SpringSecurity系列——持久认证(Persisting Authentication),会话管理day3-2(源于官网5.7.2版本)

已于 2022-07-20 22:37:29 修改
阅读量992 收藏
点赞数
分类专栏: 笔记 Java学习 # SpringSecurity 文章标签: servlet java 前端
于 2022-07-20 22:36:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51553982/article/details/125896656
版权
笔记 同时被 3 个专栏收录
334 篇文章 42 订阅
订阅专栏
Java学习
181 篇文章 3 订阅
订阅专栏
SpringSecurity
24 篇文章 31 订阅
订阅专栏

SpringSecurity系列——持久认证(Persisting Authentication),会话管理day3-2(源于官网5.7.2版本)

前言

源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如:SpringSecurity系列——认证架构实例代码的文章

但是如果你有能力,还是推荐直接阅读官方文档

持久认证(Persisting Authentication)

用户第一次请求受保护的资源时,系统会提示他们输入凭据。 提示输入凭据的最常见方法之一是将用户重定向到登录页面。 请求受保护资源的未经身份验证的用户的汇总 HTTP 交换可能如下所示:

这里的302表示重定向

GET / HTTP/1.1
Host: example.com
Cookie: SESSION=91470ce0-3f3c-455b-b7ad-079b02290f7b

HTTP/1.1 302 Found
Location: /login
//提交的用户名和密码
POST /login HTTP/1.1
Host: example.com
Cookie: SESSION=91470ce0-3f3c-455b-b7ad-079b02290f7b

username=user&password=password&_csrf=35942e65-a172-4cd4-a1d4-d16a51147b3e
//经过身份验证的用户与新会话相关联
HTTP/1.1 302 Found
Location: /
Set-Cookie: SESSION=4c66e474-3f5a-43ed-8e48-cc1d8cb1d1c8; Path=/; HttpOnly; SameSite=Lax
//随后的请求包括会话 cookie,该 cookie 用于在会话的其余部分对用户进行身份验证。
GET / HTTP/1.1
Host: example.com
Cookie: SESSION=4c66e474-3f5a-43ed-8e48-cc1d8cb1d1c8

SecurityContextRepository(安全上下文存储库)

在 Spring Security 中,用户与未来请求的关联是使用 SecurityContextRepository 进行的。

HttpSecurityContextRepository(Http安全上下文存储库)

SecurityContextRepository 的默认实现是 HttpSessionSecurityContextRepository,它将 SecurityContext 与 HttpSession 相关联。 如果用户希望以其他方式将用户与后续请求关联或根本不关联,则用户可以将 HttpSessionSecurityContextRepository 替换为 SecurityContextRepository 的另一个实现。

NullSecurityContextRepository(空安全上下文存储库)

如果不希望将 SecurityContext 与 HttpSession 相关联(即使用 OAuth 进行身份验证时),则 NullSecurityContextRepository 是 SecurityContextRepository 的实现,它什么都不做。

RequestAttributeSecurityContextRepository(请求属性安全上下文存储库)

RequestAttributeSecurityContextRepository 将 SecurityContext 保存为请求属性,以确保 SecurityContext 可用于跨越可能清除 SecurityContext 的调度类型发生的单个请求。

例如,假设客户端发出请求,经过身份验证,然后发生错误。 根据 servlet 容器实现,错误意味着已建立的任何 SecurityContext 都被清除,然后进行错误分派。 进行错误分派时,没有建立 SecurityContext。 这意味着错误页面不能使用 SecurityContext 进行授权或显示当前用户,除非 SecurityContext 以某种方式持久化。
示例 5. 使用 RequestAttributeSecurityContextRepository

public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.securityContext((securityContext) -> securityContext
			.securityContextRepository(new RequestAttributeSecurityContextRepository())
		);
	return http.build();
}

SecurityContextPersistenceFilter(安全上下文持久化过滤器)

SecurityContextPersistenceFilter 负责使用 SecurityContextRepository 在请求之间持久化 SecurityContext。
在这里插入图片描述

  1. 在运行应用程序的其余部分之前,SecurityContextPersistenceFilter 从 SecurityContextRepository 加载 SecurityContext 并将其设置在 SecurityContextHolder 上。
  2. 接下来,运行应用程序。
  3. 最后,如果 SecurityContext 已更改,我们使用 SecurityContextPersistenceRepository 保存 SecurityContext。 这意味着在使用 SecurityContextPersistenceFilter 时,只需设置 SecurityContextHolder 即可确保使用 SecurityContextRepository 持久化 SecurityContext。

