Spring Security 控制Session详情

最新推荐文章于 2024-05-23 09:00:00 发布
最新推荐文章于 2024-05-23 09:00:00 发布
阅读量953 收藏 1
点赞数 2
分类专栏: Java Spring 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39515823/article/details/122052794
版权
Java 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
Spring
8 篇文章 0 订阅
订阅专栏

Spring Security 控制Session详情

控制什么时候创建Session

Spring Session中Session的创建机制:

机制描述
always如果没有session存在就创建一个
ifRequired如果需要就创建一个Session(默认)
neverSpring Security将不会创建Session,但是如果应用中其他地方创建了Session,那么Spring Security将会使用它。
statelessSpring Security将绝对不会创建Session

Java 配置

@Override
protected void configure(HttpSecurity http) throws Exception {
    // session 会话管理
    http.sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
}

public enum SessionCreationPolicy {
   /** Always create an {@link HttpSession} */
   ALWAYS,
   /**
    * Spring Security will never create an {@link HttpSession}, but will use the
    * {@link HttpSession} if it already exists
    */
   NEVER,
   /** Spring Security will only create an {@link HttpSession} if required */
   IF_REQUIRED,
   /**
    * Spring Security will never create an {@link HttpSession} and it will never use it
    * to obtain the {@link SecurityContext}
    */
   STATELESS
}

上边的配置只能控制Spring Security对session的创建,而不是控制整个应用Session的创建。

运行机制

在执行授权过程之前,Spring security将会运行一个filter(SecurityContextPersistenceFilter)来存储管理不同请求之间的context。这个Context将会有更具体的策略来进行存储,默认情况下HttpSessionSecurityContextRepository负责,它使用的是HttpSession。

最严格的创建条件下,将会使用NullSecurityContextRepository

并发Session的控制

并发Session指的是,已经授权过的用户再次进行授权。

并发Session的处理有两种方式:

  1. 使用新创建的Session,而丢弃旧的Session;
  2. 是多个Session同时存在;

通过Java Configuration来开启对并发Session的控制

@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
  return new HttpSessionEventPublisher();
}

这对于确保在销毁session时通知Spring Security注册中心是至关重要的。

允许一个用户有多个session是非常必要的,

@Override
public void configure(HttpSecurity http) throws Exception {
  http.sessionManagement().maximumSessions(2);
}

Session过期设置

Spring Boot的配置文件中配置,Session的超时时间

server.servlet.session.timeout=10

参考文章:

  1. Spring Security控制Session详情
超人@不会飞
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringBoot-----Security安全机制的sessions配置策略
wendy专栏
11-03 8654
1、配置security.sessions策略 #安全配置 security: sessions: stateless basic: enabled: true #启用SpringSecurity的安全配置 user: name: wendy #认证用户名 password: wendy1 #认证密码 role: #授权 - USER 2...
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
Spring Security源码分析九:Spring Security Session管理
最新发布
Karka_的博客
05-23 796
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Security框架中禁用Session
test1372965955的博客
05-06 980
【代码】在Spring Security框架中禁用Session
springsecurity实现原理_Spring Session 原理分析
weixin_39911056的博客
11-23 633
为什么要分布式 Session 呢?请参考下图:当后台集群部署时,单机的 Session 维护就会出现问题。假设登录的认证授权发生在 Tomcat A 服务器上, Tomcat A 在本地存储了用户 Session ,并签发认证令牌,用于验证用户身份。下次请求可能分发给 Tomcat B 服务器,而 Tomcat B 并没有用户 Session ,用户携带的认证令牌无效,得到 401 。除了 JW...
Spring Security 梳理 - session
weixin_30724853的博客
12-01 170
Spring Security默认的行为是每个登录成功的用户会新建一个Session。这也就是下面的配置的效果: <http create-session="ifRequired">...</http> 这貌似没有问题,但其实对大规模的网站是致命的。用户越多,新建的session越多,最后的结果是JVM内存耗尽,你的web服务器彻底挂了。有session的另外一...
使用Spring Security控制会话的方法
08-26
使用 Spring Security 控制会话的方法 Spring Security 是一个功能强大且灵活的身份验证和授权框架,它提供了多种方式来控制 HTTP 会话。本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理和...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
spring security权限控制
10-15
- **会话管理**:Spring Security还提供了会话管理功能,可以防止会话固定攻击(Session Fixation),控制会话超时,以及实现单点登录(Single Sign-On, SSO)。 通过分析"springsecuritydemo4"项目,我们可以学习...
基于java config的springSecurity 六 集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security实现会话管理
BASK2311的博客
01-12 1057
当用户通过浏览器登录成功后, 用户和系统之间便会保持一个会话(用户端会存储一个叫sessionId的属性), 通过这个会话, 系统可以确定出访问用户的身份.用户端借助sessionId去访问服务端, 根据服务端去查找相应的session会话相关信息, 以找到相应的用户身份和会话相关的功能由和接口的组合来处理, 过滤器委托该策略接口对会话进行处理, 比较典型的用法有防止会话固定攻击, 配置会话并发数等。
SpringSecurity Session管理
Curtisjia的博客
10-31 305
目录Session管理Session超时设置Session并发控制 Session管理 Session超时设置 Session超时时间也就是用户登录的有效时间。要设置Session超时时间很简单,只需要在配置文件中添加: server: servlet: session: timeout: 60 #1分钟 Session的最小有效期为60秒,也就是说即使你设置为小于60秒的值,其有效期还是为60秒 在Spring Security中配置Session管理器,并配置Session失效
Spring Security Session
yanshendeyinji的博客
10-21 251
1sesssion的创建 (1) always – 如果会话不存在,将始终创建会话 (2) ifRequired – 只有在需要时才会设立会议(默认) (3)never – 框架本身永远不会创建会话,但如果会话已经存在,它将使用会话 (4)stateless – SpringSecurity将不创建或使用任何会话 2配置 (1)xml方式 (2)java配置方式 3理解: 在执行身份验证过程之前,SpringSecurity将运行一个过滤器,负责在请求之间存储安全性上下文-安全ContextPers
Spring Security 自定义登录Session配置
CodingGoat
02-18 1979
有这样一个需求,一个账号只能在一个客户端浏览器上登录,如果同样的账号在别的客户端浏览器上登录的话,之前的登录需要被踢下去
我的开源:SpringSecurity分布式session与url授权验证
陈海龙的格物之路
09-14 258
springsecurity通过配置实现自定义扩展,例如实现分布式session、url授权验证等。来吧,一起看看怎么玩security
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1712
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
SpringCloud-无状态Session配置方法一
wendy专栏
12-04 5488
1、需求 rest客户端访问rest服务端默认状态的配置策略是:无状态的; 假如默认配置策略不是无状态配置,则需要配置为无状态; 若不配置无状态,则rest服务端会爆掉,堆积海量的sessionId;   2、Session状态策略:org.springframework.security.config.http.SessionCreationPolicy public enum S...
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 907
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
spring security session
03-16
Spring Security SessionSpring Security框架中的一个模块,用于管理用户会话。它提供了一些功能,如会话管理、会话过期、会话集群等,可以帮助开发人员更好地管理用户的会话信息,保证系统的安全性和稳定性。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超人@不会飞

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值