Spring Boot整合Security系列步骤及问题排查(十四)—— Session管理及退出

最新推荐文章于 2024-07-31 10:27:53 发布
最新推荐文章于 2024-07-31 10:27:53 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: Java笔记 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012382791/article/details/105285147
版权
本文详述了在Spring Boot中整合Spring Security进行Session管理的实践,包括设置过期时间、多端登录管理和退出操作。退出时,不仅使当前Session失效,清除remember-me记录,还清空SecurityContext,并重定向到登录页面。同时,通过实现LogoutSuccessHandler、InvalidSessionStrategy和SessionInformationExpiredStrategy接口,自定义了退出和会话过期的处理逻辑。在配置中,增加了Session属性配置和登录成功页面的退出链接,最后介绍了问题排查的要点。
摘要由CSDN通过智能技术生成

过期管理

1.直接在配置文件中配置:

server:
  servlet:
    session:
      # 单位(s),默认30分钟,最少1分钟
      timeout: 600
      # session集群存储配置,如REDIS
#      store-type: REDIS

多端登录管理和退出

退出处理:
使当前session失效
清除与当前用户相关的remember-me记录
清空当前的SecurityContext
重定向到登录页

2.更新WebSecurityConfig:

// session管理
@Autowired
private InvalidSessionStrategy invalidSessionStrategy;

@Autowired
private SessionInformationExpiredStrategy sessionInformationExpiredStrategy;

@Autowired
private LogoutSuccessHandler logoutSuccessHandler;

...

// session管理
.sessionManagement()
// 过期处理
.invalidSessionStrategy(invalidSessionStrategy)
// 同时在线数量
.maximumSessions(securityProperties.getBrowser().getSession().getMaximumSessions())
// 是否阻止登录
.maxSessionsPreventsLogin(securityProperties.getBrowser().getSession().isMaxSessionsPreventsLogin())
// 多端登录提示
.expiredSessionStrategy(sessionInformationExpiredStrategy)
.and()
.and()
// 退出
.logout()
// 触发退出操作的url
.logoutUrl("/signOut")
// .logoutSuccessUrl("demoLogout.html")
// 与logoutSuccessUrl只能调用其中一个
.logoutSuccessHandler(logoutSuccessHandler)
// 删除cookie
.deleteCookies("JSESSIONID")
.and()
// 对任何请求授权
.authorizeRequests()
// 匹配页面授权所有权限
.antMatchers(
        // API
        "/swagger-ui.html",
        // 默认登录页
        SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
        // 自定义登录页(demoLogin)
        securityProperties.getBrowser().getLoginPage(),
        // 验证码
        SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX + "/*",
        securityProperties.getBrowser().getSignUpPage(),
        securityProperties.getBrowser().getSession().getSessionInvalidUrl(),
        securityProperties.getBrowser().getLogoutPage(),
        "/user/regist")
.permitAll()

实现LogoutSuccessHandler:

/**
 * 默认的退出成功处理器,如果设置了demo.security.browser.getLogoutPage,则跳到配置的地址上,
 * 如果没配置,则返回json格式的响应。
 *
 * @author zhaohaibin
 */
@Slf4j
public class DemoLogoutSuccessHandler implements</
最低0.47元/天 解锁文章
是是非非iiee
关注
专栏目录
Spring Boot整合Security系列步骤问题排查(五)—— 自定义图形验证码校验
成长笔记
04-02 434
1.新建图形验证码实体类: /** * 图片验证码 * * @author zhaohaibin */ @Data public class ImageCode { private BufferedImage image; private String code; private LocalDateTime expireTime; /** * ...
Security禁用session
Xjzzon的博客
10-20 6844
JWT简介 一个JWT实际上是由三个部分组成:header(头部)、payload(载荷)和signature(签名)。 Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是这样子: { "alg": "HS256", "typ": "JWT" } 上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS...
Spring boot + thymeleaf + Security会话过期返回登录界面片段之解决方案
sun1021873926的博客
12-18 5285
解决方案的主导思想是:检测当会话过期时,判断是否为ajax请求,若是ajax请求,则将该url请求结果的状态置为401,并且不保存此次访问请求的url,当前端检测到访问结果为401时,跳转至登录界面,用户可顺利进行账户密码的输入并完成登录。 在此主导思想下将会遇到以下几个问题: 1.前端ajax请求完成后的统一处理问题; 2.后端会话过期的检测问题; 3.对封装后的ajax进行请求完成后的统一处理问题; 4.对临时添加的界面元素执行ajax请求的统一处理问题; 5.在spring boot框架下
Spring超出最大会话数(Max sessions limit reached: 10000)
最新发布
chen417980762的博客
07-31 347
会话超出了最大会话限制数10000 java.lang.IllegalStateException: Max sessions limit reached: 10000 at org.springframework.web.server.session.InMemoryWebSessionStore$InMemoryWebSession.checkMaxSessionsLimit(InMemoryWebSessionStore.java:276)
Spring Boot开发登录、退出功能
hutianle的博客
08-11 3209
① 访问登录页面:点击顶部区域内的链接,打开登录页面。② 登录:验证账号、密码、验证码;成功时,生成登录凭证,发送给客户端;失败时,跳转回登录页。③ 退出:将登录凭证修改为失效状态;跳转至网站首页。④ 忘记密码: 点击登录页面上的“忘记密码”链接,打开忘记密码页面;在表单中输入注册的邮箱,点击获取验证码按钮,服务器为该邮箱发送一份验证码;在表单中填写收到的验证码及新密码,点击重置密码,服务器对密码进行修改。...
SpringBoot退出登录,使session失效
z2431435的博客
04-07 1388
@RequestMapping("/logout") public String logout(HttpSession session){ session.invalidate(); return "/signup"; }
spring boot security 配置session失效
gm371200587的博客
05-22 6516
1.启动类文件夹中加入一个filter package com.mozi.hip.empi.web.config;   import java.io.IOException;   import javax.servlet.FilterChain; import javax.servlet.ServletException; import j...
Spring boot 集成Spring Security过程中的出现的关于Session scope的异常排查及解决方案
weixin_42173397的博客
08-30 8559
背景介绍 最近做的一个项目,其一需要用到Spring 的oauth认证功能, 其二需要对spring 的ContextRefreshedEvent 这个事件进行监听,实现一部分自定义注解的功能(具体功能不作赘述),本来以为毫不相关的两个功能,却出现了一些意料之外的异常。下面是一些具体的异常排查过程以及最终的解决方案,若有部分理解错误或描述错误,欢迎指正(自创文章,如需转载请说明出处)。 场...
SpringCloud Gateway整合Spring Security Webflux的关键点(痛点解析),及示例项目
tiancao222的博客
02-18 1万+
最近公司项目需要用到后端的认证、授权,且公司项目目前是基于SpringCloud Gateway的,所以想到都是一家的产品就决定使用Spring Security了。 但是在整合过程中,经历了种种磨难,所以把最终的整合关键点列出来,让需要的读者不用再碰的头破血流了。。。 网上也有基于SpringCloud和Spring Security整合的方案,关键在于我们公司的项目使用的是Gateway,...
【详细】Spring Boot框架整合Spring Security实现安全访问控制
热门推荐
Canon_in_D_Major的博客
03-26 3万+
一、 前言:项目舍弃了原本的SSH框架,改用Spring Boot框架,并且要引入Spring Security为系统提供安全访问控制解决方案,接下来记录一下这两天在Spring Boot中引入Spring Security 的过程。主要参考了以下项目、博客和手册:(目前最新的Spring Security版本为5.0.4,我使用的是5.0.3,前三个链接中用的应该都是Spring Securit...
springbootsecurity 动态权限修改session立即失效(六)
qq_40588618的博客
05-09 1363
https://blog.csdn.net/u012373815/article/details/71436718
SpringSecurity(05)——会话管理
peng_gx的博客
01-15 1330
SpringSecurity会话管理
springboot/springsecuritysession超时时间设置
nrsc
09-21 2万+
文章目录1 springboot项目session超时时间设置2 springsecurity下如何通知用户session超时2.1 在配置文件BrowserSecurityConfig里加上session超时跳向的url2.2 在配置文件BrowserSecurityConfig里为指定session超时跳向的url授权2.3 写一个controller方法来处理session超时的提示逻辑2....
SpringBoot使用SpringSecurity(三)_登录及退出管理
DreamsArchitects的博客
11-11 987
学习SpringSecurity 第三集一、自定义认证成功、失败处理CustomAuthenticationSuccessHandlerCustomAuthenticationFailureHandlerSpringSecurityConfig配置类测试二、退出登录SpringSecurityConfig配置类LogoutSuccessHandler微信公众号 学习SpringSecurity 第一集 学习SpringSecurity 第二集 一、自定义认证成功、失败处理 在SpringSecurityCo
SpringBoot集成SpringSecurity(四)前后端分离、Session会话控制
xinshengdelei的专栏
03-31 2504
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码中通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
Springf Security】入门篇-设置session超时和阻止并发登录
qq_42980244的博客
08-19 1009
如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 设置session超时时间 server: servlet: session: timeout: 60 #设置超时时间60s 设置session超时之后跳转 http.sessionManagement().invalidSessionUrl("/session/invalid") controller上加个方法,url对应/session/invalid 测试如下: 2.同一
springboot+springsecurity session配置管理
u014295903的博客
05-09 869
springboot+springsecurity session配置管理一、前述二、场景2.1、默认会话到期处理2.2、达到会话限制数量踢掉之前登陆用户2.3、达到会话限制数量不允许新用户登陆三、总结 一、前述 在实际的使用过程中,用户会话的有效期以及管理也是很重要的部分。不同需求管理方式也不一样。本文就是根据我在项目中的使用而总结的经验,可能并不全面,但会以最直接的方式展示,也方便快速上手。同时也展示出前后端分离前后的配置,差别仅是路径和拦截而已。其中返回json封装请看我的其他帖子吧。 首先,介绍几种
利用session控制 长时间未操作自动退出登录
05-07 3240
做项目时,一般会考虑到长时间未进行操作,能够自动退出登录。下边就利用session来实现这一功能 //采用H5 sessionStorage,保存登录信息的公共js,不采用jquery //目前仅为供给平台使用 var _EXPIRE_TIME=30*60*1000;//三十分钟没有操作,则注销 var _interval_handler=-1; (function () ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值