跟着燕青学Spring Security认证授权08--Spring Security会话管理

最新推荐文章于 2023-09-16 10:09:39 发布
最新推荐文章于 2023-09-16 10:09:39 发布
阅读量352 收藏
点赞数
分类专栏: 认证授权 文章标签: Spring Security 会话管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44062339/article/details/103442623
版权

引言

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。

如何获取用户身份

编写LoginController,实现/r/r1、/r/r2的测试资源,并修改loginSuccess方法,注意getUsername方法,Spring Security获取当前登录用户信息的方法为SecurityContextHolder.getContext().getAuthentication()

@RestController
public class LoginController {

    /**
     * 用户登录成功
     * @return
     */
    @RequestMapping(value = "/login-success",produces = {"text/plain;charset=UTF-8"})
    public String loginSuccess(){
        String username = getUsername();
        return username + " 登录成功";
    }

   /**
     * 获取当前登录用户名
     * @return
     */
    private String getUsername(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if(!authentication.isAuthenticated()){
            return null;
        }
        Object principal = authentication.getPrincipal();
        String username = null;
        if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
            username = ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
        } else {
            username = principal.toString();

        }
        return username;
    }

    /**
     * 测试资源1
     * @return
     */
    @GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF-8"})
    public String r1(){
        String username = getUsername();
        return username + " 访问资源1";
    }

    /**
     * 测试资源2
     * @return
     */
    @GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF-8"})
    public String r2(){
        String username = getUsername();
        return username + " 访问资源2";
    }


}

会话控制方法

我们可以通过以下选项准确控制会话何时创建以及Spring Security如何与之交互:
在这里插入图片描述
通过以下配置方式对该选项进行配置:

@Override
protected void configure(HttpSecurity http) throws Exception {
   http.sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
}

默认情况下,Spring Security会为每个登录成功的用户会新建一个Session,就是ifRequired 。

若选用never,则指示Spring Security对登录成功的用户不创建Session了,但若你的应用程序在某地方新建了session,那么Spring Security会用它的。

若使用stateless,则说明Spring Security对登录成功的用户不会创建Session了,你的应用程序也不会允许新建session。并且它会暗示不使用cookie,所以每个请求都需要重新进行身份验证。这种无状态架构适用于REST API及其无状态认证机制。

会话超时设置

可以在sevlet容器中设置Session的超时时间,如下设置Session有效期为3600s;

spring boot 配置方法:

server.servlet.session.timeout=3600s

session超时之后,可以通过Spring Security 设置跳转的路径。

http.sessionManagement()
    .expiredUrl("/login-view?error=EXPIRED_SESSION")
    .invalidSessionUrl("/login-view?error=INVALID_SESSION");

expired指session过期,invalidSession指传入的sessionid无效。

安全会话cookie

我们可以使用httpOnly和secure标签来保护我们的会话cookie:

  • httpOnly:如果为true,那么浏览器脚本将无法访问cookie
  • secure:如果为true,则cookie将仅通过HTTPS连接发送

spring boot 配置文件:

server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true

视频下载

燕青SpringSecurity视频下载

跟攀博学Java编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
传智播客 燕青 spring_2016 视频教程 第2天
08-01
9. **Spring Security**:可能会讲解如何利用Spring Security进行权限控制和认证,保护Web应用的安全。 10. **Spring Batch**:对于批处理任务,Spring Batch提供了一套完善的解决方案,包括读取、处理和写入大量...
如何利用SpringSecurity进行认证授权
最新发布
qq_63218110的博客
02-14 4269
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
认证授权-SpringSecurity
木子Teng的博客
01-11 1456
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
Spring Security认证授权框架
赵广陆
01-20 2389
目录1 Spring Security介绍1.1 框架介绍1.2 认证授权实现思路2 第一个 Spring Security 项目2.1 导入依赖2.2 访问页面3 UserDetailsService 详解3.1 返回值3.2 方法参数3.3 异常4 创建spring security核心配置类5 创建认证授权相关的工具类6 创建认证授权实体类7 创建认证授权的filter 1 Spring Security介绍 1.1 框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。S
SpringSecurity学习 - 认证授权
本郡主是喵
09-16 472
我们自定义UserDatailService 实现UserDatailService接口,注入到spring容器中,这样就会在SpringSecurity认证流程中调用我们自定义的实现类。@Service@Override// 用用户名查询对应User// 判断是否空throw new RuntimeException("用户名或密码错误");// 将查询到user封装到自定义UserDeatail中。
Spring Security认证授权(1)
weixin_43831002的博客
08-02 1969
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
传智播客 燕青 spring 2016 视频教程 第一天
08-01
《传智播客 燕青 spring 2016 视频教程 第一天》是针对初学者和有一定Java基础的开发者设计的一套全面、深入的Spring框架学习资源。本教程由知名教育机构传智播客的燕青老师主讲,旨在帮助学员掌握Spring的核心概念...
传智播客 燕青 spring_2016 视频教程 第3天
08-01
在本套"传智播客 燕青 spring_2016 视频教程 第3天"中,燕青老师深入浅出地讲解了Spring框架的核心知识与实践技巧,这是针对2016年版的Spring技术进行的一次详细教学。教程内容丰富,旨在帮助学员快速掌握Spring框架...
webservice 燕青 day1-1 共2天
03-27
webservice 燕青 day1-1 共2天 webservice 燕青 day1-1 共2天
史诗级的SpringSecurity认证授权的相关概念及流程讲解!!!
qq_44723773的博客
11-11 8503
Web应用的开发,安全是至关重要的,选择使用SpringSecurity是目前来说较为正确的选择。SpringSecurity框架起源于2003年年底acegi系统,起因是 Spring开发者邮件列表中的一个问题,有人提问是否考虑提供一个基于Spring的安全实现。基于SpringBoot+MP+Redis+Vue实现的前后端分离的权限管理系统Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是其中的一员。
SpringSecurity的基本认证授权流程,原理方法
qq_14930709的博客
06-18 5545
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证授权。 ​ **认证**:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户......
Spring Security登录的认证授权
S mile0804的博客
02-21 4228
一、Spring Security简介 Spring Security是一个专注于为Java应用程序提供身份认证授权的框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了......
Spring Security 认证授权详解
共勉
05-03 4460
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity授权
Littewood的博客
07-24 3389
SpringSecurity授权介绍
Spring Security 认证授权(一)
12-13 1348
Spring Security
Spring Security核心组件之安全上下文
clyu的博客
01-03 4170
1、安全上下文 Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息(其实就是用于代表访问者账号的有关信息)。 public interface SecurityContext extends Serializable { Authentication getAuthentication(); void setAuthentication(Authentication au
Spring Security认证授权-权限验证使用教程(一)
Jokers_lin的博客
05-12 6208
spring security核心组件有: SecurityContext、SecurityContextHolder、Authentication、Userdetails 和 AuthenticationManager等
SpringSecurity(八)--SecurityContext安全上下文
学习不止境的博客
10-20 4221
本节我们将讨论安全上下文,我们将分析它是如何工作的、如何从其中访问数据,以及应用程序如何在具有不同的与线程有关的场景中管理它。一般来说,我们为了让后续程序能够使用验证通过人员的信息,都会使用到它,比如编写一个SecurityUtils用来获取用户信息是经常用到的,那么学习它后,你就可以使用安全上下文存储关于已验证用户的详细信息了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值