在某些情况下,响应会在 SecurityContextPersisteneFilter 方法完成之前提交并写入客户端。 例如,如果向客户端发送重定向,则响应会立即写回客户端。 这意味着在第 3 步中无法建立 HttpSession,因为会话 ID 无法包含在已写入的响应中。 另一种可能发生的情况是,如果客户端成功验证,则在 SecurityContextPersistenceFilter 完成之前提交响应,并且客户端在 SecurityContextPersistenceFilter 完成之前发出第二个请求,错误的验证可能出现在第二个请求中。

为了避免这些问题,SecurityContextPersistenceFilter 包装了 HttpServletRequest 和 HttpServletResponse 以检测 SecurityContext 是否已更改,如果已更改,则在提交响应之前保存 SecurityContext。

SecurityContextHolderFilter(安全上下文持有者过滤器)

SecurityContextHolderFilter 负责使用 SecurityContextRepository 在请求之间加载 SecurityContext。
在这里插入图片描述

  1. 在运行应用程序的其余部分之前,SecurityContextHolderFilter 从 SecurityContextRepository 加载 SecurityContext 并将其设置在 SecurityContextHolder 上。
  2. 接下来,运行应用程序。

与 SecurityContextPersisteneFilter 不同,SecurityContextHolderFilter 只加载 SecurityContext 而不会保存 SecurityContext。 这意味着在使用 SecurityContextHolderFilter 时,需要显式保存 SecurityContext。

显式保存 SecurityContext

public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.securityContext((securityContext) -> securityContext
			.requireExplicitSave(true)
		);
	return http.build();
}

解释概括

  1. 用户第一次请求受保护资源时会触发重定向至认证登录的界面
  2. SecurityContextRepository 的默认实现是 HttpSecurityContextRepository,将 SecurityContext 与 HttpSession 相关联,若不想实现可以使用NullSecurityContextRepository
  3. RequestAttributeSecurityContextRepository将 SecurityContext 保存为请求属性,使用SecurityContextPersistenceFilter 负责使用 SecurityContextRepository 在请求之间持久化 SecurityContext,以确保 SecurityContext 可用于跨越可能清除 SecurityContext 的调度类型发生的单个请求
  4. 使用 SecurityContextPersistenceFilter 时,只需设置 SecurityContextHolder 即可确保使用 SecurityContextRepository 持久化 SecurityContext
  5. SecurityContextHolderFilter 只加载 SecurityContext 而不会保存 SecurityContext,所以需要我们自己进行显式保存

Session Management(会话管理)

Force Eager Session Creation(强制急切会话创建)

有时,急切地创建会话可能很有价值。 这可以通过使用可以使用配置的 ForceEagerSessionCreationFilter 来完成

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .sessionManagement(session -> session
            .sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
        );
    return http.build();
}

Detecting Timeouts(检测超时)

您可以配置 Spring Security 以检测无效会话 ID 的提交并将用户重定向到适当的 URL。 这是通过会话管理元素实现的:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .sessionManagement(session -> session
            .invalidSessionUrl("/invalidSession.htm")
        );
    return http.build();
}

请注意,如果您使用此机制来检测会话超时,如果用户注销然后重新登录而不关闭浏览器,它可能会错误地报告错误。 这是因为当您使会话无效时会话 cookie 不会被清除,即使用户已注销也会重新提交。 您可以在注销时显式删除 JSESSIONID cookie,例如在注销处理程序中使用以下语法:
但这不能保证适用于每个 servlet 容器

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .logout(logout -> logout
            .deleteCookies("JSESSIONID")
        );
    return http.build();
}

Concurrent Session Control(并发会话控制)

如果您希望限制单个用户登录到您的应用程序的能力,Spring Security 通过以下简单的补充支持开箱即用。 首先,您需要将以下侦听器添加到您的配置中,以使 Spring Security 更新有关会话生命周期事件

@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
    return new HttpSessionEventPublisher();
}

然后添加以下内容

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .sessionManagement(session -> session
            .maximumSessions(1)
        );
    return http.build();
}

这将阻止用户多次登录 - 第二次登录将导致第一次登录无效。 通常您希望阻止第二次登录,在这种情况下您可以使用

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
    http
        .sessionManagement(session -> session
            .maximumSessions(1)
            .maxSessionsPreventsLogin(true)
        );
    return http.build();
}

