《SpringSecurity in Action》三:Session并发控制问题

已于 2022-04-28 12:26:45 修改
阅读量1.8k 收藏 1
点赞数 1
分类专栏: SpringSecurity Session Java 文章标签: spring java 安全架构
于 2022-04-24 19:38:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shangcunshanfu/article/details/124390119
版权
SpringSecurity 同时被 3 个专栏收录
6 篇文章 1 订阅
订阅专栏
Java
6 篇文章 0 订阅
订阅专栏
Session
4 篇文章 0 订阅
订阅专栏

文章目录

1 概述

Session并发控制指服务端控制客户端某个用户同时在线的数量,如某个账号在谷歌浏览器上进行了登陆,又在IE浏览器上进行了登陆,又在手动app上进行了登陆,那这时session并发数就是3.控制session并发的意思一是在于控制服务器资料占用,二是可以起到对帐号的保护作用。比较我们是不是都有这样的经历,我们正登着QQ呢,突然自己登出了,不久QQ就给我们发了一条消息,说你的帐号在哪哪哪登陆了,如果不是本人操作赶快修改密码。这就是session并发控制。如果没有session并发控制,那么你的帐号被他人登陆后,那么你将毫无感知。

2 实现方法

使用SpringSession实现Session并发很简单,如果你的要求不高,只需要一行代码就可以了,在protected void configure(HttpSecurity http)这个方法里加上.maximumSessions(2)就OKAY, 这行配置的参数表示服务端最多允许几个客户端帐号同时在线。

完整的代码示例:
主要依赖

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>
    </dependencies>

配置文件

spring:
  redis:
    host: 256.73.82.27 # 地址,这个ip是瞎写的,第一位是256就不可能的对吧
    port: 6379 # 端口
    database: 1 # 数据库索引
    password: redis

  session:
    store-type: redis

SpringSecurity配置类

/**
     * 这个Bean的作业是在登出时,进行一个发布,具体做了什么还不是很清楚
     * 如果没有该Bean,现象是如果配置了http.maxSessionsPreventsLogin(true),当用户登陆数量后,即使进行登出操作,接下来也还是不能正常登陆。
     */
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            /*
             * 省力其它配置信息
             */
            .sessionManagement()
            // 最大session并发数
            .maximumSessions(2)
            /*
             * 省力其它配置信息
             */

3 测试方法

启动服务

  • 登陆请求A: 使用curl发起登陆请求curl -X POST -v -H 'Content-Type: application/x-www-form-urlencoded' -d 'username=testUser' -d 'password=123' 'localhost:8765/hgd11-security-api/login'
    请求出参:
    在这里插入图片描述

  • 登陆请求B: 再次使用curl发起登陆请求curl -X POST -v -H 'Content-Type: application/x-www-form-urlencoded' -d 'username=testUser' -d 'password=123' 'localhost:8765/hgd11-security-api/login'

  • 登陆请求C: 再次使用curl发起登陆请求curl -X POST -v -H 'Content-Type: application/x-www-form-urlencoded' -d 'username=testUser' -d 'password=123' 'localhost:8765/hgd11-security-api/login'

  • 业务请求D: 使用登陆请求A时响应的session,请求业务接口curl -X GET -v 'localhost:8765/hgd11-security-api/test/hello' -H 'Cookie: SESSION=NGJjZjdmYzktYzZiMS00Mjg2LTg4MGMtNDBkMmFmNDFkZTNk',发现请求认证失败。

测试过程值得说的几点

  1. 一定要连接进行后两次请求后,也就是测试顺序的A-B-C后,再使用第一次登陆获取的session做业务请求D,这时才能测试出来session并发的效果来。因为在发生session并发时,SpringSecurity是根据session里最后更新时间来判断驱逐哪个session的。最早的那个更新时间对应的session会被驱逐。如果测试顺序是A-B-D-C-D,这时你期望的是A那次登陆会被驱逐,但实际上A并不会被驱逐,而是请求登陆B那次被驱逐了,因为进行D操作后,D session的最后更新时间比B的session要更新。
  2. 之所以使用curl进行测试,而没有使用postman,是因为postman在请求时会自动带上cookie,也就是说会把sessionID带过去。更详细的情况是这样的,进行登陆请求A时,服务器响应了一个sessionID,这时postman把session放在cookie里;进行登陆请求B时,这次登陆请求全带着sessionID过去,服务器看到有sessionID,就知道是同一个客户端,这时只是会change一下sessionId,不会再创建session了,所以session也就不存在并发了。
  3. 先不要在多副本的情况下测试

