监控会话过期

最新推荐文章于 2023-04-20 17:43:29 发布
最新推荐文章于 2023-04-20 17:43:29 发布
阅读量4.6k 收藏 2
点赞数 1
分类专栏: SSH java 文章标签: authentication bean session security class 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangwei22/article/details/6137070
版权
java 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
SSH
3 篇文章 0 订阅
订阅专栏

第 49 章 监控会话过期

此功能来自于官方JIRA,http://jira.springsource.org/browse/SEC-1142 ,如果这个功能被官方接受,应该可以在Spring Security-3.0.0.M2中提供。

49.1. 实现原理

官方给出的思路是根据HttpServletRequest的getRequestedSessionId()和isRequestedSessionIdValid()来判断当前用户的会话是否过期。

马 上想到的就是直接通过isRequestedSessionIdValid()来判断当前用户的会话是否有效,如果会话失效就提示会话过期,并跳转到相应 的页面。可惜这样做的结果是无法区分用户第一次访问系统与真实的会话过期,造成的结果是用户每次登陆系统首先看到的都是会话过期的的提示。

下 一步考虑将getRequestedSessionId()与isRequestedSessionIdValid()结合使用,先通过 getRequestedSessionId()判断用户当前的请求是否带有jsessionid,如果请求中并没有包含jsessionid,说明用户 是第一次访问系统,不需要理会。如果请求中包含了jsessionid,再去判断对应的会话是否失效,这样就可以区分用户第一次访问和会话失效两种情况。

这 种方式还存在的一个漏洞,就是当已经登录的用户使用logout从系统中注销时,LogoutFilter中只会执行 session.invalidate()将会话销毁,浏览器的cookie中依然保存着已销毁的session的jsessionid,这样就造成用户 一旦进行注销就会提示会话已失效。为了解决这个问题,我们特地编写了一个LogoutHandler用于在注销时删除浏览器端cookie中的 jsessionid。

49.2. 代码实现

最主要的代码就是SessionTimeoutFilter这个过滤器,它负责判断当前用户的状态,如果当前用户不是第一次访问系统,并且他的请求所对应的会话已经失效了,那么就发出会话已失效的信息。

public class SessionTimeoutFilter extends SpringSecurityFilter {
    private PortResolver portResolver = new PortResolverImpl();
    private String sessionTimeoutUrl;

    public void doFilterHttp(HttpServletRequest request,
        HttpServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        if (this.isSessionExpired(request)) {
            this.processRequest(request, response);
        } else {
            chain.doFilter(request, response);
        }
    }

    protected String determineSessionTimeoutUrl(HttpServletRequest request) {
        return (sessionTimeoutUrl != null) ? sessionTimeoutUrl
                                           : "/spring_security_login?login_error";
    }

    protected boolean isSessionExpired(HttpServletRequest request) {
        return (request.getRequestedSessionId() != null)
        && !request.isRequestedSessionIdValid();
    }

    protected void processRequest(HttpServletRequest request,
        HttpServletResponse response) throws IOException {
        HttpSession session = request.getSession();
        SavedRequest savedRequest = new SavedRequest(request, portResolver);
        session.setAttribute(AbstractProcessingFilter.SPRING_SECURITY_LAST_EXCEPTION_KEY,
            new SessionTimeoutException());
        session.setAttribute(AbstractProcessingFilter.SPRING_SECURITY_SAVED_REQUEST_KEY,
            savedRequest);

        String targetUrl = determineSessionTimeoutUrl(request);

        targetUrl = request.getContextPath() + targetUrl;
        response.sendRedirect(response.encodeRedirectURL(targetUrl));
    }
}

为了演示方便,我们设置在用户会话失效时跳转到默认的登录页面,并自定义了一个SessionTimeoutException异常,它负责在默认的登录页面中显示会话失效的提示信息。

对应配置如下所示,为了避免其他浏览器新建session,我们要将SessionTimeoutException放在过滤器链的最前面。

<beans:bean id="sessionTimeoutFilter" class="com.family168.springsecuritybook.ch217.SessionTimeoutFilter">
    <custom-filter before="CONCURRENT_SESSION_FILTER" />
</beans:bean>

下一步需要处理注销时浏览器cookie中的jsessionid,我们创建一个SessionIdLogoutHandler用于清空cookie中的jsessionid。

public class SessionIdLogoutHandler implements LogoutHandler {
    public void logout(HttpServletRequest request,
        HttpServletResponse response, Authentication authentication) {
        Cookie cookie = new Cookie("JSESSIONID", null);
        cookie.setMaxAge(0);
        cookie.setPath(StringUtils.hasLength(request.getContextPath())
            ? request.getContextPath() : "/");

        response.addCookie(cookie);
    }
}

配置的时候稍微有一点儿麻烦,因为namespace不支持添加自定义的LogoutHandler,所以只好将整个LogoutFilter的配置都提取出来重新配置一遍,再覆盖原来的<logout/>。

