Spring Security与BlazeDS集成的FlexSession Invalid问题

最新推荐文章于 2021-02-06 19:02:00 发布
最新推荐文章于 2021-02-06 19:02:00 发布
阅读量221 收藏
点赞数 1
分类专栏: Spring 文章标签: Spring Security Blazeds Invalid session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songzi0206/article/details/84213275
版权

        先说现象:当用户登录以后,如果点击浏览器的后退按钮回到登录页面,这个时候用浏览器的前进按钮是可以再回到主页面的,但如果再想通过输入用户名/密码登录的时候,就会发现登录不了,系统会一直跳转到登录页面。查看后台的话会发现这个是因FlexSession invalid Exception 引起的。
       仔细想想觉得系统不应该会有这种bug啊,但是不管你觉得会不会,问题出现了,而且还非常容易重现。先查了下blazeds的jira,还真发现有人提过这个bug( http://bugs.adobe.com/jira/browse/BLZ-350 ),但是看这个issue的comments说考虑会在版本4中改,又说在spring security中改更容易,还给了一个spring security jira的连接。

 

       果然,spring security jira中也有人提过这个bug(https://jira.springsource.org/browse/SEC-1109 ),看了下解决方案是通过实现自己的SessionAuthenticationStrategy在销毁/复制旧session的时候特殊处理“__flexSession”属性。
       也就是说双方都没改,只是提供了修复建议,默认配置还是会出现这个bug,有点意思,呵呵!那就查看下source code,自己探其究竟吧:

       先说blazeds,他提供了一个叫做HttpFlexSession的session监听器,他会去监听HttpSession,从而维护了一套与HttpSession对应的属性,而它自己也会作为HttpSession的__flexSession属性存在。


       当HttpSession销毁的时候,HttpFlexSession的sessionDestory方法触发,该方法会清理HttpFlexSession所占的资源,从而使得其自身invalidate(),即当前的这个HttpFlexSession已经不可用了,但是他并不会将自己从HttpSession中清理掉,也没有将自己设置为null。参考代码:

 

public void sessionDestroyed(HttpSessionEvent event)
    {
        HttpSession session = event.getSession();
        Map httpSessionToFlexSessionMap = getHttpSessionToFlexSessionMap(session);
        HttpFlexSession flexSession = (HttpFlexSession)httpSessionToFlexSessionMap.remove(session.getId());
        if (flexSession != null)
        {
            // invalidate the flex session
            flexSession.superInvalidate();

            // Send notifications to attribute listeners if needed.
            // This may send extra notifications if attributeRemoved is called first by the server,
            // but Java servlet 2.4 says session destroy is first, then attributes.
            // Guard against pre-2.4 containers that dispatch events in an incorrect order, 
            // meaning skip attribute processing here if the underlying session state is no longer valid.
            try
            {
                for (Enumeration e = session.getAttributeNames(); e.hasMoreElements(); )
                {
                    String name = (String) e.nextElement();
                    if (name.equals(SESSION_ATTRIBUTE))
                        continue;
                    Object value = session.getAttribute(name);
                    if (value != null)
                    {
                        flexSession.notifyAttributeUnbound(name, value);
                        flexSession.notifyAttributeRemoved(name, value);
                    }
                }
            }
            catch (IllegalStateException ignore)
            {
                // NOWARN
                // Old servlet container that dispatches events out of order.
            }
        }
    }

 

      这个没有错,因为从blazeds的角度看,上面的一系列动作是在HttpSession销毁时候触发的,既然HttpSession都销毁了,也就没有必要再去一个已销毁的对象里remove掉属性(贸然的remove还可能有nullpointorexception)!
      再来看看Spring Security,当用户进行Authentication的时候(默认是提交j_spring_security_check请求)会经过SessionManagementFilter,若authentication已经存在(即已经认证过),该filter默认会调用SessionFixationProtectionStrategy的onAuthentication方法,该方法会复制已经存在的那个HttpSession的所有属性,然后就销毁之,接着会创建一个新的HttpSession并把刚刚复制的所有属性set到这个新session中。参考代码:

 

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (request.getAttribute(FILTER_APPLIED) != null) {
            chain.doFilter(request, response);
            return;
        }

        request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

        if (!securityContextRepository.containsContext(request)) {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

            if (authentication != null && !authenticationTrustResolver.isAnonymous(authentication)) {
             // The user has been authenticated during the current request, so call the session strategy
                try {
                    sessionStrategy.onAuthentication(authentication, request, response);
                } catch (SessionAuthenticationException e) {
                    // The session strategy can reject the authentication
                    logger.debug("SessionAuthenticationStrategy rejected the authentication object", e);
                    SecurityContextHolder.clearContext();
                    failureHandler.onAuthenticationFailure(request, response, e);

                    return;
                }
                // Eagerly save the security context to make it available for any possible re-entrant
                // requests which may occur before the current request completes. SEC-1396.
                securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);
            } else {
             // No security context or authentication present. Check for a session timeout
                if (request.getRequestedSessionId() != null && !request.isRequestedSessionIdValid()) {
                    logger.debug("Requested session ID" + request.getRequestedSessionId() + " is invalid.");

                    if (invalidSessionUrl != null) {
                        logger.debug("Starting new session (if required) and redirecting to '" + invalidSessionUrl + "'");
                        request.getSession();
                        redirectStrategy.sendRedirect(request, response, invalidSessionUrl);

