14 spring-security 中的 SessionManagerFilter 导致的每刷新一次页面 JSESSIONID 切换一次 导致 session 不可用

最新推荐文章于 2024-04-21 16:06:55 发布
最新推荐文章于 2024-04-21 16:06:55 发布
阅读量1.3k 收藏 10
点赞数 23
分类专栏: 13 spring-cloud 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011039332/article/details/132768591
版权

前言

这个问题是最近的一个老项目 碰到的一个问题

假设 我现在在同一个页面, 刷新一下页面, 加载完毕之后, 再刷新一下页面 

然后 可以看到的是两次刷新页面所发送的请求, 携带的 JSESSIONID 不一样, 然后 导致了 服务端这边使用 session 相关特性失效 

然后 这里我们就是来看一下 处理的原因  

首先项目是引入了 spring-security, 然后 进而导致的这个问题

情况如下, 以红线作为 第一次 和 第二次 相关网络请求的分隔符

然后可以看到的是 第一批次的请求中携带的 JSESSIONID 均为 “4415237FB3237945BB3103BCB187F5F3”

然后 响应了一个 set-cookie 的响应头, 告诉客户端这边重新更新 cookie, 第一批次的请求的所有响应里面都有这个 set-cookie, 并且每一个 set-cookie 中的 JSESSIONID 不一

第二个批次的请求如下, 可以看到携带的 JSESSIONID 为 “9142F6629C4D076207C283CD8A103BC9”

然后 客户端这边挑选的是 上面的 ”/serviceStatsByLv2” 的 JSESSIONID 进行设置, 当然 这个挑选是由浏览器这边来控制的, 我们暂时不关心这个问题 

然后第二批次的这批请求, 基本上都有 set-cookie 的响应头 

按照 我们的通常的 web 经验的理解, 一个 session 应该是有一定的生命周期的, 为啥这里每一批次请求 就会切换 JSESSIONID 呢??

