SpringSecurity (七)session管理(会话管理)

已于 2022-07-19 14:08:00 修改
阅读量1.3k 收藏 4
点赞数
分类专栏: SpringSecurity 文章标签: java spring spring boot
于 2022-07-19 14:01:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43189971/article/details/125866529
版权

一.项目搭建

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.1</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.huang</groupId>
    <artifactId>test</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>test</name>
    <description>test</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

application.properties


spring.security.user.name=zhangsan
spring.security.user.password=123
server.port=8081

HelloController

		package com.huang.test;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class    HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

SecurityConfig关键,过滤器配置在下文

二.配置会话管理

2.1过滤器链配置会话管理

默认情况下账户登录数量没有限制,但是有的业务需求一个账户只能登录一台设备,例如qq,那我们应该怎么做呢?

对,没错,继续配置我们的SecurityConfig里的过滤器链,securityFilterChain

  package com.huang.test.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.session.HttpSessionEventPublisher;

@Configuration
public class    SecurityConfig {

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                //SessionManagementFilter
                .sessionManagement()
                //设置会话的最大并发数,设置一个用户只可以在一台设备上登录
                //默认情况下,达到最大会话并发数之后,会挤掉上一次的登录
                .maximumSessions(1)
                //达到最大会话数的时候,是否要阻止下一个登录(自己设置登录)
                .maxSessionsPreventsLogin(true)
                .and().and()
                .csrf().disable();
        return http.build();
    }

}

2.2 配置会话管理的关键代码(加入过滤器链)

关键代码
注意最下面是两个.and()为了保证返回的值是HttpSession

.and()
//SessionManagementFilter
 .sessionManagement()
 //设置会话的最大并发数,设置一个用户只可以在一台设备上登录
.maximumSessions(1)
//达到最大会话数的时候,是否要阻止下一个登录,
 .and().and()

在这里插入图片描述

2.3 会话管理测试为什么要用两个浏览器

测试.(用两个浏览器登录,因为用一个浏览器开两个窗口会有cookie缓存,看似是一个用户登录两次,其实跟你同一个电脑登录qq,然后把qq下了,又在这个电脑上登录qq一样,而开两个浏览器登录qq就相当于两个电脑登录一个qq,这样才能看出来测试结果)

浏览器一:

在这里插入图片描述

浏览器二:
在这里插入图片描述

再次登录浏览器一:

在这里插入图片描述

如上所示,实现了会话管理

2.4 .and().and()的原因

上面注意一个关键:加两个.and()
在这里需要两个.and()保证返回的是HttpSecurity,因为前面配置完了最大session数,还可以配置session的策略,(这个策略是t掉之前的用户如qq,还是禁止登录)Spring Security默认的会话管理策略是t掉上一次的登录

在这里插入图片描述
在这里插入图片描述

2.5 默认会话管理策略和策略配置

先登录浏览器1用户,再登录浏览器二用户,刷新浏览器一,报出
在这里插入图片描述

Spring Security默认的会话管理策略是t掉上一次的登录,当然我们也可以去调整我们的策略如下图:
在这里插入图片描述

2.5.1 默认会话管理策略配置与测试

2.5.2 禁止登录会话管理策略配置与测试

securityFilterChain关键代码:

 //SessionManagementFilter
 .sessionManagement()
//设置会话的最大并发数,设置一个用户只可以在一台设备上登录
 //默认情况下,达到最大会话并发数之后,会挤掉上一次的登录
 .maximumSessions(1)
 //达到最大会话数的时候,是否要阻止下一个登录
.maxSessionsPreventsLogin(true)
 .and().and()

浏览器一:登录浏览器一

在这里插入图片描述

浏览器二:试图登录浏览器二,报出
在这里插入图片描述
登录完之后,再登录新的是没有办法并且会给出提示的,那我们想要登录后再去登录怎么办?把第一个用户注销试试,出现如下图

浏览器1注销登录
在这里插入图片描述

浏览器2登录报错
在这里插入图片描述

还是没办法继续登录,那这是为什么?

2.5.3 为什么禁止登录策略,注销了浏览器一的用户后还是没办法再第二个浏览器登录

这是为什么?