第二次登录将被拒绝。 “拒绝”是指如果使用基于表单的登录,用户将被发送到 authentication-failure-url。 如果通过另一种非交互机制进行第二次身份验证,例如“remember-me”,则会向客户端发送“unauthorized”(401)错误。 如果您想使用错误页面,则可以将属性 session-authentication-error-url 添加到 session-management 元素。

如果您为基于表单的登录使用定制的身份验证过滤器,则必须显式配置并发会话控制支持。

简明编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity------Persisting Authentication(十一)
豢龙先生
06-20 827
当用户第一次请求受保护的资源时,客户端HTTP请求的汇总:1、未经认证的用户请求受保护资源 2、用户提交他们的用户名和密码 4、后续请求包括会话cookie,该cookie用于在会话剩余时间对用户进行身份验证 二、SecurityContextRepository Spring Security使用SecurityContextRepository关联登录用户和登录之后发往服务器的请求HttpSecurityContextRepositorySecurityContextRepository的默认实现,它
Spring Security 自定义SecurityContextRepository
m13012606980的专栏
02-08 1711
spring security的逻辑是判断一个请求如果需要进行身份验证,它需要通过SecurityContextRepository#loadContext方法看是否能获取到已验证的身份信息,如果获取到则直接访问对应的请求,获取不到则说明用户没有进行身份认证,则需要跳转到“/login”进行登录,登录成功,会把已验证的身份信息存储起来,调用SecurityContextRepository#saveContext方法。
SpringBoot整合SpringSercurity5完整实现例子
最新发布
Spell a的博客
05-01 469
super(msg);super(msg);return msg;@Component@OverrideString jsonString = JSONObject.toJSONString(ResponseResult.error(401, "您没有访问权限,请重新登录!"));
SecurityContextHolder
weixin_57128596的博客
09-14 2572
SecurityContextHolder是Spring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
SecurityContextPersistenceFilter和SecurityContextHolder的作用
qq_43203949的博客
10-27 872
SecurityContextPersistenceFilter和SecurityContextHolder的作用 SecurityContextHolder SecurityContextHolder是Spring Security 中最基本的组件,SecurityContextHolder是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContext securityContext = SecurityContextHolder.getCo
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 1931
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
Laravel开发-persisting-requests
08-27
在Laravel框架中,"persisting-requests"是一个专门用于处理持久请求的扩展包,它为开发者提供了一种高效的方法来管理和存储HTTP请求的状态,以便在后续操作中重用或恢复这些请求。这个包的核心目标是减少重复的HTTP...
spring-framework-reference 4.3.8.RELEASE
05-26
The Spring Framework is a lightweight solution and a potential one-stop-shop for building your enterprise-ready applications. However, Spring is modular, allowing you to use only those parts that you ...
Man-in-the-browser-cache: Persisting HTTPS attacks via browser cache poisoning
02-06
同时,他们还提出了一种网站开发者可以采用的防御技术,无需用户或浏览器厂商的配合,就可以减轻BCP攻击的一部分影响。 研究团队已将他们的发现报告给浏览器供应商,并得到了确认。例如,谷歌承认了他们在Chrome的...
拖放持久化TreeView控件(VB.NET)
04-06
rp=%2FKB%2Ftree%2FDragDropPersistingTreeV%2Fdragdroppersistingtreev_demo.zip&download=true"可能是演示程序的下载链接,你可以运行它来直观地了解实现效果。而"LogOn.aspx?rp=%2FKB%2Ftree%2...
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 1460
spring-secrity的Filter顺序+自定义过滤器
spring security (一) Filter(过滤器)
weixin_54515490的博客
08-09 535
大多数情况下,默认的 security filter 足以为你的应用程序提供安全。然而,有时你可能想在 security filter chain 中添加一个自定义的 filter。例如,假设你想添加一个 Filter,获得一个租户 id header 并检查当前用户是否有访问该租户的权限。前面的描述已经给了我们一个添加 filter 的线索,因为我们需要知道当前的用户,所以我们需要在认证 filter 之后添加它。
如何使用Spring Security控制会话
allway2的博客
11-18 3261
并发会话控制功能用于维护活动会话列表以及关联的经过身份验证的用户的信息。我们在本文前面配置了 Spring 安全性使用此事件发布来发布会话生命周期中的事件,并且相应地更新了 SessionRegistry。每次登录的客户尝试访问应用程序的安全部分时,都会检查用户的活动会话。以下是安全性中可用的选项,可以帮助我们配置和控制会话创建。会话超时后,如果他们提交具有无效会话 ID 的请求,我们可以将使用重定向到特定页面。在本文中,我们讨论了 Spring 安全会话管理以及如何使用 Spring 安全性控制会话
Spring Security 之默认过滤器链的SecurityContextPersistenceFilter(七)
欢谷悠扬
07-08 414
1.SecurityContextPersistenceFilter 是干啥的 SecurityContextPersistenceFilter 是用来在认证之前从SecurityContextRepository获取SecurityContext,然后放入SecurityContextHolder中。 在其他方法执行完毕之后,将SecurityContext 通过SecurityContextRepository存储到想要存储的地方,然后清理掉SecurityContextHolder中的Security
SpingSecurity框架重要知识点(理解)
tigerhhzz的博客
05-10 442