这是和 spring-security 中的一个 SessionManagementFilter 有关系 

最低0.47元/天 解锁文章
【Flink】Flink TaskManager 内存导致重启
九师兄
06-27 3954
一个flink程序运行一段时间后,突然重启了,查看日志报错如下 这句话的意识是 当前运行的内存超过物理内存限制,当前使用了2G的物理内存,4G的虚拟内存。内存够用了,查看内存发现 只给了2G内存,改成如下就好了 其他场景请参考:【Flink】connection indicates remote task manager was lost相似问题:【Flink】Flink Container exited with a non-zero exit code 143【Flink】Flink Dump of
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3010
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Spring Security3源码分析-SessionManagementFilter分析-
Dead_Knight的专栏
05-08 222
很多spring security3资料在介绍session的并发控制都要求配置HttpSessionEventPublisher的监听器,如下 [code="xml"] org.springframework.security.web.session.HttpSessionEventPublisher [/code] 这个监听器...
Spring Security学习笔记之SessionManagementFilter
py_xin的博客
10-11 3714
开始的时候明白这个过滤器的作用是什么. 看源码: public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest)
Spring Security Web 5.1.2 源码解析 -- SessionManagementFilter
Details Inside Spring
12-08 1755
概述 该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。 针对Servlet 3.1+,缺省所使用的SessionAuthenticationStrategy会是一个Change...
[11] SessionManagementFilter
热门推荐
既无风雨也无晴
03-16 2万+
SessionManagementFilter 介绍 该Filter内部包含了SessionAuthenticationStrategy和SecurityContextRepository,SessionAuthenticationStrategy是一个复合会话认证策略CompositeSessionAuthenticationStrategy,默认情况下仅包含一个ChangeSessionId...
demo-spring-boot-spring-session:使用 Spring Session 演示 Spring Boot
06-16
在这个 demo 项目 "demo-spring-boot-spring-session-master" 中,可能包含了以下几个部分: - 一个基本的 Spring Boot 应用结构,包括主应用类(`DemoSpringBootSpringSessionApplication`) - 配置文件(`...
spring-session-issue:Spring-Session 的问题
06-13
在"spring-session-issue-master"这个压缩包中,我们可以推测包含了一个完整的项目源代码,用于重现特定的Spring Session问题。这个项目可能是用Maven构建的,遵循Spring Boot的目录结构,包含`pom.xml`配置文件,...
Spring Session -- WebSession Integration WebSession 集成
kxh166的博客
10-18 380
Spring Session 提供管理用户会话信息的 API 和实现。使支持集群会话变得简单,而无需绑定到特定于应用程序容器的解决方案,还提供与以下各项(HttpSession、WebSocket、WebSessionSpring Security)的透明集成
Spring Security3源码分析(13)-SessionManagementFilter分析-
Benjamin
09-11 2143
SessionManagementFilter过滤器对应的类路径为  org.springframework.security.web.session.SessionManagementFilter  这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果想使用这个过
Spring Security3源码分析-SessionManagementFilter分析-
Dead_Knight的专栏
05-08 293
SessionManagementFilter过滤器对应的类路径为 org.springframework.security.web.session.SessionManagementFilter 这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果想使用这个过滤...
4. Spring Session 的两种刷新模式-RedisFlushMode
Java 程序源
08-27 1万+
spring session 对于什么时候将session 中的数据同步到redis 中提供了两种模式, 一种是当响应结束后同步, 另一种种是实时同步, 默认时第一种. 两种方式各有特点, 这个根据自己的需要进行选择即可, 确定的话就使用默认. 1. RedisFlushMode 1. 两种模式 ON_SAVE: 只有当SessionRepository.save(Session)方法被调用时...
Spring SecuritySession管理
Evan_L的博客
04-21 2544
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2669
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie会被清除,而且会随着后续请求重新
刷新页面SessionID 为何变了呢?
zanhai的专栏
05-28 4639
最新一个前后端分离的项目,出现了一个奇怪的现象。 通过API接口实现前后端分离的项目,请求session ID 刷新就会改变,造成断生成新的SESSION文件 1、$.ajax解决方案: 设置: xhrFields: { withCredentials: true } $.ajax({ url:api+'user/islogin', xhrFields: { withCredentials: true }, data:postdata, ......
spring security登录前后sessionId一致
fggdgh的博客
04-07 1862
spring security为了防止固定回话攻击会一直修改sessionId,所以在登录前存在session里的数据在登录后是获取到的。为了解决这种情况可以监听session的变化做相应的更改。 @WebListener public class SessionListener implements HttpSessionListener, HttpSessionIdListener { @Override public void sessionCreated(HttpSession
SpringSecurity如何管理session
xsgnzb的专栏
03-14 1090
SessionManagementFilter是在用户认证成功后,执行一些session相关的工作,包括防止固定会话攻击,多点登录登自动下线等。用户通过扩展点,能自定义各种策略。下面是SessionManagementFilter的流程图,分为4个子流程:认证通过,执行策略成功,保存SecurityContext,执行下一个Filter认证通过,执行策略失败,执行身份认证失败策略(一般是重定向到登录页面),结束请求。
使用Spring security,遇到从HTTPS页面重定向到HTTP页面时会丢失JSESSIONID的问题
Libresoft实验室
12-11 4883
问题重现: 1、  直接输入登录页面地址 https://127.0.0.1/xxxx/login.do 2、  填写用户信息点登陆 3、  页面跳转到欢迎页面http://127.0.0.1/xxxx/welcome.do 4、  此时springsecurity 会提示session是null,并且跳回登录页面。   原因: Tomcat下 HTTPS生产的COOKIE  JSE
JSESSIONIDSESSION
ZSW
05-30 6535
spring security的时候遇到了一个很诡异的问题: 已经登录的用户,而且没有标记remember-me,在重启服务器之后还会显示已经登录状态 这就严重啦,这样子如果要在session中储存用户的信息,以后反复拿出来用的话,这个session在用户登录的时候set用户信息,那重启服务器之后,session中没有这个字段了,但是还是登录了,这就使得有的场景中得到用户信息 解析一下发
SpringMVC5.2整合spring-session-data-redis2.2
最新发布
11-15
Spring MVC 5.2 版本整合 Spring Session with Redis 2.2 主要是为了在分布式环境中利用缓存技术来管理和同步用户的会话数据,使得应用程序可以在多个节点上同时提供服务。下面是基本步骤: 1. 添加依赖:在你的 Maven 或 Gradle 项目中添加以下依赖: ```xml <!-- Maven --> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>2.2.x</version> </dependency> <!-- Gradle --> implementation 'org.springframework.session:spring-session-data-redis:2.2.x' ``` 2. 配置 Redis:在 `application.properties` 或 `application.yml` 中配置 Redis 连接信息: ```properties spring.redis.host=localhost spring.redis.port=6379 spring.redis.password=<your_redis_password> ``` 3. 创建 RedisTemplate:创建并配置 RedisTemplate,用于操作 Redis 数据库。 ```java @Bean public RedisTemplate<String, HttpSession> sessionRedisTemplate(RedisConnectionFactory factory) { RedisTemplate<String, HttpSession> template = new RedisOperationsSessionRepository<>(factory); Jackson2JsonRedisSerializer<Object> jsonSerializer = new Jackson2JsonRedisSerializer<>(Object.class); ObjectMapper om = new ObjectMapper(); om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY); om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); jsonSerializer.setObjectMapper(om); template.setValueSerializer(jsonSerializer); template.setKeySerializer(new StringRedisSerializer()); return template; } ``` 4. 配置 Spring Session:在 Spring 容器中开启 session 管理。 ```java @Configuration @EnableWebMvc @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private HttpSessionEventPublisher publisher; @Bean public HttpSessionStrategy httpSessionStrategy() { return new DefaultSavedRequestAwareSessionStrategy(); } @Override protected void configure(HttpSecurity http) throws Exception { http .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .formLogin() .disable() .and() .logout() .logoutSuccessUrl("/") .deleteCookies("JSESSIONID") .invalidateHttpSession(true); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 如果有需要,可以在此处配置认证机制 } @Bean public CacheManager cacheManager(RedisConnectionFactory factory) { SimpleCacheManager manager = new SimpleCacheManager(); manager.setCacheNames(Arrays.asList("sessions")); RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig() .entryTtl(Duration.ofMinutes(15)) .serializeKeysWith(RedisSerializationSupport.STRING) .serializeValuesWith(jsonSerializer); manager.setCacheDefaults(config); return manager; } } ``` 5. 启用 Spring Session 支持:在 `WebMvcConfigurer` 接口中配置 session 存储: ```java @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Override public void extendMessageConverters(List<HttpMessageConverter<?>> converters) { // 如果你想支持序列化/反序列化 JSON,这里添加一个 Jackson2JsonHttpMessageConverter } } ``` 完成上述步骤后,Spring MVC 5.2 就已经整合了 Spring Session with Redis 2.2,会话数据会被存储在 Redis 中,提供分布式场景下的会话管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值