SpringSecurity如何管理session

已于 2023-03-20 14:21:28 修改
阅读量958 收藏 4
点赞数 1
分类专栏: SpringSecurity 文章标签: java 数据库 redis Powered by 金山文档
于 2023-03-14 15:17:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129528833
版权

SessionManagementFilter是在用户认证成功后,执行一些session相关的工作,包括防止固定会话攻击,多点登录登自动下线等。用户通过扩展点,能自定义各种策略。下面是SessionManagementFilter的流程图,分为4个子流程:

  1. 认证通过,执行策略成功,保存SecurityContext,执行下一个Filter

  1. 认证通过,执行策略失败,执行身份认证失败策略(一般是重定向到登录页面),结束请求

  1. 认证不通过,当前有session信息,并且session已经失效,执行session失效策略,结束请求

  1. 认证不通过,没有session信息,执行下一个Filter

在SessionManagementFilter的流程里支持三个扩展点,基本都是在SessionManagementConfigurer 里配置:

  1. 认证成功后执行的策略

  1. 认证失败后执行的策略

  1. 执行session失效后执行的策略

认证成功后执行的策略

在SessionManagementConfigurer 的getSessionAuthenticationStrategy() 方法获取SessionAuthenticationStrategy ,返回的是CompositeSessionAuthenticationStrategy 对象。从名字上可以看出来,这是一个组合对象,包含一组策略,具体包含逻辑如下:

  1. 第一步,用户指定一个验证策略,或者使用默认策略

指定方式,http.sessionManagement(it -> it.sessionAuthenticationStrategy(null))

  1. 默认策略ChangeSessionIdAuthenticationStrategy ,也就是登录成功后会换一个SessionId,防止固定会话攻击。也可以通过http.sessionManagement(it -> it.sessionFixation(z -> z.migrateSession())) 配置来更换其他策略。

  1. 第二步,如果开启了最大用户回话数的限制,会额外添加2个策略

  1. ConcurrentSessionControlAuthenticationStrategy 将超过限制的session设置为过期状态

  1. RegisterSessionAuthenticationStrategy 把当前登录人信息记录到session上,默认是记录在内存里。可以通过SpringSession接入到Redis。

  1. 第三步,如果开启了CSRF验证,用户可以额外添加一个验证策略,或者使用默认CSRF策略

  1. 指定方式,http.csrf(it -> it.sessionAuthenticationStrategy(null))

  1. 默认策略CsrfAuthenticationStrategy ,重新设置一个新的CSRF token

认证失败后执行的策略

在ConcurrentSessionControlAuthenticationStrategy 策略时,如果用户登录的session数量超过了限制,并且设置要抛出异常(http.sessionManagement(it -> it.sessionConcurrency(sc -> sc.maxSessionsPreventsLogin(true)))),那么就会抛出SessionAuthenticationException ,从而触发认证失败策略的执行。

默认用的是SimpleUrlAuthenticationFailureHandler ,会重定向到指定页面。

执行session失效后执行的策略

这里也是配合ConcurrentSessionControlAuthenticationStrategy 策略,用户登录的session数量超过了限制时,当前session被设置了失效后,要执行的操作。默认没有执行策略,设置方法如下:

  1. 直接设置invalidSessionStrategy,http.sessionManagement(it -> it.invalidSessionStrategy(null)

  1. 设置invalidSessionUrl就会创建SimpleRedirectInvalidSessionStrategy,http.sessionManagement(it -> it.invalidSessionUrl("xx")

分布式环境下,控制用户登录session数量

关于ConcurrentSessionControlAuthenticationStrategy策略,默认情况,session是维护在内存里,所以在分布式部署模式下,就没法拿到全局的登录数。这就要调整session保存方式,我们要实现自己的SessionRegistry 。

SpringSecurity预留了扩展类SpringSessionBackedSessionRegistry ,配合SpringSession可以很方便将session存入DB、Redis等。以存入Redis为例,只需要添加几个配置:

  1. 引入spring-session-data-redis和spring-boot-starter-data-redis

<!-- 对接spring session -->
<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-data-redis</artifactId>
</dependency>
 
<!-- 自动配置redis客户端 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

  1. 开启@EnableRedisIndexedHttpSession 注解

@EnableRedisIndexedHttpSession
@AutoConfiguration
public class AutoConfiguration {
}