<beans:bean id="logoutFilter" class="org.springframework.security.ui.logout.LogoutFilter">
    <custom-filter before="LOGOUT_FILTER" />
    <beans:constructor-arg index="0" value="/"/>
    <beans:constructor-arg index="1">
        <beans:list>
            <beans:bean class="org.springframework.security.ui.logout.SecurityContextLogoutHandler"/>
            <beans:ref bean="_rememberMeServices"/>
            <beans:bean class="com.family168.springsecuritybook.ch217.SessionIdLogoutHandler"/>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>

这样就实现了在用户会话失效时提示对应的信息,我们可以启动ch217测试一下实际的效果。

首先我们使用user/user或admin/admin登录系统,然后静待1分钟,为了演示方便我们在web.xml中将session失效时间设置为1分钟,只要登陆后1分钟以上不进行操作,session就会自动失效。如下图所示:

会话失效

图 49.1. 会话失效


49.3. 目前实现的缺陷

最 大的缺陷就是不支持remember-me,因为SessionTimeoutFilter位于所有过滤器的前面,如果用户设置了RememberMe, 他在遇到会话超时的情况下依然会被SessionTimeoutFilter拦截住,应该在目前实现的基础上添加对RememberMe的判断才好。

为求简便,我们这里就不做更多讨论了,请朋友们自行发挥。

wangwei22
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat+Redis集群实现session会话共享
11-07
5. **安全性与性能优化**:在实际部署中,还需要考虑session过期策略、负载均衡下的session stickiness(粘滞会话)以及Redis的安全设置,如使用SSL连接、限制访问权限等。 6. **监控与故障排查**:为了保证服务的...
HttpServletRequest的方法
weixin_33860737的博客
02-07 173
定义编辑 public interface HttpServletRequest extends ServletRequest; 用来处理一个对Servlet的HTTP格式的请求信息。 2方法编辑 getAuthType public String getAuthType(); 返回这个请求的身份验证模式。 getCookies public...
Servlet_10th_Session
weqpo的博客
04-21 462
Session是服务器端用来大量保存客户端信息和状态的机制。
JSP&Servlet--Servlet(2)
花开不合阳春暮
02-04 240
1.处理Cookie HTTP协议的无连接性要求出现一种保存C/S间状态的机制 HTTP的无连接性(客户端的浏览器可以通过输入网址连接网站服务器,当客户端从服务器上拿到内容之后,该连接就断开了,例如购物网站再一个网址选择东西之后,服务器将信息反馈给客户端,当去另一个页面结账时就会不知道你买了什么),解决办法:可以利用Cookie先将信息保存在客户端,只允许写文本文档,客户端可以阻止服务器写内容,
js实时监测session值是否过期过期后退回登陆界面
木小南瓜的博客
11-22 1589
在A_项目需要访问B_项目中的某一个服务JSP,需要与B_服务器建立一个session会话(即生成一个sessionID),如果A_项目与B_项目属于不同的两个域或者是cookie所属不同层级,这个新生成的session和A_项目自身的session会话互不干扰。假如A_和B_项目使用了同一个域,故其cookie所在层级一样,如果两个项目都是用默认的sessionCookieName的话就会导致session的相互覆盖致某一方session丢失(过期);(网页默认的Session值有效期为30min)
JavaMelody开源系统性能监控
07-10
6. **会话监控**:跟踪会话的创建、修改、过期和销毁,帮助了解会话管理是否合理。 7. **邮件服务监控**:如果应用有邮件发送功能,JavaMelody可以记录邮件发送的详情,如发送成功、失败等。 8. **自定义监控**:...
会话数据重复的Node.Js问题
04-04
7. **监控与调试**:利用如Prometheus、Grafana等工具进行监控,及时发现和诊断会话相关的问题。 综上所述,处理会话数据重复问题需要对Node.js、Express.js、Passport.js和Redis有深入理解,并且要熟练掌握并发...
远程集中监控管理系统.doc
06-27
远程集中监控管理系统是一种基于互联网技术的解决方案,它允许管理员在不同地理位置通过网络对各种设备、系统或服务进行实时监控和管理。这样的系统广泛应用于企业数据中心、工业自动化、智能家居、安防监控等多个...
zookeeper-session:使用 zookeeper 管理会话而不是 memcached
07-09
2. **会话信息存储**:将会话的相关信息(如会话ID、用户信息、会话过期时间等)序列化后存储在会话节点的数据部分。 3. **监控会话节点**:客户端注册会话节点的 watch,以便在节点消失时收到通知。这可以用来检测...
【Web】关于Session过期/失效的理解
日薪灬越亿的博客
07-03 6228
