7、Spring Session-Spring Security集成

最新推荐文章于 2024-05-23 09:00:00 发布
最新推荐文章于 2024-05-23 09:00:00 发布
阅读量6.4k 收藏 2
点赞数
分类专栏: Spring Session 文章标签: spring spring security

6、Spring Security集成

Spring Session提供了和Spring Security的集成。

6.1. Spring Security Remember-Me的支持

Spring Session 提供了和 Spring Security’s Remember-Me Authentication(https://docs.spring.io/spring-security/site/docs/4.2.x/reference/htmlsingle/#remember-me)的支持。这个支持将会带来:

  1. 改变会话过期长度
  2. 确保会话的Cookie过期时限为Integer.MAX_VALUE。Cookie过期设置为最大的可能值是因为cookie是在会话创建的时候设置。如果它被设置成和session过期一样的话,当用户使用session时session可以更新,但是cookie过期之后不会更新,从而将会导致过期而被限定。

使用Java配置Spring Session和Spring Security参考如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        // ... additional configuration ...
        .rememberMe()
            .rememberMeServices(rememberMeServices());
}

@Bean
RememberMeServices rememberMeServices() {
    SpringSessionRememberMeServices rememberMeServices =
            new SpringSessionRememberMeServices();
    // optionally customize
    rememberMeServices.setAlwaysRemember(true);
    return rememberMeServices;
}

基于XML配置如下:

<security:http>
    <!-- ... -->
    <security:form-login />
    <security:remember-me services-ref="rememberMeServices"/>
</security:http>

<bean id="rememberMeServices"
    class="org.springframework.session.security.web.authentication.SpringSessionRememberMeServices" p:alwaysRemember="true"/>

6.2. Spring Security并发会话控制

Spring Session提供了和Spring Security的整合支持并发会话控制。这允许限制单个用户可以并发的活跃会话数量。但是这和默认Spring Security支持的不同,这个可以在集群环境中使用。它是通过提供Spring Security的SessionRegistry接口的一个个性化实现来完成的。

当我们使用Spring Security Java配置DSL时,你可以就像下面一样通过SessionManagementConfigurer来配置个性化的SessionRegistry。

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private FindByIndexNameSessionRepository<Session> sessionRepository;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
            // other config goes here...
            .sessionManagement()
                .maximumSessions(2)
                .sessionRegistry(sessionRegistry());
        // @formatter:on
    }

    @Bean
    SpringSessionBackedSessionRegistry sessionRegistry() {
        return new SpringSessionBackedSessionRegistry<>(this.sessionRepository);
    }
}

这里假设你已经配置了Spring Session并提供了一个FindByIndexNameSessionRepository返回Session实例。

使用XML配置如下:

<security:http>
    <!-- other config goes here... -->
    <security:session-management>
        <security:concurrency-control max-sessions="2" session-registry-ref="sessionRegistry"/>
    </security:session-management>
</security:http>

<bean id="sessionRegistry"
      class="org.springframework.session.security.SpringSessionBackedSessionRegistry">
    <constructor-arg ref="sessionRepository"/>
</bean>

这里假设称为sessionRegistry是你的Spring Session SessionRegistry,这个名称将会被所有的SpringHttpSessionConfiguration的子类所使用。

6.3. 局限性

Spring Security’s SessionRegistry接口的Spring Session实现不支持getAllPrincipals方法,因此这些信息就不能使用Spring Session获取。这个方法也不会被Spring Security调用,因此这仅仅影响那些访问SessionRegistry 自己的应用。

原文:https://docs.spring.io/spring-session/docs/2.0.0.M4/reference/html5/#spring-security

