Security之会话篇

已于 2022-03-18 09:32:04 修改
阅读量380 收藏
点赞数
分类专栏: security 文章标签: security
于 2021-10-25 17:50:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43654581/article/details/120956111
版权

1、功能实现

1.session 超时失效
2.session 并发失效
3.手动清除孤立 session
4.整合redis实现session共享(集群)

2、security06 子工程

在这里插入图片描述

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>com.yzm</groupId>
        <artifactId>security</artifactId>
        <version>0.0.1-SNAPSHOT</version>
        <relativePath>../pom.xml</relativePath> <!-- lookup parent from repository -->
    </parent>

    <artifactId>security06</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>jar</packaging>
    <name>security06</name>
    <description>Demo project for Spring Boot</description>

    <dependencies>
        <dependency>
            <groupId>com.yzm</groupId>
            <artifactId>common</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>

		<!-- session-redis -->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

        <!-- redis支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

applicatiion.yml

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://192.168.192.128:3306/testdb?useUnicode=true&characterEncoding=utf8&useSSL=false&allowMultiQueries=true&zeroDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghai
    username: root
    password: 1234

  main:
    allow-bean-definition-overriding: true
  
mybatis-plus:
  mapper-locations: classpath:/mapper/*Mapper.xml
  type-aliases-package: com.yzm.security06.entity
  configuration:
    map-underscore-to-camel-case: true
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

# session 过期时间,单位:秒
server:
  servlet:
    session:
      timeout: 60

3、自定义会话无效策略、会话过期策略

package com.yzm.security06.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.web.session.InvalidSessionStrategy;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 默认session超时失效
 */
@Slf4j
public class SecSessionInvalidStrategy implements InvalidSessionStrategy {

    private final boolean createNewSession;

    public SecSessionInvalidStrategy() {
        this.createNewSession = true;
    }

    public SecSessionInvalidStrategy(boolean createNewSession) {
        this.createNewSession = createNewSession;
    }

    @Override
    public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
        log.info("Session 超时失效");

        if (this.createNewSession) {
            request.getSession();
        }

        response.sendRedirect(request.getContextPath() + "/auth/login?invalid");
    }

}


package com.yzm.security06.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;

import java.io.IOException;

/**
 * 并发登录导致session失效
 */
@Slf4j
public class SecSessionExpiredStrategy implements SessionInformationExpiredStrategy {

    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException {
        log.info("session 并发失效");
        // 跳转html页面
        event.getResponse().sendRedirect(event.getRequest().getContextPath() + "/auth/login?expired");
    }

}

4、SecurityConfig 配置类

package com.yzm.security06.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler;

import javax.sql.DataSource;

@Slf4j
@Configuration
@EnableWebSecurity 
@EnableGlobalMethodSecurity(prePostEnabled = true) 
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private final UserDetailsService userDetailsService;
    private final SecPermissionEvaluator permissionEvaluator;

    public SecurityConfig(@Qualifier("secUserDetailsServiceImpl") UserDetailsService userDetailsService, SecPermissionEvaluator permissionEvaluator) {
        this.userDetailsService = userDetailsService;
        this.permissionEvaluator = permissionEvaluator;
    }

    /**
     * 密码编码器
     * passwordEncoder.encode是用来加密的,passwordEncoder.matches是用来解密的
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler() {
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(permissionEvaluator);
        return handler;
    }

    /**
     * session 管理
     */
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    /**
     * 配置用户
     * 指定默认从哪里获取认证用户的信息,即指定一个UserDetailsService接口的实现类
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 从数据库读取用户、并使用密码编码器解密
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    //配置资源权限规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 关闭CSRF跨域
                .csrf().disable()

                // 登录
                .formLogin()
                .loginPage("/auth/login") //指定登录页的路径,默认/login
                .loginProcessingUrl("/login") //指定自定义form表单请求的路径(必须跟login.html中的form action=“url”一致)
                .defaultSuccessUrl("/home", true) // 登录成功后的跳转url地址
                .failureUrl("/auth/login?error") // 登录失败后的跳转url地址
                .permitAll()
                .and()

                // 记住我
                .rememberMe()
                .tokenValiditySeconds(120) // 有效时间,单位秒,默认30分钟
                .and()

                .exceptionHandling()
                .accessDeniedPage("/401") // 拒接访问跳转页面
                .and()

                // 退出登录
                .logout()
                .permitAll()
                .and()