一直好奇关于Session的过期,一种说法是关闭浏览器即Session失效,另一种说法是可以设置Session的过期时间,时间到了自动过期。 这两种说法到底是怎么回事?Session过期跟Cookie过期又有什么关系? 网上搜了几篇相关文章: http://www.cnblogs.com/Vae1990Silence/p/4630392.html http://blog.csdn.net/quiet_girl/article/details/50580095 https://www.cisco
request.getRequestedSessionId()与session.getId()的异同
最新发布
qq_52810376的博客
04-20 1434
同理我们可以通过删除JSESSIONID验证,每次删除JSESSIONID的cookie再进行访问时,在session.getid()之前调用request.getRequestedSessionId()获取到的值一定为null。如果未删除相应cookie,重启服务器,第一次调用request.getRequestedSessionId()时,所获取到的值,为上一次(即重启服务之前的最后一次)session.getid()的值。这里可以分成两种情况。如果我们是第一次创建session。
【岁月留声(Java)】getRequestedSessionId() vs getSession().getId()
Kida 的技术小屋(CSDN 版)
03-22 1352
由于这个是定性的内容所以直接上结论。 HttpServletRequest.getRequestedSessionId()获取的是来自于客户端的指定会话id,可能该id在cookie里面。 HttpServletRequest.getSession().getId()方法获取的是服务器会话id,在执行getId方法时如果getSession不存在的话就创建一个。 ...
HttpServletRequest-request.getRequestedSessionId()和request.getSession().getId()的区分
飞翔的肥仔
04-19 1万+
今天在做一个权限登录的时候,发现有一个很类似,但是还是很区别的。今天好好的学习一下。 首先看一下这个介绍session的文章,复习一下。 JavaWeb学习总结(十二)——Session request.getSession().getId() 服务端创建,一个浏览器独占一个session对象(默认情况下), HttpServletRequest中有: HttpSession getSess...
Request、 ServletRequest、HttpServletRequest的区别与联系
weixin_45872600的博客
07-22 7356
1.HttpServletRequest和ServletRequest都是接口,HttpServletRequest继承ServletRequest,只是HttpServletRequest比ServletRequset多了一些http协议的方法,如getHeader()、getMethod()等 2.Request是在jsp中使用的,其实只是规范中的一个名称而已。它是一个对象,但不是有SUN提供的,这是由各个不同的Servlet提供商编写的,SUN只规定了这个类要实现HttpServletR...
Servlet 会话管理详解(HttpSession、Token和Cookie)
swadian2008的博客
03-01 2599
会话(session)是指用户与服务器之间的一种交互模式,也称为服务器端会话(server-side session)或会话状态(session state)。在 Web 开发中,会话可以在用户登录网站时创建,并在用户退出或超时时结束。在会话期间,服务器可以在不同的页面之间共享数据,并跟踪用户的行为。会话的实现通常使用 session ID 来标识一个会话
sessionId在每次request请求时变化的问题处理
热门推荐
daimondaimon的专栏
12-30 1万+
前言 众所周知,http协义的请求都是无状态的,所以服务端要记录用户的状态时,就需要用某种机制来识别具体的用户。而这个机制就是Session,Session是服务端保存的一个数据结构,用于跟踪用户状态的。我们一般用于存储用户的登录信息,也用其生成SessionId,存放在cookies上 问题 我们在开发过程中,因需要验证登录时使用的验证码,会在服务端生成一个SessionId与当时请求得到的验证码,放到redis上,再把SessionId返回存放到客户端上,作为该用户的一个凭证。...
关于Session过期和失效
m0_43450981的博客
03-15 2705
关于Session过期和失效 1、session类似于map是键值对的形式存在的。通过session.getAttribute(“name”);获取对应的name参数信息。 2、session的过期时间是从session不活动的时候开始计算,如果session一直活动,session就总不会过期,从该Session未被访问,开始计时; 一旦Session被访问,计时清0; 3、设置session的失效时间。 Session的默认失效时间是30分钟。 判断session是否有效 1、isRequestedSe
tomcat对sessionId的处理分析
weixin_33713707的博客
07-29 272
tomcat 7对sessionId的处理: 首先解析request请求中的sessionID: 从AjpProcessor.java的process(SocketWrapper<Socket> socket)调用CoyoteAdapter.process里面有的postParseRequest(org.apache.coyote.Request req,Reques...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值