 黑客只需要一次访问系统,将系统生成的sessionId提取并拼凑在URL上,然后将该URL发送给一些取得信任的用户,用户只要在session有效期通过url登录,该sessionId就会绑定到用户的身份,黑客也可享有同样的会话状态,完全不需要用户名和密码,即会话攻击

  • 一个账户能多处同时登录不是一个好的策略,容易被他人劫持session会话后冒充普通用户访问系统

  • SS提供了完善的会话管理功能

    • 会话固定攻击

    • 会话超时检测

    • 会话并发控制

防御固定会话攻击

原理很简单,在用户登录之后重新生成新的session即可(这样就避免用户通过钓鱼链接访问登录系统后,因为绑定钓鱼的session导致钓鱼有了普通用户的身份,无需登录即可访问系统;管他什么链接登进来的,重新生成session,这样旧session被替换掉,相当于黑客与被监测用户失联)

  1. SS框架的WebSecurityConfigurerAdapter中getHttp方法,使用sessionManagement会话管理器对session进行了配置

    1. SS框架支持四中防御会话固定攻击策略

      1. none:不做任何变动,登录后沿用旧session

      2. newSession:登录之后创建一个新的session

      3. migrateSession:登录后创建一个新的session,并将旧的session中的数据复制过来

      4. changeSessionId:不创建新的session,使用由Servlet容器提供的会话固定保护

    2. SS框架默认使用migrateSession策略

    3. 也可根据需要重写configure方法,进行手动配置策略(WebSecurityConfig方法集成WebSecurityConfigurerAdapter类)

  2. 在SS中,即使没有配置,也不用担心固定会话攻击,因为SS的HTTP防火墙(StrictHttpFirewall类)会拦截不合法的URL,当试图访问携带session的URL时,会被SS框架重定向到提示500的错误页(没登录的时候使用session访问就会直接报错)

//WebSecurityConfigurerAdapter

protected final HttpSecurity getHttp() throws Exception {
    if (this.http != null) {
        return this.http;
    } else {
        AuthenticationEventPublisher eventPublisher = this.getAuthenticationEventPublisher();
        this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
        AuthenticationManager authenticationManager = this.authenticationManager();
        this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
        Map<Class<?>, Object> sharedObjects = this.createSharedObjects();
        this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
        if (!this.disableDefaults) {
            // 使用sessionManagement方法进行会话管理
            ((HttpSecurity)((DefaultLoginPageConfigurer)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)this.http.csrf().and()).addFilter(new WebAsyncManagerIntegrationFilter()).exceptionHandling().and()).headers().and()).sessionManagement().and()).securityContext().and()).requestCache().and()).anonymous().and()).servletApi().and()).apply(new DefaultLoginPageConfigurer())).and()).logout();
            ClassLoader classLoader = this.context.getClassLoader();
            List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
            Iterator var6 = defaultHttpConfigurers.iterator();


            while(var6.hasNext()) {
                AbstractHttpConfigurer configurer = (AbstractHttpConfigurer)var6.next();
                this.http.apply(configurer);
            }
        }


        this.configure(this.http);
        return this.http;
    }
}

自定义会话管理

配置会话管理的类型为

  1. none:不做任何变动,登录后沿用旧session

  2. newSession:登录之后创建一个新的session

  3. migrateSession:登录后创建一个新的session,并将旧的session中的数据复制过来

  4. changeSessionId:不创建新的session,使用由Servlet容器提供的会话固定保护

                  // 配置会话管理器
                .sessionManagement()
                // 会话固定攻击防御策略 fixation会话固定
                    .sessionFixation().none() 
@EnableWebSecurity // 自带@Configuration,此处无需再加@Configutaion注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserDetailsServiceImpl userDetailsServiceImpl;

    /**
     * 建立身份认证方式 AuthenticationManagerBuilder创建一个AuthenticationManager用于进行身份认证
     * 包括:内存验证、LDAP验证、基于JDBC的验证、添加UserDetailsService、添加AuthenticationProvider
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用密文,加密方式使用自定义的passwordEncoder类
        auth.userDetailsService(userDetailsServiceImpl).passwordEncoder(myPasswordEncoder());
    }