                // 访问路径URL的授权策略,如注册、登录免登录认证等
                .authorizeRequests()
                .antMatchers("/", "/home", "/register", "/auth/login").permitAll() //指定url放行
                .anyRequest().authenticated() //其他任何请求都需要身份认证
                .and()

                // session 管理
                .sessionManagement()
                // 1.session 超时,默认60秒,即60秒内无操作就会过期
                // 通过在yml里面设置 server.servlet.session.timeout=60
                //.invalidSessionUrl("/invalid")
                .invalidSessionStrategy(new SecSessionInvalidStrategy())
                // 2.session 并发控制:控制一个账号同一时刻最多能登录多少个
                .maximumSessions(1) // 限制最大登陆数
                // 当达到最大值时,是否阻止用户登录,false表示不阻止,那么新的会覆盖旧的,旧的被迫下载
                .maxSessionsPreventsLogin(false)
                //.expiredUrl("/invalid")
                .expiredSessionStrategy(new SecSessionExpiredStrategy()) // 当达到最大值时,旧用户被踢出后的操作
                // 3.手动使Session立即失效
                .sessionRegistry(sessionRegistry())
        ;
    }
}

login.thml

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录页</title>
</head>
<body>
<h1 th:if="${param.logout}">You have been logged out.</h1>
<h1 th:if="${param.error}">You username or password is wrong.</h1>
<h1 th:if="${param.invalid}">Session invalid.</h1>
<h1 th:if="${param.expired}">Session expired.</h1>

<h2>用户名密码登录</h2>
<form action="/login" method="post">
    <p>
        <label for="username">Username</label>
        <input type="text" id="username" name="username" placeholder="Username">
    </p>
    <p>
        <label for="password">Password</label>
        <input type="password" id="password" name="password" placeholder="Password">
    </p>
    <p>
        <label>
            <input type="checkbox" name="remember-me">
        </label> Remember me on this computer.
    </p>
    <button type="submit">Sign in</button>
</form>
<script type="text/javascript">
    function kickOut() {
        const href = location.href;
        if (href.indexOf("expired") > 0) {
            alert("您的账号在另一台设备上登录,如非本人操作,请立即修改密码!");
        }
    }
    window.onload = kickOut();
</script>
</body>
</html>

5、超时失效测试

默认超时时间60秒

server:
  servlet:
    session:
      timeout: 60

登录yzm,停留时间超过一分钟,刷新一下
在这里插入图片描述

6、并发失效

需要2个浏览器,先用谷歌登录yzm,再用其他浏览器登录yzm后,刷新谷歌浏览器
在这里插入图片描述

7、测试手动清除session

在SecurityConfig注入

    /**
     * 会话注册表
     */
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

	// session 管理
    .sessionManagement()
    ...
    // 3.手动使Session立即失效
    .sessionRegistry(sessionRegistry())

在HomeController中添加接口

...

@Controller
public class HomeController {

    private final UserService userService;
    private final PasswordEncoder passwordEncoder;
    private final SessionRegistry sessionRegistry;

    public HomeController(UserService userService, PasswordEncoder passwordEncoder,SessionRegistry sessionRegistry) {
        this.userService = userService;
        this.passwordEncoder = passwordEncoder;
        this.sessionRegistry = sessionRegistry;
    }

    ...

    @GetMapping("/kick")
    @ResponseBody
    public String removeUserSessionByUsername(@RequestParam String username) {
        int count = 0;

        // 获取session中所有的用户信息
        List<Object> users = sessionRegistry.getAllPrincipals(); // 获取所有 principal 信息
        for (Object principal : users) {
            if (principal instanceof UserDetails) {
                String principalName = ((UserDetails) principal).getUsername();
                if (principalName.equals(username)) {
                    // 参数二:是否包含过期的Session
                    List<SessionInformation> sessionsInfo = sessionRegistry.getAllSessions(principal, false);
                    if (null != sessionsInfo && sessionsInfo.size() > 0) {
                        for (SessionInformation sessionInformation : sessionsInfo) {
                            // 使 session 过期
                            sessionInformation.expireNow();
                            count++;
                        }
                    }
                }
            }
        }
        return "操作成功,清理session共" + count + "个";
    }
}

谷歌登录yzm 再用其他浏览器登录admin管理员
访问/kick?username=yzm,yzm被踢下线
在这里插入图片描述

8、session共享(集群)

