Security源码分析九:Spring Security Session管理

最新推荐文章于 2024-11-12 10:56:30 发布
最新推荐文章于 2024-11-12 10:56:30 发布
阅读量103 收藏
点赞数
文章标签: 数据库 java python
原文链接:https://my.oschina.net/merryyou/blog/1609758
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。

Session管理

本文主要描述在 Spring SecuritySession的以下三种管理,

  1. Session超时时间
  2. Session的并发策略
  3. 集群环境Session处理

Session超时

  1. application.yml配置超时时间
server:
  port: 80
  session:
    timeout: 60
  1. 配置MerryyouSecurityConfig
http.
......
	       .sessionManagement()
            .invalidSessionUrl("/session/invalid")//session失效跳转的链接
.....
  1. Cotroller/session/invalid
@GetMapping("/session/invalid")
    @ResponseStatus(code = HttpStatus.UNAUTHORIZED)
    public Result<String> sessionInvalid() {
        return ResultUtil.error(HttpStatus.UNAUTHORIZED.value(), "session失效");
    }

效果如下: https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/Spring-Security-sessionTimeout.gif

Session的并发策略

  1. 配置MerryyouSecurityConfig
http.
......
	       .maximumSessions(1)//最大session并发数量1
           .maxSessionsPreventsLogin(false)//false之后登录踢掉之前登录,true则不允许之后登录
           .expiredSessionStrategy(new MerryyounExpiredSessionStrategy())//登录被踢掉时的自定义操作
.....
  1. MerryyounExpiredSessionStrategy
@Slf4j
public class MerryyounExpiredSessionStrategy implements SessionInformationExpiredStrategy {
    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent eventØ) throws IOException, ServletException {
        eventØ.getResponse().setContentType("application/json;charset=UTF-8");
        eventØ.getResponse().getWriter().write("并发登录!");
    }
}

效果如下: https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/Spring-Security-session01.gif

maxSessionsPreventsLogin(true)可参考:Spring-Securitysecurity-oauth2

集群环境Session处理

  1. 添加spring-session-data-redis依赖
<dependency>
			<groupId>org.springframework.session</groupId>
			<artifactId>spring-session-data-redis</artifactId>
			<version>1.3.1.RELEASE</version>
		</dependency>
  1. 配置Spring-session存储策略
spring:
  redis:
    host: localhost
    port: 6379
  session:
    store-type: redis
  1. 测试80808081端口分别启动项目
java -jar spring-security.jar --server.port=8080
java -jar spring-security.jar --server.port=8081

效果如下:

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/Spring-Security-session02.gif

