Spring Security http切换https session丢失

最新推荐文章于 2024-07-04 09:26:04 发布
最新推荐文章于 2024-07-04 09:26:04 发布
阅读量7.7k 收藏 8
点赞数 3
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanghongchang_/article/details/10154751
版权
本文分析了在Spring Security 3.1.4.RELEASE版本下,登录成功后从HTTPS切换到HTTP时,由于会话固定保护策略导致Session丢失的现象。Spring Security为防止会话固定攻击,在用户登录后会创建新的Session并废弃匿名会话。由于HTTPS连接的Cookie有'Secure'标志,当重定向到HTTP页面时,浏览器不会发送该Cookie,从而服务器无法识别已登录状态。解决方案是自定义重定向URL,确保携带jsessionId,以便保持会话。
摘要由CSDN通过智能技术生成


框架版本:

Spring security版本: spring-security-3.1.4.RELEASE

Tomcat      版本: apache-tomcat-6.0.37

浏览器          :均支持Http/1.0 | 1.1

原文地址:http://blog.csdn.net/yanghongchang_/article/details/10154751

场景描述:

   在使用springsecurity安全验证框架的时候会遇到类似的下列的情况:

   登录页面使用户首次登录也是服务器端首次授权的地方,需要使用HTTPS形式进行加密传输,由于考虑性能的问题其余资源(例如页面)均使用HTTP访问.

问题:

  在使用SpringSecurity配置两种方式自动切换,但是在切换的时候会碰到当你登录成功之后却不能进入主页,从中可能至少有3个sessionId,也就是说SessionId丢失了.

 

一.分析登录页面HTTP切换到HTTPS:

  说明:请见下图:

最低0.47元/天 解锁文章
雨泽
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring security详解
hwt_211博客
11-25 1343
spring security的配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applicationContext.xml,
使用Spring security,遇到从HTTPS页面重定向到HTTP页面时会丢失JSESSIONID的问题
Libresoft实验室
12-11 4771
问题重现: 1、  直接输入登录页面地址 https://127.0.0.1/xxxx/login.do 2、  填写用户信息点登陆 3、  页面跳转到欢迎页面http://127.0.0.1/xxxx/welcome.do 4、  此时springsecurity 会提示session是null,并且跳回登录页面。   原因: Tomcat下 HTTPS生产的COOKIE  JSE
使用 Spring Security 配置 HTTPS
最新发布
FireFox1997
07-04 469
通过以上步骤,你可以在 Spring Boot 项目中配置 HTTPS,并集成 Spring Security 以确保所有通信通过 HTTPS 进行。在生产环境中,请确保使用由可信 CA 签署的证书,并考虑使用反向代理服务器来处理 SSL/TLS 终止。如果还没有,可以通过。在这个配置中,Nginx 监听 443 端口,处理 SSL/TLS 终止,然后将请求转发到本地的 Spring Boot 应用(监听 8080 端口)。在生产环境中,你应该使用由可信的证书颁发机构(CA)签署的证书,而不是自签名证书。
SSM中使用Spring Security强制通道的安全性,将http强制跳转为https
come and experience the world of code, communicate and exchange ideas with everyone, and unleash new ideas together~
04-30 1435
SSM中使用Spring Security强制通道的安全性 在maven工程中pom.xml文件中引入相关依赖。 <!-- 第八部分:spring security依赖 --> <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-core --...
web项目httphttps跳转session失效解决
u010634054的博客
12-19 1510
最近web项目中有httphttps两种地址。两者跳转可能出现重新生成session问题,导致失效。 现总结如下: 第一种情况http跳转到httpssession不会失效。 第二种情况https跳转到httpsession失效。tomcat会重新生成sessionId。 解决办法: 在http到url后面加上;jsessionid=&lt;%=session.getId()%...
SpringSecurity-api安全机制之https
Eistert
08-11 581
命令 只要安装了java环境就可以执行这一行命令 keytool -genkeypair -alias xxx -keyalg RSA -keystore /Users/eistert/Desktop/uaa/keys/xxx.key -alias 别名 -keystore 秘钥存储位置 输入密码本身的口令 xxxx 名字和姓氏 xxxx 组织单位名称 xxxx 组织名称 xxxx 你所在的城市或区域名称: xxxx 您所在的省/市/自治区名称是什么 xxxx 该单位的双字母国家/地区代码
SpringSecurity如何实现配置单个HttpSecurity
08-18
Spring Security 配置 HttpSecurity Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能。今天,我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security进行登录管理,并实现session共享。这是一项关键的安全措施,可以确保用户会话在多个微服务之间的一致性。我们将基于给定的标签——SpringBoot、...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
基于java config的springSecurity 六 集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
spring security登录前后sessionId不一致
fggdgh的博客
04-07 1693
spring security为了防止固定回话攻击会一直修改sessionId,所以在登录前存在session里的数据在登录后是获取不到的。为了解决这种情况可以监听session的变化做相应的更改。 @WebListener public class SessionListener implements HttpSessionListener, HttpSessionIdListener { @Override public void sessionCreated(HttpSession
http https session丢失
fly_zxy的专栏
03-27 4997
现象描述 项目中仅在登录时使用https连接进行登录请求,登录成功会使用http访问服务器的其它资源。也就说从https连接切换http。输入正确的用户和密码后总是跳转到登录页面,并没有跳转到主页面。debug了一下程序,发现在跳转到主页时,程序认为 request.getSession("userInfo") 获取的用户信息为 null,用户没有登录。而不适用https连接请求登录,输入正确
spring security导致登录后从https跳转至http解决方案
zhuping2002的专栏
11-20 3189
1. 项目为spring boot项目,由原来的http连接更换为https连接,因项目中配置的了spring security,登录被spring security拦截重定向后会跳转到http 解决办法: nginx中增加 proxy_set_header X-Forwarded-Proto 'https'; yml文件中增加 server: use-forward-headers: true tomcat: remote-ip-header: x-forwarded-fo.
记录一下spring security+oauth2 指定登陆后跳转路径失败原因
weixin_45744265的博客
03-14 4015
真的太坑了。。 授权码模式的访问路径应该是 localhost:40400/auth/oauth/authorize? client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost+返回的授权码。 而我直接输入了localhost:40400/auth/login。。跳转的登录界面是...
Spring Security 2.0.5 实现 HttpHttps 切换
Thinking in nothing...
12-05 335
[code="java"] [/code] 其中 entry-point-ref 与 user-service-ref 属性是随意写的, 根据实际情况替换。 别忘了, 还得用 keytool 生成一个证书。 Spring Security 为 3.0RC 时需要配置 authentication manager(), 但...
spring-security验证登录https变成http导致登录跳转失败
热门推荐
诚的专栏
02-01 1万+
      最近开发一个新的web项目,在生产发布的时候遇到登录验证成功但是跳转失败??? 一开始在网上找各种关于https协议转http协议的解决方案都是加filter强制把http再转成https,然而并没有什么软用。 问题如下:     绕了一些弯路:开始还以为是Nnginx配置导致的,其实不是;后来以为是httpshttp后导致session丢失,也不是。 只能一步步...
Spring security + cas 中,Https请求莫名变为Http请求的处理
qq_24682765的博客
02-01 2003
public class CrownAuthenticationSuccessHandler extends         SavedRequestAwareAuthenticationSuccessHandler {     @Override     public void onAuthenticationSuccess(HttpServletRequest request,
spring security 认证通过后跳转原始路径
weixin_43931625的博客
06-03 2197
springsecurity认证通过后跳转原始路径 默认情况下,通过认证后会自动跳转到原始访问路径,也可通过设置跳转到原始访问路径 *********************** 示例 ...
Servlet容器的Session管理与SpringSecurity配置
本文档是关于Spring Security的Java参考手册,涵盖了集成安全管理的多个方面,如会话管理、登录、登出、权限控制等。主要讨论了如何在Servlet 3.0及之前版本的容器中处理会话固定保护,以及在Servlet 3.1及更高版本...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值