  1. 使用SpringSessionBackedSessionRegistry 替代默认实现,并设置maximumSessions最大并发数

@Configuration
public class SecurityConfiguration {
    @Autowired
    FindByIndexNameSessionRepository sessionRepository;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
	    .sessionManagement(it -> it.sessionConcurrency(sc -> sc
                .sessionRegistry(new SpringSessionBackedSessionRegistry<>(sessionRepository))
                .expiredSessionStrategy(event -> {
                    log.info("expiredSessionStrategy {}", event.getSessionInformation());
                    ResponseHelper.commitHttpResponse("您已经退出,多设备登录", HttpStatus.FORBIDDEN.value(), event.getResponse());
                })
                .maximumSessions(1)))
	// 略...
    }
}
李昂的数字之旅
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security的session管理
qq_36500178的博客
01-24 9766
1 spring security的session管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法中,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
SpringSecurity (七)session管理(会话管理
weixin_43189971的博客
07-19 1278
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理Session销毁监听器......
Spring Security之Session管理
最新发布
Evan_L的博客
04-21 1157
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2335
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
14 spring-security 中的 SessionManagerFilter 导致的每刷新一次页面 JSESSIONID 切换一次 导致 session 不可用
970655147的专栏
04-12 1032
然后 响应了一个 set-cookie 的响应头, 告诉客户端这边重新更新 cookie, 第一批次的请求的所有响应里面都有这个 set-cookie, 并且每一个 set-cookie 中的 JSESSIONID 不一。按照 我们的通常的 web 经验的理解, 一个 session 应该是有一定的生命周期的, 为啥这里每一批次请求 就会切换 JSESSIONID 呢?然后 这个处理之后的其他业务使用到了 request.getSession(true) 的相关业务操作, 会创建新的 session
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
SpringBoot集成Spring Security登录管理 添加 session 共享
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 Spring Security OAuth 2.0 是一种基于 OAuth 2.0 协议的身份验证和授权框架,它提供了一个灵活和可扩展的解决方案来保护基于 Web 的应用程序。OAuth 2.0 是一种行业标准的授权协议,...
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和...
SpringSecurity过滤器执行过程
clyu的博客
09-27 1470
一、过滤器Filter基本知识 过滤器Filter就是可以实现web容器对某资源的访问前截获进行相关的处理,还可以在某资源向web容器返回响应前进行截获进行处理。 简单来说,过滤器就相当于是一个滤纸用来过滤条件的~~ public interface Filter { //这是Servlet过滤器的初始化方法,Servlet容器创建Servlet过滤器实例后将调用这个方法。 //在这个方法中可以读取web.xml 文件中Servlet过滤器的初始化参数 public default v
SpringSecurity Session管理
抛弃幻想,准备斗争
04-25 2454
在一个登录系统之中必须有一个前提:一个账户只能够由一个人登录,那么在Spring安全框架之中就提供有此类的验证方式.也就是说利用一些配置就可以针对于当前Session进行管理。 范例:在Web.xml文件里面配置监听器 org.springframework.security.web.session.HttpSessionEventPublisher <listener> ...
SpringSecuritySession 使用
Earth_Programer的博客
04-12 2886
在之前的几章里面,我们分别做了快速入门、自定义表单登录、自定义手机登录。他们有一个共同点,就是目前我们与客户端之间的交互都依赖于 Session。那么本章我们就带大家来了解一下 SpringSecuritySession 的使用与设置。 Session 是什么? Session 中文意思为会议,在计算机中,尤其在网络应用中称为会话控制。 Session直接翻译成中文比较困难,一般都译成时域...
springsecuritysession的并发控制
nrsc
09-21 2662
文章目录1 是什么?2 超过最大并发数量时,踢掉前面的登陆3 超过最大并发数量时,阻止后面的登陆 项目源码地址https://github.com/nieandsun/security 1 是什么? 以腾讯视频会员为例,假如我的账号买了会员,则我可以享受看视频免广告,某些热门电视剧提前看等福利。若我的朋友也想享受这些福利又不想花钱买会员,则我可以让他用我的号登陆。但是假如我有很多很多的朋友都不想买...
Spring Security(九):会话管理(Session)
人不风流枉少年
05-25 1万+
一:会话超时 1. application.yml 配置session会话超时时间,默认为30秒,但是Spring Boot中的会话超时时间至少为60秒 server: servlet: session: timeout: 60 2. security configuration 配置session超时后地址 http.csrf().disable() .antMatc...
认证鉴权与API权限控制在微服务架构中的设计与实现(四)
weixin_33958366的博客
10-26 566
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的完结篇,前面三篇已经将认证鉴权与API权限控制的流程和主要细节讲解完。本文比较长,对这个系列进行收尾,主要内容包括对授权和鉴权流程之外的endpoint以及Spring Security过滤器部分踩坑的经历。欢迎阅读本系列文章。 1. 前文回顾 首先还是照例对前文进行回顾。在第一篇 认证鉴权与API权限控制在微服务架构中的设...
Session 管理
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-31 809
什么是Session?我们都知道Session是服务器端记录用户状态的机制,用户是否登录、是否被挤兑、是否限制登录、登录状态是否过期等等都是关于它的事,那么Spring Security中是如何管理Session的呢,一起来了解下吧。
SpringBoot使用SpringSecuritysession管理
taojin12的博客
02-17 2303
文章目录session管理session超时处理session并发控制(一个账号只在一个平台登录)集群session管理 session管理 session超时处理 直接在配置文件配置 server: servlet: session: timeout: 10 SpringBoot的默认的session过期时间最少为1分钟。session失效跳转地址,在security配...
spring security session 会话管理
09-03
Spring Security 提供了多种方式来管理会话,保护应用程序的安全性。下面是一些常见的会话管理方式: 1. 基于 Cookie 的会话管理:默认情况下,Spring Security 使用基于 Cookie 的会话管理。它将一个会话标识符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值