版本信息



<parent>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-parent</artifactId>

    <version>1.5.14.RELEASE</version>

    <relativePath/> <!-- lookup parent from repository -->

</parent>

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>1.5.14.RELEASE</version>

    <!--实际里面spring-security-web的版本是4.2.7-->

</dependency>

在ss中基本的session管理

  • session无效处理
  • session过期处理
  • 并发登录处理
  • 限制同一用户重复登录和顶号


    // 配置session相关

    // CustomSecurityProperties是自定义的常量参数类

    private void configSession(HttpSecurity http) throws Exception {

        http.sessionManagement()

                .invalidSessionStrategy(invalidSessionStrategy) //session无效处理策略

                .invalidSessionUrl(CustomSecurityProperties.invalidSessionUrl)

                .maximumSessions(1)  //同一用户最大session数

                .maxSessionsPreventsLogin(false) //达到最大数禁止登录(预防并发登录)

                .expiredSessionStrategy(sessionInformationExpiredStrategy) //session过期处理策略

                .expiredUrl(CustomSecurityProperties.expiredSessionUrl);

    }

并发登录处理

例如用户在两台电脑上登录,并在两台电脑上办公,可设置maximumSessions值为2,这样springsecurity在管理session时会对该用户保持两个有效的session。

限制同一用户重复登录和顶号

例如要求用户最多只能在一台电脑上登录,并且另一台电脑登录会顶掉之前的登录信息。

maximumSessions设置为1

maxSessionsPreventsLogin设置为false

例如要求用户最多只能在一台电脑上登录,并且另一台电脑登录会提示不可重复登录。

maximumSessions设置为1

maxSessionsPreventsLogin设置为true

session无效处理和session过期处理

简单的处理,只是进行url跳转,配置invalidSessionUrl和expiredUrl两个参数即可。

如果需要记录session无效或过期时的用户信息、日志等,需要自定义实现类InvalidSessionStrategy和SessionInformationExpiredStrategy

自定义处理

自定义三个类

AbstractSessionStrategy

CustomExpiredSessionStrategy

CustomInvalidSessionStrategy

在config类中进行配置

    /**

     * 配置sec的session失效策略

     * 配置给sessionManagement

     */

    @Bean

    @ConditionalOnMissingBean(InvalidSessionStrategy.class)

    public InvalidSessionStrategy invalidSessionStrategy() {

        return new CustomInvalidSessionStrategy(CustomSecurityProperties.invalidSessionUrl);

    }

    /**

     * 配置sec的session过期策略

     * 配置给sessionManagement

     */

    @Bean

    @ConditionalOnMissingBean(SessionInformationExpiredStrategy.class)

    public SessionInformationExpiredStrategy sessionInformationExpiredStrategy() {

        return new CustomExpiredSessionStrategy(CustomSecurityProperties.invalidSessionUrl);

    }

三个实现类的代码:

AbstractSessionStrategy



import com.company.testss12.support.RetVO;

import com.fasterxml.jackson.databind.ObjectMapper;

import org.apache.commons.lang3.StringUtils;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.http.HttpStatus;

import org.springframework.security.web.DefaultRedirectStrategy;

import org.springframework.security.web.RedirectStrategy;

import org.springframework.security.web.util.UrlUtils;

import org.springframework.util.Assert;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

/**

 * @author starmoon1994

 */

public class AbstractSessionStrategy {

    private final Logger logger = LoggerFactory.getLogger(getClass());

    /**

     * 跳转的url

     */

    private String destinationUrl;

    /**

     * 重定向策略

     */

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    /**

     * 跳转前是否创建新的session

     */

    private boolean createNewSession = true;

    private ObjectMapper objectMapper = new ObjectMapper();

    /**

     */

    public AbstractSessionStrategy(String invalidSessionUrl) {

        Assert.isTrue(UrlUtils.isValidRedirectUrl(invalidSessionUrl), "url must start with '/' or with 'http(s)'");

        this.destinationUrl = invalidSessionUrl;

    }

    protected void onSessionInvalid(HttpServletRequest request, HttpServletResponse response) throws IOException {

        logger.info("onSessionInvalid IP:{}   URI:{}", request.getRemoteHost(), request.getRequestURI());

        if (createNewSession) {

            request.getSession();

        }

        String sourceUrl = request.getRequestURI();

        String targetUrl;

        if (StringUtils.endsWithIgnoreCase(sourceUrl, ".html")) {

            targetUrl = destinationUrl;//+".html";

            logger.info("session失效,跳转到" + targetUrl);

            redirectStrategy.sendRedirect(request, response, targetUrl);

        } else {

            String message = "session已失效,请重新登录";

            if (isConcurrency()) {

                message = message + ",有可能是并发登录导致的";

            }

            response.setStatus(HttpStatus.UNAUTHORIZED.value());

            response.setContentType("application/json;charset=UTF-8");

            RetVO retVO = new RetVO();

            retVO.setMsg(message);

            response.getWriter().write(objectMapper.writeValueAsString(retVO));

        }

    }

    /**

     * session失效是否是并发导致的

     */

    protected boolean isConcurrency() {

        return false;

    }

    /**

     * Determines whether a new session should be created before redirecting (to

     * avoid possible looping issues where the same session ID is sent with the

     * redirected request). Alternatively, ensure that the configured URL does

     * not pass through the {@code SessionManagementFilter}.