引入依赖

        <!-- session-redis -->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

        <!-- redis支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

配置redis

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/test04?useUnicode=true&characterEncoding=utf8&useSSL=false&allowMultiQueries=true&zeroDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghai
    username: root
    password: root

  main:
    allow-bean-definition-overriding: true

  redis:
    host: 127.0.0.1
    port: 6379
    password: 1234
    database: 0

在SecurityConfig 启用 redis 管理 session
配置了maxInactiveIntervalInSeconds = 200之后,这个server.servlet.session.timeout=60就无效了

@Slf4j
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableRedisHttpSession(redisNamespace = "spring:session:yzm", maxInactiveIntervalInSeconds = 200, flushMode = FlushMode.ON_SAVE)
public class SecurityConfig extends WebSecurityConfigurerAdapter {...}

注释session注册表,手动清除session功能不可用

    /**
     * 会话注册表
     */
//    @Bean
//    public SessionRegistry sessionRegistry() {
//        return new SessionRegistryImpl();
//    }

    /**
     * 是spring session为Spring Security提供的,
     * 用于在集群环境下控制会话并发的会话注册表实现
     */
    @Autowired
    @Lazy
    private FindByIndexNameSessionRepository<? extends Session> sessionRepository;

    @Bean
    public SpringSessionBackedSessionRegistry sessionRegistry(){
        return new SpringSessionBackedSessionRegistry<>(sessionRepository);
    }