涉及到了会话管理的实现原理

在服务端,spring Security维护了一个会话注册表,所有登录上来的用户,都会注册到这个会话注册表中所谓的会话注册表,本质是一个Map集合,Map的key是当前用户对象!注意,是当前用户的对象哦,Map的value是一个集合,这个集合中保存着这个用户的所有会话。如下结构Map<User,List>(这里存储的session是包装后的session).这个value对应着这个用户的所有会话session,每次登录后就能够去Map里面拿出来这个用户的所有会话然后判断一下(set)就知道该不该登录了,当用户注销登录的时候,用户的session会被自动销毁,但是Map中的List集合中的session并不会自动移除,所以,就导致每次登录的时候都会判断为session已经登录,所以我们应当在用户注销登录的时候,将list集合中把用户对应的会话session移除掉,

具体操作步骤
如下所示:

securityConfig中加入配置–监听HttpSession的销毁操作

这个监听器的作用:

这个事件,可以监听到 HttpSession 的销毁操作,当有 HttpSession 销毁的时候,就将这个销毁的事件广播出去,Map收到通知,就会从value即list集合中把对应的会话session给移除

 /**
     * 这个事件,可以监听到 HttpSession 的销毁操作,当有 HttpSession 销毁的时候,就将这个销毁的事件广播出去
     * @return
     */
    @Bean
    HttpSessionEventPublisher sessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

加了监听HttpSession的销毁操作的配置HttpsessionEventPublisher之后的测试:

浏览器一:
在这里插入图片描述

浏览器二:登录成功
在这里插入图片描述

三.那么如果我们要传递json我们应该怎么配置我们的SecurityConfig呢

谁是黄黄
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security系列】Spring Security会话管理
qq_28248897的博客
07-01 1354
只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。 1.什么是会话 会话session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,站点也无法为用户提供个性化的服务。session
spring securitysession管理
qq_36500178的博客
01-24 9883
1 spring securitysession管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法中,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
Spring Security源码分析九:Spring Security Session管理
ZL_1618的博客
06-08 671
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话Session 对象最常见的一个用法就是存储用户的首选项。
Spring SecuritySession管理
Evan_L的博客
04-21 1489
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
Spring Security(五) —— 会话管理
eyes++的博客
07-25 661
当浏览器调用登录接口登录成功后,服务端会和浏览器之间建立一个会话(Session)浏览器在每次发送请求时都会携带一个Sessionld,服务端则根据这个Sessionld来判断用户身份。当浏览器关闭后,服务端的Session并不会自动销毁,需要开发者手动在服务端调用Session销毁方法,或者等Session过期时间到了自动销毁。...
SpringSecuritySession管理
吴大侠的博客
11-26 2493
一、会话超时 配置session会话超时时间,默认为30分钟,但是Spring Boot中的会话超时时间至少为60秒,当session超时后, 默认跳转到登录页面. #session设置 #配置session超时时间 server.servlet.session.timeout=60 自定义设置session超时后地址,设置session管理和失效后跳转地址 http.sessionM...
spring security 会话管理
swadian2008的博客
08-28 2098
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
Spring Security中的会话Session管理与防御以及会话的并发控制
SunRains
12-17 4118
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1902
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
Spring Security--会话管理
a2285786446的博客
06-13 804
在服务器,Spring Security维护了一个会话注册表,所有的登录上来的用户,都会注册到这个注册表中,本质上是一个map集合,map是用户对象,value保存了用户所有的会话对象,Map。如图,在这个层级还可以配置一些会话的其他策略,比如:超过了一个了怎么办,是把上一个踢掉还是怎么办,就是说这个会话策略里还有其他配置,你目前处于这个层级,是会话配置的层级。同样的,回到这一级又可以配其他策略,比如session的策略,就是在这一级。不同浏览器之间也是不同的会话
使用Spring Security控制会话的方法
08-26
本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理和并发控制。 会话创建策略 Spring Security 提供了四种会话创建策略:always、ifRequired、never 和 stateless。这些策略可以在 Java ...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
我们将基于给定的标签——SpringBootSpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
spring security 3.x session-management 会话管理失效
08-03
Spring Security中,会话管理主要涉及到会话固定防护(Session Fixation Protection)和会话超时(Session Timeout)。 2. **会话固定防护** - 会话固定攻击是一种常见的安全威胁,攻击者通过获取用户的会话ID来...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring BootSpring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 452
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 253
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 623
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
spring security session 会话管理
09-03
Spring Security 提供了多种方式来管理会话,保护应用程序的安全性。下面是一些常见的会话管理方式: 1. 基于 Cookie 的会话管理:默认情况下,Spring Security 使用基于 Cookie 的会话管理。它将一个会话标识符存储在用户的浏览器 Cookie 中,并在用户每次请求时验证会话的有效性。 2. 基于 URL 重写的会话管理Spring Security 还支持基于 URL 重写的会话管理。在这种方式下,会话标识符将包含在 URL 中,并在用户每次请求时进行验证。 3. 基于 Token 的会话管理Spring Security 还支持基于 Token 的会话管理。在这种方式下,用户在登录成功后会收到一个令牌(Token),该令牌将用于后续的请求验证。 4. HttpSession 会话管理Spring Security 还可以与传统的 HttpSession 会话管理集成。它可以使用 HttpSession 来存储和验证用户的会话信息。 此外,Spring Security 还提供了一些高级的会话管理功能,如并发控制、超时处理和登录时的会话绑定等。 值得注意的是,根据具体的需求和使用场景,选择适合的会话管理方式非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值