    /**
     * 开启认证 配置需要认证的url
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) thro
最低0.47元/天 解锁文章
敲代码的ciery
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security系列】Spring Security会话管理
qq_28248897的博客
07-01 1357
只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。 1.什么是会话 会话session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,站点也无法为用户提供个性化的服务。session
Spring Security--会话管理
a2285786446的博客
06-13 808
在服务器,Spring Security维护了一个会话注册表,所有的登录上来的用户,都会注册到这个注册表中,本质上是一个map集合,map是用户对象,value保存了用户所有的会话对象,Map。如图,在这个层级还可以配置一些会话的其他策略,比如:超过了一个了怎么办,是把上一个踢掉还是怎么办,就是说这个会话策略里还有其他配置,你目前处于这个层级,是会话配置的层级。同样的,回到这一级又可以配其他策略,比如session的策略,就是在这一级。不同浏览器之间也是不同的会话
spring security 会话管理
swadian2008的博客
08-28 2114
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
使用Spring Security控制会话
weixin_30752377的博客
05-21 151
1.概述 在本文中,我们将说明Spring Security如何允许我们控制HTTP会话。此控件的范围从会话超时到启用并发会话和其他高级安全配置。 2.会话何时创建? 我们可以准确控制会话何时创建以及Spring Security如何与之交互: always - 如果一个会话尚不存在,将始终创建一个会话 ifRequired - 仅在需要时创建会话(默认) never - 框架永远不会创建会话本...
SpringSecurity(九)【会话管理
Vinjcent
12-04 754
当浏览器调用登录接口登录成功之后,服务端会和浏览器之间创建一个会话Session),浏览器在每次发送请求时都会携带一个 SessionId,服务端则根据这个 SessionId 来判断用户身份。当浏览器关闭之后,服务端的 Session 并不会自动销毁,需要开发者手动在服务端调用 Session 销毁方法,或者等 Session 过期时间到了自动销毁。在 Spring Security 中,与 HttpSession 相关的功能由 SessionManagementFilter 和 SessionAuth
使用Spring Security控制会话的方法
08-26
本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理和并发控制。 会话创建策略 Spring Security 提供了四种会话创建策略:always、ifRequired、never 和 stateless。这些策略可以在 Java ...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
最详细Spring Security学习资料(源码)
11-16
会话管理Spring Security支持对用户会话状态的管理,包括会话超时、并发控制、集群环境下的分布式会话管理等。 Web集成:Spring Security能够无缝集成到Spring框架和Spring MVC中,提供了过滤器、标签库等工具,...
spring security 学习使用的静态文件
05-10
5. **Session管理**:Spring Security提供了会话管理功能,可以防止会话固定攻击(session fixation)、会话超时以及会话劫持。例如,可以设置`sessionCreationPolicy`来决定是否强制创建会话,或者使用CSRF保护防止...
Spring security实现权限管理示例
08-31
总结来说,Spring Security提供了一套完整的解决方案,涵盖了用户认证、授权、会话管理等多个方面,是Java应用实现权限管理的理想选择。通过配置和编程接口,我们可以灵活地控制用户对系统资源的访问,从而保护应用...
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringSecurity会话管理(可查看登录用户的相关信息)
gaoqiandr的博客
04-24 774
本文主要介绍的是SpringSecurity中的会话控制
Spring Security(学习笔记) --会话管理会话并发管理实现以及源码分析,会话固定攻击)!
最新发布
TONGZHOUGONGDU的博客
04-28 919
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security中的防火墙。
第8章 Spring Security 会话
Shiro框架02
10-20 2499
本章节就学习Spring Security会话的应用。例如,配置会话并发数、会话固定攻击与防御、Session共享等等。 会话并发管理 会话并发管理是指当前用户可以在系统存在多少会话,默认情况,会话是没有限制。当然我们配置一个用户只能有一个会话,这样就可以显示踢人下线。 配置 基于前面配置改造,这里主要罗列最主要的配置代码 @Configuration public class UserWebSecurityConfig extends WebSecurityConfigurerAdapter {
Spring Security实战(四)—— 会话管理
weixin_49561506的博客
04-16 1479
spring security会话管理,介绍了如何防止会话固定攻击,会话并发控制,集群会话的三种解决方案,以及整合Spring Session和reids解决集群会话的问题
Spring Security 4会话管理
liuxing9345的博客
02-04 1396
Spring Security 4会话管理 博客描述使用spring security4.1.0版本,其他版本可能会稍有不同,仅用于作学习记录,也给各位网友作参考,可能会存在不足之处,望见谅并指正。本篇博客主要讲述spring security中多个用户不能使用同一个帐号同时登录系统,不涉及会话管理的其他部分内容。 Spring Security 4会话管理 配置webxml文件 在spr
spring security入门--会话管理
浅时光|初如梦
09-16 330
1.说明 程序代码采用之前(spring security入门--自定义UserDetails实现用户登录访问简单示例五)文章中的代码,本篇文章值给出修改部分的代码,详细代码请查看往期文章。 地址:https://blog.csdn.net/qq_32224047/article/details/108615301 2.会话理解 会话session)就是无状态HTTP实现用户状态可维持的一种解决方案。HTTP本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户得访问没
spring security会话管理和并行控制
z171579230的博客
03-13 330
http://www.cnblogs.com/huangjiandong2012/p/4040030.html
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 2044
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
springsecurity会话管理
08-26
Spring Security 提供了会话管理的功能,用于管理用户的登录会话。 默认情况下,Spring Security 使用基于 HttpSession会话管理机制。在用户登录成功后,Spring Security 会在 HttpSession 中存储用户的认证信息...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值