                        return;
                    }
                }
            }
        }

        chain.doFilter(request, response);
    }

 

 

public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
        boolean hadSessionAlready = request.getSession(false) != null;

        if (!hadSessionAlready && !alwaysCreateSession) {
            // Session fixation isn't a problem if there's no session

            return;
        }

        // Create new session if necessary
        HttpSession session = request.getSession();

        if (hadSessionAlready && request.isRequestedSessionIdValid()) {
            // We need to migrate to a new session
            String originalSessionId = session.getId();

            if (logger.isDebugEnabled()) {
                logger.debug("Invalidating session with Id '" + originalSessionId +"' " + (migrateSessionAttributes ?
                        "and" : "without") +  " migrating attributes.");
            }

            HashMap<String, Object> attributesToMigrate = createMigratedAttributeMap(session);

            session.invalidate();
            session = request.getSession(true); // we now have a new session

            if (logger.isDebugEnabled()) {
                logger.debug("Started new session: " + session.getId());
            }

            if (originalSessionId.equals(session.getId())) {
                logger.warn("Your servlet container did not change the session ID when a new session was created. You will" +
                        " not be adequately protected against session-fixation attacks");
            }

            // Copy attributes to new session
            if (attributesToMigrate != null) {
                for (Map.Entry<String, Object> entry : attributesToMigrate.entrySet()) {
                    session.setAttribute(entry.getKey(), entry.getValue());
                }
            }
        }
    }

 

       从Spring Security角度看,这个也没有错啊!已经认证过的用户再次认证,我的策略就是复制一个新的session。这也难怪双方都没有去改框架的代码。

       正如JIRA上的建议,也从源码可看到在SessionManagementFilter中,SessionAuthenticationStrategy是可以自己配置的:

public void setSessionAuthenticationStrategy(SessionAuthenticationStrategy sessionStrategy) {
        Assert.notNull(sessionStrategy, "authenticatedSessionStratedy must not be null");
        this.sessionStrategy = sessionStrategy;
    }

 

     所以,解决的一个方法便很简单了,不要使用SessionManagementFilter中默认的SessionFixationProtectionStrategy,而是实现自己的SessionAuthenticationStrategy并配置给SessionManagementFilter中即可。至于自己实现SessionAuthenticationStrategy,在将属性复制到新session的时候,判断下如果是HttpFlexSession就不要复制进去了,呵呵!

      上面的这个方法改动是最少的,就是写个新类实现SessionAuthenticationStrategy接口配置下。但是如果不想对Spring Security扩展,我觉得也可以用扩展blazeds的思路来实现。尝试了两种,第一种通过实现一个FlexSessionListener去监听HttpFlexSession,当触发sessionDestory的时候将HttpFlexSession.httpSession里的HttpFlexSession属性移除掉,但是这种方法不对的 ,因为这个方法被触发之前,httpSession里的所有属性已经被复制了,再移除已经无用。第二种,重写MessageBrokerServlet的service方法,因为异常的源头来自该servlet用了一个invalid的HttpFlexSession去获取Principal,所以只要再service方法之前先判断下当前的HttpFlexSession是否已经无效,无效的话我们就从当前的HttpSession中移除这个无效的HttpFlexSession即可。这样,就能保证MessageBrokerServlet中所用的HttpFlexSession一定是有效的。

 

@Override
	public void service(HttpServletRequest req, HttpServletResponse res) {
		HttpSession httpSession = req.getSession(true);
		HttpFlexSession flexSession = (HttpFlexSession)httpSession.getAttribute(XXWebServlet.SESSION_ATTRIBUTE);
		if( flexSession != null && !flexSession.isValid()){
			httpSession.removeAttribute(XXWebServlet.SESSION_ATTRIBUTE);
		}
		super.service(req, res);
	}

 

