【SpringSecurity-06】session会话的安全管理

最新推荐文章于 2024-01-03 17:41:49 发布
最新推荐文章于 2024-01-03 17:41:49 发布
阅读量352 收藏
点赞数 1
分类专栏: SpringSecurity 文章标签: java session cookie spring 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45717355/article/details/110249190
版权

SpringSecurity session会话的安全管理

Spring Security session 创建策略

  • always: 如果当前请求没有对应的session存在,创建一个session。
  • ifRequired(默认):在需要使用到session时才创建session。
  • never:Spring Security将永远不会主动创建session,但是如果session在当前应用中已经存在,它将使用该session。
  • stateless:Spring Security不会创建或使用任何session。适合于接口型的无状态应用(前后端分离),该方式节省内存资源。

在SecurityConfig中添加如下配置

在这里插入图片描述

会话超时配置(最短时间为1min)

  • server.servlet.session.timeout = 15m
  • spring.session.timeout = 15m

session保护

  • migrationSession保护方式(默认)。即对于同一个SESSIONID用户,每次登陆验证将创建一个新的HTTP session,旧的HTTP session将无效,将旧的session的属性复制到新session上面。
  • 设置为“none”时,原始会话不会无效
  • 设置“newSession”后,将创建一个干净的会话,而不会复制旧的会话中的任何属性

在这里插入图片描述

Cookie的安全

  • httpOnly:如果true,则浏览器脚本将无法访问cookie
  • secure:如果为true,则仅通过HTTPS连接发送cookie,HTTP无法携带cookie。
    在这里插入图片描述
A夏天夏天悄悄过去留下小秘密
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-eventlog:一个Grails插件来记录Spring安全事件
05-12
Spring Security Eventlog插件 这个插件创建一个简单的Spring安全事件日志。 每次用户登录或注销时,都会创建一个日志条目,其中存储了远程地址,会话ID,用户名,事件名称,切换的用户名以及事件发生的时间。 事件记录到名为SPRING_SECURITY_EVENT的表中,该表映射到域对象ca.redtoad.eventlog.SpringSecurityEvent。 每个事件都有以下字段: 用户名-输入的用户名 sessionId-用户的会话 eventName-事件的名称 remoteAddress-用户的IP地址 SwitchedUsername-切换到的用户名 dateCreated-事件的时间戳 捕获的一些事件名称: AuthenticationFailureBadCredentialsEvent-用户名或密码错误 AuthenticationSuc
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
Spring Security(九):会话管理(Session)
人不风流枉少年
05-25 1万+
一:会话超时 1. application.yml 配置session会话超时时间,默认为30秒,但是Spring Boot中的会话超时时间至少为60秒 server: servlet: session: timeout: 60 2. security configuration 配置session超时后地址 http.csrf().disable() .antMatc...
session management会话管理的原理
weixin_30849403的博客
07-03 524
web请求与响应基于http,而http是无状态协议。所以我们为了跨越多个请求保留用户的状态,需要利用某种工具帮助我们记录与识别每一次请求及请求的其他信息。举个栗子,我们在淘宝购物的时候,首先添加了一本《C++ primer》进入购物车,然后我们又继续去搜索《thinking in java》,继续添加购物车,这时购物车应该有两本书。但如果我们不采取session management会话管理...
springsecuritysession失效后怎样处理_结合Spring Security进行web应用会话安全管理
weixin_29112009的博客
01-25 693
在本文中,将为大家说明如何结合Spring SecuritySpring Session管理web应用的会话。一、Spring Security创建使用session的方法Spring Security提供4种方式精确的控制会话的创建:always:如果当前请求没有session存在,Spring Security创建一个session。 ifRequired(默认): Spring Secu...
springboot+security在前后端分离中使用会话session管理时,前端与后端需要注意的withCredentials设置
weixin_42471170的博客
06-09 933
1.如果security的配置中使用了sessionManagement()会话管理,如下: 2.则前端的axios需要开启withCredentials为true的设置。如果不设置或者设置为false,登录成功后,其他接口会报“还没登录”方面的错误(302的错误)。 3.如果后端不配置allowCredentials(true)。接口就会报错。如下: Access to XMLHttpRequest at 'http://localhost:8080/login' from origin 'http:
4、Session管理
Mr_XiMu的博客
05-17 459
4、Session管理
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
spring-boot-security-and-session:查看Spring Boot中认证_授权_会话的操作
06-14
查看Spring Boot中认证/授权/会话的操作 spring-boot-form-and-basic-auth 项目 目的 检查同时使用基本认证和表单认证的操作(Multiple HttpSecurity) 基本身份验证 (API) 登录 $ curl -v -X GET ...
spring-session-sample-map:使用ConcurrentMap作为会话存储的Spring Boot上的Spring Session
05-04
使用ConcurrentMap作为会话存储的Spring Boot上的Spring Session 演示将Spring SessionSpring Boot和Spring Security结合使用。 您可以使用用户名“ user”和密码“ password”登录。 将会话数据存储在Concurrent...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Spring Security-3.0.1 中文官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行...
SpringSecuritySession管理
吴大侠的博客
11-26 2456
一、会话超时 配置session会话超时时间,默认为30分钟,但是Spring Boot中的会话超时时间至少为60秒,当session超时后, 默认跳转到登录页面. #session设置 #配置session超时时间 server.servlet.session.timeout=60 自定义设置session超时后地址,设置session管理和失效后跳转地址 http.sessionM...
6.Spring Security Session 管理
LoveSummer
11-05 7379
Spring Security Session 管理 用户登录成功后,信息保存在服务器 Session 中,这节学习下如何管理这些 Session。这节将在 Spring Security 短信验证码登录的基础上继续扩展。 Session 超时设置 Session 超时时间也就是用户登录的有效时间。要设置 Session 超时时间很简单,只需要在配置文件中添加: server: session...
Spring Security 6.x 系列(13)—— 会话管理会话概念及常用配置
gmHappy
01-02 2440
在实现会话管理之前,我们还是先来了解一下协议和会话的概念,连协议和会话都不知道是啥,还谈啥管理
Spring Security 6.x 系列(14)—— 会话管理会话固定攻击防护及Session共享
最新发布
gmHappy
01-03 2414
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
springsecurity(06)会话管理
愤怒的菜鸟博客
03-10 707
会话管理 简单总结下springsecurity会话管理配置 配置 配置 http.authorizeRequests().sessionManagement() 做配置的相关操作 .and().sessionManagement(); 会话禁用 .sessionManagement().disable(); 会话过期配置 配置过期跳转url .invalidSessionUrl("/xx") 自定义过期策略 invalidSessionStrategy(new InvalidS
新版Spring Security6.2架构 (一)
喝醉的鱼博客
12-09 3190
新版Springsecurity6.2架构介绍
SpringSecurity-01】httpBasic模式登陆认证
weixin_45717355的博客
11-25 1897
SpringSecurity httpBasic模式登陆认证简单使用 建一个config包,创建一个SecutityConfig类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.httpBasic()
spring security session 会话管理
09-03
Spring Security 提供了多种方式来管理会话,保护应用程序的安全性。下面是一些常见的会话管理方式: 1. 基于 Cookie会话管理:默认情况下,Spring Security 使用基于 Cookie会话管理。它将一个会话标识符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值