关于更多Spring Session可参考:程序猿DD

代码下载

从我的 github 中下载,https://github.com/longfeizheng/logback

转载于:https://my.oschina.net/merryyou/blog/1609758

weixin_33937499
关注
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库
02-16
我们将基于给定的标签——SpringBoot、SpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
Spring Security源码分析Spring Security Session管理
郑龙飞
01-19 3334
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将
Spring Security源码解析(一.基础知识点与流程介绍)
qq_30905661的博客
07-17 8149
目录 一、Authentication,AuthenticationManager,AuthenticationProvider ​二、UserDetails,UserDetailsService,UserCache,User 三、SecurityContext,SecurityContextHolder 四、WebSecurityConfigurerAdapter 五、总结 首先回想...
Spring Security3源码分析-SessionManagementFilter分析-上
Dead_Knight的专栏
05-08 264
SessionManagementFilter过滤器对应的类路径为 org.springframework.security.web.session.SessionManagementFilter 这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果不想使用这个过滤...
Spring Security3源码分析(13)-SessionManagementFilter分析-上
Benjamin
09-11 2092
SessionManagementFilter过滤器对应的类路径为  org.springframework.security.web.session.SessionManagementFilter  这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果不想使用这个过
springsecurity实现原理_Spring Session 原理分析
weixin_39911056的博客
11-23 649
为什么要分布式 Session 呢?请参考下图:当后台集群部署时,单机的 Session 维护就会出现问题。假设登录的认证授权发生在 Tomcat A 服务器上, Tomcat A 在本地存储了用户 Session ,并签发认证令牌,用于验证用户身份。下次请求可能分发给 Tomcat B 服务器,而 Tomcat B 并没有用户 Session ,用户携带的认证令牌无效,得到 401 。除了 JW...
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和...
【完整源码+数据库SpringBoot集成Spring Security登录管理 添加 session 共享
11-05
我们将基于给定的标签——SpringBoot、SpringSecurity、mysql、session共享和idea来构建一个完整的示例。 SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置的...
SpringSecurity的配套示例源码
05-10
本示例源码旨在帮助开发者深入理解并学习如何在实际项目中应用SpringSecurity。 1. **SpringSecurity核心概念** - **身份验证(Authentication)**:确认用户的身份,通常通过用户名和密码进行。 - **授权...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
sessionSpringSecurity中如何用——源码分析
helloworld_ddd的博客
04-07 753
登录写入session 在执行登录动作时,在successhandler中,当有流开启对响应头做出修改时就会触发一个onResponseCommit方法,里面调用了HttpSessionSecurityContextRepository.saveContent的方法对session写入或更新 @Override protected void saveContext(SecurityContext...
Spring Security 源码分析Spring Security Session 管理
weixin_42073629的博客
06-02 263
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。 1. Session管理 本文.
从零开始java安全权限框架篇(五):security存储session源码解读
qq_35755863的博客
09-03 571
目录 一:session共享 二:security单体应用的session源码 1.配置中的session管理 2.SessionRegistry接口方法 3.SessionRegistry的默认实现方法SessionRegistryImpl (1)先看创意一个新的session的实现方法吧。 (2)获取到所有用户的实现 (3)删除session的实现 (4)session...
07 Oracle数据库恢复基础解析:从检查点到归档,一步步构建数据安全防线
超哥的博客
11-09 1274
检查点是Oracle数据库中的一个特殊事件,它的作用是将内存中的数据块同步到磁盘上,以确保数据的持久性。简单来说,就是让数据库“记住”到目前为止所有的更改。Redo日志是Oracle用来记录所有数据更改的日志文件。每次对数据库进行修改时,都会先写入Redo日志,然后再写入数据文件。这样,即使系统崩溃,也能通过Redo日志恢复数据。当数据库运行在归档模式下时,一旦当前的Redo日志文件满,Oracle会将其复制到一个安全的存储位置,并标记为已归档。这样可以长期保留Redo日志,便于历史数据的恢复。
随堂测微信小程序ssm+论文源码调试讲解
u014445459的博客
11-11 918
微信小程序,简称小程序,英文名Mini Program,是一种全新的连接用户与服务的方式,可以快速访问、快速传播,并具有良好的使用体验。小程序的主要开发语言是JavaScript,它与普通web的开发有很多相似之处。小程序和普通网页开发并不是相同的东西,是有差异的。网页开发的渲染线程和脚本线程是互斥的,而在小程序中,确实分开的,分别在不同的线程之中运行。
数据库和云服务器哪个便宜一些?
最新发布
petaexpress的博客
11-12 220
云服务器的价格区间相对更广泛,因为用户可以根据实际需求选择不同配置和性能的服务器。而云数据库的价格则更多地依赖于数据库类型和规格。在相同配置下,云服务器的价格可能会略低于云数据库,但这并不是绝对的,因为两者都有不同的优惠政策和计费方式。
Java基于小程序公考学习平台的设计与实现(附源码,文档)
chusheng1840的博客
11-09 1252
Java基于小程序公考学习平台的设计与实现,小程序公考学习平台使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理小程序公考学习平台信息,查看小程序公考学习平台信息,管理小程序公考学习平台。总之,小程序公考学习平台集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。关键词:小程序公考学习平台;Java语言;Mysql。
SMB共享文件夹-Spring项目数据与服务分离基础配置
一只菜鸟夹
11-11 439
某项目需要将数据与服务分离部署在两个服务器,涉及到文件加密访问以及Mysql、ElasticSearch、Redis等数据的互通。下面是自己部署的步骤。
springboot使用aop防御用户重复请求
干货分享,希望帮助读者不断提升自己的编程技能,解决工作中实际问题,并激发对技术的无限热爱。
11-09 646
使用springboot,aop技术防御用户重复请求,减少无效请求,可以更有效地分配资源,提高资源利用率。
Spring Security 3.0.1中文教程:权限管理与修复
Spring Security的核心模块包括`spring-security-core.jar`, `spring-security-web.jar`, `spring-security-config.jar`, `spring-security-ldap.jar`, `spring-security-acl.jar`, `spring-security-cas-client.jar...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值