启动端口8080、8090;火狐8080登录yzm,谷歌8090再次登录yzm,刷新火狐yzm
在这里插入图片描述

查看缓存
在这里插入图片描述

相关链接

首页
上一篇:自定义处理程序篇
下一篇:认证流程篇

yzm4399
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题
Sober的博客
03-25 1万+
文章目录问题解决方案JwtGrantedAuthoritiesConverter源码 问题 原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。 简而言之,我们需要把jwt 的Claim...
Security 获取当前会话的三种方法
文轩
05-16 835
Security 获取当前会话的三种方法 第一种,通过获取HttpSession的会话中的用户信息,在获取会话对象SecurityContextImpl,然后将用户信息封装。 @GetMapping("getUserSessionH") @ResponseBody public String getUerSessionH(HttpSession httpSession) { Enumeration<String> names = httpSession.get
Spring Security 4会话管理
liuxing9345的博客
02-04 1392
Spring Security 4会话管理 博客描述使用spring security4.1.0版本,其他版本可能会稍有不同,仅用于作学习记录,也给各位网友作参考,可能会存在不足之处,望见谅并指正。本篇博客主要讲述spring security中多个用户不能使用同一个帐号同时登录系统,不涉及会话管理的其他部分内容。 Spring Security 4会话管理 配置webxml文件 在spr
深入理解 HttpSecurity【源码篇】
最新发布
2401_84048006的博客
04-07 1243
AbstractSecurityBuilder 类实现了 SecurityBuilder 接口,该类中主要做了一件事,就是确保整个构建只被构建一次。if (!可以看到,这里重新定义了 build 方法,并设置 build 方法为 final 类型,无法被重写,在 build 方法中,通过 AtomicBoolean 实现该方法只被调用一次。具体的构建逻辑则定义了新的抽象方法 doBuild,将来在实现类中通过 doBuild 方法定义构建逻辑。
ServerHttpSecurity设置pathMatchers.permitAll失效,仍然401.
慢慢的博客
01-26 6217
ServerHttpSecurity401,修改anyExchange访问
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5232
HttpSecurity是Spring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
spring security 3.x session-management 会话管理失效
08-03
本篇文章将详细解析Spring Security 3.x中的会话管理和相关知识点。 1. **会话管理基础** - 会话在Web应用中扮演着关键角色,它允许服务器存储和跟踪用户的状态。在Spring Security中,会话管理主要涉及到会话固定...
spring security两篇文档
04-17
这篇文档将深入探讨Spring Security的核心概念、配置以及它在实际应用中的使用。 首先,Spring Security提供了一套全面的安全解决方案,包括用户认证、授权、会话管理以及CSRF(跨站请求伪造)防护等。它通过拦截...
Spring Security单项目权限设计过程解析
08-25
在本篇文章中,我们将深入探讨如何在单个项目中使用 Spring Security 进行权限设计。 首先,我们探讨为什么选择 Spring Security。Spring 已经成为 Java 开发的主流框架,SpringCloud 作为其在微服务领域的扩展,被...
spring-security2.zip
03-28
5. **过滤器链**:Spring Security的核心是过滤器链,它处理HTTP请求并执行安全操作,如登录、会话管理等。我们可以自定义过滤器来扩展功能。 6. **安全配置类**:创建一个继承自`WebSecurityConfigurerAdapter`的...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问...希望这篇文章能帮助你更好地理解和应用Spring Security与OAuth2的集成。
serverhttpsecurity 缺少_不允许使用HTTP 405-Spring Boot + Spring Security
weixin_42376940的博客
12-31 640
我有一个简单的rest API,可与数据库一起使用。在添加安全部分之前,它一直工作正常。现在,它在POST和DELETE请求上提供HTTP405不允许。我不知道为什么。GET请求正常工作。所以这是控制器类:@Controllerpublic class MarkerController {private Logger logger = Logger.getLogger(MarkerControll...
serverhttpsecurity 缺少_在类resourceserverconfiguration.configure中使用httpsecurity.requestmatchers在Spring ...
weixin_32308039的博客
01-30 741
如果需要配置多个HttpSecurity在您的应用程序中,HttpSecurity.requestMatchers()或其他(但类似)配置选项之一:HttpSecurity.requestMatcher(RequestMatcher)HttpSecurity.antMatcher(String)HttpSecurity.mvcMatcher(String)HttpSecurity.regexMat...
serverhttpsecurity 缺少,不允许使用HTTP 405-Spring Boot + Spring Security
weixin_30119911的博客
12-31 294
I have a simple rest API which works with database. It worked properly until I added the security part. Now it gives HTTP 405 Not Allowed on the POST and DELETE requests. I have no idea why. The GET r...
Gateway中使用SpringSecurity进行网关鉴权与权限控制
热门推荐
weixin_39654286的博客
11-16 1万+
需求设求 众所周知,一切架构都必须按需求来设计,万能构架基本上是不存在的,即使是像Spring Security安全架构也只是实现了一个能用方式,并不是放之四海而皆准的,但是一个构架的良好扩展性是必须的,可以让使用者按照自己的需要进行扩展使用。所以为了说明本示例的实现,先假定这样一个需求 1,需要有一个Web网关服务进行权限统一认证 2,网关后面有一个用户管理服务,负责用户账号的管理 3,网关后面还存在其它的服务,但是这些服务需要认证成功之后才能访问 4,需要支持同一个请求可以被多个角色访问 主要技能点说明
serverhttpsecurity 缺少_请求失败,HTTP状态401:未经授权在SSRS
weixin_28622215的博客
01-13 326
My Application is in Asp.Net MVC3 coded in C#, i have a SSRS solution in SQL Server Business Intelligence Developement Studio in Visual Studio 2008 , I'm calling the SSRS report through my Asp.Net MV...
spring security 会话管理
swadian2008的博客
08-28 2055
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
7.Spring security中的会话管理
EdSheeran的博客
03-09 1580
文章目录*会话管理**7.1会话简介**7.2会话并发管理**7.2.1实战**7.2.2原理分析**`SessionInformation`**`SessionRegistry`**`SessionAuthenticationStrategy`**`ConcurrentSessionControlAuthenticationStrategy`**`RegisterSessionAuthenticationStrategy`**`CompositeSessionAuthenticationStrategy`
spring security session 会话管理
09-03
Spring Security 提供了多种方式来管理会话,保护应用程序的安全性。下面是一些常见的会话管理方式: 1. 基于 Cookie 的会话管理:默认情况下,Spring Security 使用基于 Cookie 的会话管理。它将一个会话标识符存储在用户的浏览器 Cookie 中,并在用户每次请求时验证会话的有效性。 2. 基于 URL 重写的会话管理:Spring Security 还支持基于 URL 重写的会话管理。在这种方式下,会话标识符将包含在 URL 中,并在用户每次请求时进行验证。 3. 基于 Token 的会话管理:Spring Security 还支持基于 Token 的会话管理。在这种方式下,用户在登录成功后会收到一个令牌(Token),该令牌将用于后续的请求验证。 4. HttpSession 会话管理:Spring Security 还可以与传统的 HttpSession 会话管理集成。它可以使用 HttpSession 来存储和验证用户的会话信息。 此外,Spring Security 还提供了一些高级的会话管理功能,如并发控制、超时处理和登录时的会话绑定等。 值得注意的是,根据具体的需求和使用场景,选择适合的会话管理方式非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值