如果不知情,使用postman一直来测试session并发,可能测到死也不明白为什么session并发就是测不出来。

shangcunshanfu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
社会你“小峰哥“用Java实现了管理员可以修改任意用户Session的功能
【CSDN】
08-12 718
目录 1 Session会话简介 2 简单实例准备 3 动态修改用户Session场景分析 4 动态修改Session原理介绍 5 动态修改Session实现 6 高并发下的性能优化 7 完整源码+配套视频教程分享 8 留了一点小作业 1 Session会话简介 session 是另一种记录服务器和客户端会话状态的机制,并且session 是基于 cookie 实现的。服务器要知道当前请求发给自己的是谁,为了做这种区分,服务器就是要给每个客户端分配不同的"身份标识",然后客户端每次向服务
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1737
Springboot +spring security,实现session并发控制及实现原理分析
核心项目:高并发秒杀系统(分布式Session,列表缓存,界面静态化,削峰处理)
燕双嘤
09-09 734
先将Session ID发送到浏览器,让浏览器以Cookie的形式来保存Session ID;然后服务器端用Redis来保存Session信息,在Redis中保存Session信息时,以客户端保存的Session ID为key。当用户访问系统时,系统首先会通过读取Cookie来获取Session ID,然后通过该Session ID即可读取到分布式Session的信息。本系统的分布式 Session,以及后面的缓存机制,都是基于 Redis 来实现的,1.2,分布式Session的实现。
SpringSecurity in Action》四:Session共享下的Session并发控制问题
shangcunshanfu的博客
04-24 4011
文章目录1 概述2 原因3 解决方案4 方案实现 1 概述 该篇基于《SpringSecurity in ActionSession并发控制问题 & 《SpringSecurity in Action》二: 基于redis实现session共享 在【《SpringSecurity in ActionSession并发控制问题】最后做测试时,刻意回避了一个问题,就是不要在多副本情况下进行测试,因为以上一篇的配置来说,还不支持在session共享下完成session并发控制。 2 原因 这里
SpringSecurity访问多人在线Session管理的实现原理
最新发布
JavaMyDream的博客
05-15 147
【代码】SpringSecurity访问多人在线Session管理的实现原理。
Spring项目下增加Spring Session Redis整合方法
心静自然凉zc的博客
03-15 924
session是一个非常常见的概念。session的作用是为了辅助http协议,因为http是本身是一个无状态协议。为了记录用户的状态,session机制就应运而生了。同时session也是一个非常老的概念了,使用session的方法也是多种多样。就Java来说,servlet的标准本身是包含session的,Tomcat会把session的信息存储在服务器内存里,Request提供了获取sess...
php读写锁,PHP session并发操作及session读写锁
weixin_39628945的博客
03-21 285
今天我来谈谈所有的PHPer都熟悉的session。Case1.示例代码中分别以files,redis储存会话数据2./session/setUserFile和/session/setUserRedis设置user_name,user_id两个key,并sleep了3s3./session/setLoginFile和/session/setLoginRedis设置last_time一个key4./...
Struts2+spring+hibernate(登录与注册模块)
07-17
3. **安全控制**:Spring Security可以实现用户认证和授权,防止未授权访问。 **Hibernate** 是一个持久化框架,简化了数据库操作。在登录注册模块中,主要应用如下: 1. **ORM映射**:将Java对象映射到数据库表,...
spring4+hiberante4+struts2+maven
09-10
6. **安全控制**:通过Spring Security或者Struts2的安全插件,可以实现用户认证和授权,保护敏感资源。 7. **测试**:Spring和Hibernate提供了测试支持,如Spring Test和Hibernate Validator,可以帮助我们编写...
内容管理系统(hibernate3+struts2+spring2).rar
02-06
它可以管理Hibernate的Session生命周期,避免了常见的并发问题。 - **Spring整合Struts2**:Spring的ApplicationContext可以通过Struts2的插件注入到Action中,实现依赖注入。同时,Spring的AOP能力可以用于Struts2...
WebWork.Spring.Hibernate整合开发网络书城
01-06
在IT行业中,WebWork、Spring和Hibernate是个非常重要的开源框架,它们分别专注于不同的领域:WebWork处理Action层逻辑,Spring提供全面的依赖注入和面向切面编程支持,而Hibernate则是Java领域广泛使用的对象关系...
SSH 框架组合的WEB项目
11-05
SSH框架是Java Web开发中的一个经典组合,由Struts2、Spring和Hibernate个开源框架集成。这个"SSH框架组合的WEB项目"显然是一款基于这些技术的公文批阅系统,适用于政府、企事业单位进行文档审批流程的信息化管理...
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4114
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
spring security源码分析_HttpSessionEventPublisher
crazygeek_的专栏
11-20 8703
SpringSecurity理解 SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 SpringSecurity的前身是Acegi,一般来说,如果要对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。Acegi对web资源的保护,就是靠Filter实现的。 一般来说,我们的Fil
Spring Security系列教程20--会话管理之会话并发控制
一一哥
10-18 1160
前言 现在我们已经掌握了如何防御会话固定攻击,以及在会话过期时的处理策略,但是这些都是针对单个HttpSession来说的,对于会话来说,我们还有另一种情况需要考虑:会话并发控制! 那什么是会话并发控制呢?假如我想实现 “在我们的网站中,同一时刻只允许一个用户登录” 这样的效果,该怎么做? 请各位带着以上的这些问题,跟着 一一哥 继续往下学习吧。 一. 会话并发控制 1. 会话并发控制 首先我们来了解一下会话并发控制的概念。 有时候出于安全的目的,我们可能会有这样的需求,就是规定在同一个系统中
Session,有没有必要使用它?
weixin_34329187的博客
08-01 181
Technorati 标签: session,asp.net,.net 今天来说说 Session 。这个东西嘛,我想每个Asp.net开发人员都知道它,尤其是初学Asp.net时,肯定也用过它,因为用它保存会话数据确实非常简单。 与前二篇博客不同,这次我不打算细说它的使用,而是打算说说它的缺点,同时我还会举个实际的例子,来看看它到底有什么不好的影响。 当...
Spring security配置HttpSessionEventPublisher防用户重复登录
qq_43070052的博客
01-19 1370
Spring security配置HttpSessionEventPublisher防用户重复登录一.在web.xml中配置listener二.在security.xml中配置Hibernate ORM提供了种继承映射策略  使用Spring security如何防止用户的重复登录呢?如果用户账号已登录,这时再进行第二次或多次登录,需要阻止这样的多次登录。 一.在web.xml中配置listener <listener> <listener-class> org.spri
Spring Security(八)会话并发控制->内存用户
core815的专栏
10-11 170
1.UserDetailsService配置 @Bean(name="memoryUserDetailsService") public UserDetailsService userDetailsService() { InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager(); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值