一,SpingSecurity本质是一个过滤器链(11个过滤器) 1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到Se
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1156
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
Spring Security注销后未正确保存空的SecurityContext漏洞CVE-2023-20862
日拱一卒无有尽,功不唐捐终入海
08-30 1936
背景:公司项目扫描到 Spring-security 组件 注销后未正确保存空的SecurityContext CVE-2023-20862Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的实际标准。Spring Security提供了一套完整的安全性解决方案,是构建安全性强的企业级应用程序的理想选择。
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1727
Springboot +spring security,实现session并发控制及实现原理分析
分布式工程搭建--spring cloud alibaba(spring security网关鉴权)
asdcctv882的博客
08-21 3305
Nacos-注册中心搭建 1.1 注册中心Nacos与Eureka对比 在此项目中naocs服务器是通过mysql来进行连接的,nacos不用手动搭建服务器,对于开发者来说,上手很快。 1.2 Nacos安装和启动 nacos 的下载和启动方法请参考Nacos 官网。 在启动nacos2.01的时候,有个坑,默认启动方式是以集群的方式启动,需要修改, 直接使用命令启动 startup.sh -m standalone 1.3 注册中心客户端搭建 Pom依赖导入: <dependency&.
k8s yml --help
06-02
在 `kubectl` 命令行工具中,你可以使用 `--help` 参数来查看命令的帮助文档,包括 YAML 文件的格式要求和示例。例如,使用 `kubectl create --help` 命令可以查看如下内容: ``` Create a resource from a file or from stdin. JSON and YAML formats are accepted. Usage: kubectl create (-f FILENAME | --filename=FILENAME) [options] kubectl create (-k DIRECTORY | --kustomize=DIRECTORY) [options] kubectl create clusterrolebinding NAME --clusterrole=ROLE [--user=USER] kubectl create clusterrole NAME --verb=verb --resource=resource.group [--resource-name=resource.name] kubectl create configmap NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create cronjob NAME --image=image [--schedule=''] --command -- [COMMAND] [args...] [options] kubectl create deployment NAME --image=image [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create job NAME --image=image --command -- [COMMAND] [args...] [options] kubectl create namespace NAME [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create secret generic NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create service NAME --tcp=port1,port2,... [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create serviceaccount NAME [--dry-run=server|client|none] [--output=wide|yaml|json] [options] Examples: # Create a pod using the data in pod.json. kubectl create -f ./pod.json # Create a pod based on the JSON passed into stdin. cat pod.json | kubectl create -f - # Edit the data in EDITOR (default vim). kubectl create configmap my-config --from-file=config.json --edit # Create a new namespace named my-namespace kubectl create namespace my-namespace Options: -f, --filename='': Filename, directory, or URL to files to use to create the resource -k, --kustomize='': Process a kustomization directory. This flag can't be used together with -f or -R. --edit=false: Edit the data in $EDITOR --force=false: Create resource even if it already exists --dry-run='none': Must be "none", "server", or "client". If client strategy, only print the object that would be sent, without sending it. If server strategy, submit server-side request without persisting the resource. -o, --output='': Output format. One of: yaml, json, wide, name, go-template-file, go-template, jsonpath-file, jsonpath. If unspecified, will default to yaml for standalone objects and table for lists. --record=false: Record current kubectl command in the resource annotation. If set to false, do not record the command. If set to true, record the command. If not set, default to updating the existing annotation value only if one already exists. ``` 在这个帮助文档中,你可以看到 `kubectl create` 命令支持不同类型的资源对象,包括 Pod、Deployment、Service、Secret 等。对于每个资源对象类型,文档都提供了示例和参数说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值