songzi0206
关注
专栏目录
The FlexSession is invalid问题
weixin_34362790的博客
07-17 120
package com.cmbj.soa.servicemonitor.view.service.impl; import java.util.Enumeration; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.s...
Flexsession的实现
07-03 131
tomcat中的session实现类是StandardSession, 其中Manager 这个接口在StandardSession中有被用到。 1.5jdk中用到了ConcurrentHashMap。 但是flex中本身是没有提供session接口的,那么该如何实现呢?参考别人的文章后总结如下: 1、在web.xml增加 [code="xml"] AMFContex...
Flex中的Session管理
fatherican的专栏
03-31 141
Session是Jsp 9大内置对象之一,但是在Flex中却没有这一概念。曾经看过一本叫《Flex 企业应用开发实战》书,里面讲述了一点利用Session增加控制权限的问题。本人也尝试着做了一个小demo. Flex中实现session的一个类是FlexContext类,他将session保存在服务端。 新建一个java类FlexSession.java,里面写...
FLEXSPRING HIBERNATE 的配置应用
yangzx_study的专栏
07-17 1406
最近一直在研究FLEX,由于项目的需要自己构建了一个FLEX+SPRING+HIBERNATE 的WEB开发框架。在网上找到了一些相关资料,帮助最大的http://coenraets.org/flex-spring/ 。下面说一下我的配置过程,希望能给大家一些帮助:1)创建自己的工程,例如 :springtest (project)  -> flex(Package),将相关的JAR包放在
SpringBlazeDS集成:构建企业级RIA应用的桥梁
本资源是一份关于SpringBlazeDS框架集成的演讲稿,由Cornel Creanga创作,旨在向开发者介绍Spring在企业级Java应用中的地位以及如何与Adobe Flex平台,特别是BlazeDS数据服务进行整合。演讲大纲主要包括以下几个...
Spring BlazeDS Integration Spring集成BlazeDS
08-26
综上所述,Spring BlazeDS Integration 提供了一个高效且灵活的途径,让Spring后端服务与Flex前端应用无缝对接,从而在企业级应用开发中实现强大的交互性和用户体验。通过文档"Flex与Java通讯文档三",读者可以深入...
Spring BlazeDSFlex集成详解:构建高效通信架构
本文主要探讨Spring BlazeDSFlex集成应用,Spring BlazeDS是一个强大的工具,用于在Spring框架下实现富互联网应用程序(RIA)与服务器之间的高效通信。Flex是Adobe公司开发的一款广泛应用于客户端的富客户端应用...
Spring BlazeDS 集成指南:官方文档解析
"Spring Flex BlazeDS 集成官方文档提供了关于如何将Spring框架与Adobe BlazeDS相结合的详细指南。这份文档适用于版本1.5.2.RELEASE,由Jeremy Grelle(来自SpringSource)在2011年11月发布。文档允许非商业复制和...
Spring BlazeDS 集成指南
Spring MVC控制器可以与Flex客户端并存,提供RESTful服务,同时保持与BlazeDS集成。 2.6 使用Spring管理的目的地从Flex客户端 Spring Flex允许你声明性地定义目的地,这些目的地由Spring容器管理,供Flex...
flex session处理
freshman113的博客
06-23 206
由于FLEX程序与后台交互需要用session维持状态。 我的方法是: 1 在tomcat的context.xml配置中禁用cookies ..............    2 在flex的httpservice中,url加入登录时得到的sessionid。 url=./test/testAction.do?;jsessionid=23jd...
springmvc+Mybatis整合中sqlSession的创建问题
05-06 803
spring/springmvc+mybatis在整合时,可以在applicationContent.xml文件中进行springspringmvc,事务管理,数据库连接池等以及与Mybatis整合的配置,当然也可以分开配置各自的xml文件。在mybatis-config.xml中主要进行一...
spring securitysession管理
qq_36500178的博客
01-24 1万+
1 spring securitysession管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法中,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
【转】HttpSession常见问题
Ant Ren的专栏
04-10 1408
HttpSession常见问题
Blazeds文档(二)-------Blazeds体系结构(二)【转载】
Csdn-Alvin
12-04 1391
原创作者: 碧海山城  服务端FlexClient、MessageClient、FlexSession类的实例代表了Flex应用和服务端的连接。你可以使用这些对象管理FLEX应用程序和服务端的同步。 FlexClient, MessageClient, and FlexSession objects FlexClient 每一个MXML或者AS的Flex应用都被编译进SWF文件。当SWF
flexsession禁用_blazeds 关闭 httpFlexSession 解决方案
weixin_36347133的博客
02-06 198
在使用flex/as java做项目时 appserver中没有使用到httpSession, 应用服务器提供的httpSession是在用到的时候才会创建, 而blazeds中是不管你需要不需要每一个请求来的时候都会拿到httpSession 新建一个httpFlexSession对象放到threadLocal中去引发的问题: 在使用集群分发(没有保持会话/session)的时候, 会创建大量...
Message: session not created: This version of ChromeDriver only supports Chrome version 79
情绪不稳定的98年程序员
05-24 8060
今天学习selenium,需要安装浏览器驱动,但是在安装谷歌的时候一直报错,而且报错的版本也都是79这个版本有问题 然后我驱动换了好几个,浏览器也去网上找了好多安装包,各种版本都用来还是有问题 最后发现是还是驱动问题 我最开始驱动是在这个网站下载的 http://chromedriver.storage.googleapis.com/index.html 然后我在另一个网站下载了驱动,同样的版本,就生效了 http://npm.taobao.org/mirrors/chromedriver 淘
ui自动化问题:selenium.common.exceptions.SessionNotCreatedException: Message: session not created
热门推荐
qq_41596734的博客
10-21 1万+
使用Python+selenium+Chrome 报错: selenium.common.exceptions.SessionNotCreatedException: Message: session not created: This version of ChromeDriver only supports Chrome version 78 说明,这个chrom驱动支持78版本 谷歌浏览器版本 进入驱动网址:http://npm.taobao.org/mirrors/chromedriver/,下载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值