RonTech
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring-boot-security
07-16
Spring Boot Security是一个强大的工具,它集成Spring Security框架,使得在Spring Boot应用中实现安全控制变得简单高效。Spring Security是一个全面的、可高度定制的安全框架,适用于Java Web应用程序,包括认证...
最新版Spring Security & Spring Session 实现单点登录
weixin_43626356的博客
08-23 1412
Spring Security & Spring Session & Redis实现SSO
Day91.Spring Security框架: 认证与授权、Spring Session集成--Session共享
a111042555的博客
06-27 1308
Spring Security
Spring Security源码分析九:Spring Security Session管理
最新发布
Karka_的博客
05-23 793
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
SpringBoot+SpringSecurity+SpringSession配置快速入门与应用场景分析
satanradnana的专栏
02-23 2294
简介 公司有一个复杂项目,需要建设多个应用系统。例如:用户管理系统、门户系统、客户管理系统、采购系统、销售管理系统、库存系统等。所有系统的用户均需要通过用户管理系统进行统一授权,每个角色通过门户系统登录一次就可以跳转到所有授权的子系统。这种场景我们就需要建设一套单点登录的模式。常见的有CAS、OAuth2、LDAP等。初步调研后发现每种类型都有很多坑,而且最主要的是开发工作量大。有没有一...
Spring securitySpring session 一起使用
热门推荐
StupidPig0818的博客
04-22 1万+
Spring security 中包含对Session的处理,在引入Spring session后, 两者是如何共存的。 有几个问题需要考虑: 1、两者Session存放的位置 2、Session的生命周期管理第一个问题还没了解清楚,我暂时将问题记录下了,如果有高手知道可以私信我。 疑问如下: 在xml中security配置(session部分)如下:<security:http> <s
Spring Security +Spring Session Redis+JJWT
fxtxz2的专栏
02-08 2084
Spring Security+Spring Session Redis+JJWT实现集中引用式会话
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
spring-session-hazelcast:在Spring Session中使用Hazelcast的示例
05-13
Spring会议榛树播报 在Spring Session 1.0.2中使用Hazelcast 3.5.1的示例 从Spring Session 1.1开始,此示例现在是Spring ... ./gradlew security-hazelcast:tomcatRun 该应用程序将在 登录为 用户名用户 密码密码
Springsession nginx反向代理集成过程
08-19
Springsession nginx反向代理集成过程 springsession 是一个灵活的会话管理解决方案,可以与nginx反向代理集成,实现分布式session共享。本文将详细介绍springsession nginx反向代理集成过程,包括springsession...
基于java config的springSecurity集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
实战开发,使用 Spring SessionSpring security 完成网站登录改造!!
楼下小黑哥
08-19 821
上次小黑在文章中介绍了四种分布式一致性 Session 的实现方式,在这四种中最常用的就是后端集中存储方案,这样即使 web 应用重启或者扩容,Session 都没有丢失的风险。 今天我们就使用这种方式对 Session 存储方式进行改造,将其统一存储到 Redis 中。 实现方案 我们先来想一下,如果我们不依靠任何框架,自己如何实现后端 Session 集中存储。 这里我们假设我们的网站除了某些页面,比如首页可以直接访问以外,其他任何页面都需要登录之后才能访问。 如果需要实现这个需求,这就需要我们对每个
Spring全家桶-Spring Security之会话管理
HQ DevJ的专栏
05-25 1166
Spring全家桶-Spring Security之会话管理 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之会话管理前言一、Session
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1898
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
SpringSecuritySession 使用
Earth_Programer的博客
04-12 2938
在之前的几章里面,我们分别做了快速入门、自定义表单登录、自定义手机登录。他们有一个共同点,就是目前我们与客户端之间的交互都依赖于 Session。那么本章我们就带大家来了解一下 SpringSecuritySession 的使用与设置。 Session 是什么? Session 中文意思为会议,在计算机中,尤其在网络应用中称为会话控制。 Session直接翻译成中文比较困难,一般都译成时域...
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4088
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
spring-security整合spring-session
weixin_43789433的博客
01-10 1634
spring-security整合spring-session引入依赖增加spring-session.xml配置文件在原有的spring-security.xml内容基础上,修改配置信息完整的spring-security.xml配置如下web.xml配置文件中增加如下配置,使spring-session生效修改web.xml中spring-security过滤器配置 引入依赖 <...
springSecurity 整合 springSession问题
MrZhang的博客
07-31 1837
springSecurity 整合 springSession springSecurity 实现登录认证 spring-session-data-redis 来实现session共享 环境描述:spring.version4.2.1 、security.version3.1.3 问题描述:登录认证正常,但用户登录信息未存储到redis中 web.xml配置 <!-- 权限 Spring Security3.1 的权限过滤 filter-name 配置: 配
spring-boot-starter-security是用来做什么的?
02-25
spring-boot-starter-securitySpring Boot框架中的一个模块,于提供安全认证和授权功能...使用spring-boot-starter-security可以简化安全功能的集成和配置,提高开发效率,并且可以保护应用程序免受常见的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值