     *

     * @param createNewSession defaults to {@code true}.

     */

    public void setCreateNewSession(boolean createNewSession) {

        this.createNewSession = createNewSession;

    }

}

CustomExpiredSessionStrategy



import org.springframework.security.web.session.SessionInformationExpiredEvent;

import org.springframework.security.web.session.SessionInformationExpiredStrategy;

import java.io.IOException;

/**

 * session失效策略

 */

public class CustomExpiredSessionStrategy extends AbstractSessionStrategy implements SessionInformationExpiredStrategy {

    public CustomExpiredSessionStrategy(String invalidSessionUrl) {

        super(invalidSessionUrl);

    }

    @Override

    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException {

        onSessionInvalid(event.getRequest(), event.getResponse());

    }

    @Override

    protected boolean isConcurrency() {

        return true;

    }

}

CustomInvalidSessionStrategy



import org.springframework.security.web.session.InvalidSessionStrategy;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

/**

 * @author starmoon1994

 */

public class CustomInvalidSessionStrategy extends AbstractSessionStrategy implements InvalidSessionStrategy {

    public CustomInvalidSessionStrategy(String invalidSessionUrl) {

        super(invalidSessionUrl);

    }

    @Override

    public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response)

            throws IOException {

        onSessionInvalid(request, response);

    }

}

完整项目工程参考

https://github.com/starmoon1994/springsecurity-collection

2536-springsecurity系列--关于session管理1的更多相关文章

  1. ABP(现代ASP.NET样板开发框架)系列之7、ABP Session管理

    点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之7.ABP Session管理 ABP是“ASP.NET Boilerplate Project (ASP.NET ...

  2. 【SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  3. Hibernate 系列 05 - Session 类

    引导目录: Hibernate 系列教程 目录 前言: Session是Hibernate运作的中心,对象的生命周期.事务的管理.数据库的存取都与Session息息相关. 就如同在编写JDBC时需要关 ...

  4. SAP接口编程 之 JCo3.0系列(04) : 会话管理

    在SAP接口编程之 NCo3.0系列(06) : 会话管理 这篇文章中,对会话管理的相关知识点已经说得很详细了,请参考.现在用JCo3.0来实现. 1. JCoContext 如果SAP中多个函数需要 ...

  5. ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  6. Shiro权限管理框架(四):深入分析Shiro中的Session管理

    其实关于Shiro的一些学习笔记很早就该写了,因为懒癌和拖延症晚期一直没有落实,直到今天公司的一个项目碰到了在集群环境的单点登录频繁掉线的问题,为了解决这个问题,Shiro相关的文档和教程没少翻.最后 ...

  7. 【SpringSecurity系列1】基于SpringSecurity实现前后端分离无状态Rest API的权限控制

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  8. Nhibernate的Session管理

    参考:http://www.cnblogs.com/renrenqq/archive/2006/08/04/467688.html 但这个方法还不能解决Session缓存问题,由于创建Session需 ...

  9. Openfire的启动过程与session管理

    说明   本文源码基于Openfire4.0.2.   Openfire的启动       Openfire的启动过程非常的简单,通过一个入口初始化lib目录下的openfire.jar包,并启动一个 ...

随机推荐

  1. FinClip小程序+Rust(三):一个加密钱包

    ​ 一个加密货币钱包,主要依赖加密算法构建.这部分逻辑无关iOS还是Android,特别适合用Rust去实现.我们看看如何实现一个生成一个模拟钱包,准备供小程序开发采用 前言 在之前的内容我们介绍了整 ...

  2. Hadoop安装学习(第二天)

    学习任务: 1.对VMnet8进行设置 2.配置主机名,对host文件进行编辑 3.将Hadoop文件以及jdk通过Xshell7传输到Linux系统 4.设置免密登录

  3. Java测试报告

    测试题目:ATM机 程序说明:本程序中共包含了两个类,分别为Account类和AccountManager类 Account类代码: public class Account { private St ...

  4. 差分隐私(Differential Privacy)定义及其理解

    1 前置知识 本部分只对相关概念做服务于差分隐私介绍的简单介绍,并非细致全面的介绍. 1.1 随机化算法 随机化算法指,对于特定输入,该算法的输出不是固定值,而是服从某一分布. 单纯形(simplex ...

  5. C++primer第二章

    第二章 :变量和基本类型 2.1 基本内置类型 C++定义了一套包含算术类型(arithmetic type)和空类型(void)在内的基本数据类型 2.1.1 算术类型 算术类型的分类: 整型(in ...

  6. sklearn练习1 回归

    from sklearn.svm import SVR from sklearn.pipeline import make_pipeline from sklearn.preprocessing im ...

  7. 【原创】SpringBoot 2.7.0通过lettuce及commons-pool2 v2.9.0集成Redis踩坑记录

    背景 公司的一个项目由于HTTPS证书到期,导致小程序.POS不能正常使用.所以百度了下,通过URL检测证书有效期的代码,并自行整合到一个服务中. 代码仓库:[基于SpringBoot + 企业微信 ...

  8. ”只用 1 分钟“ - 超简极速 Apk 签名 & 多渠道打包神器

    众所周知,渠道包作为当下国内 Android 应用市场常见的分发方式,当 APP 和后台交互或进行数据上报时,会带上各自的 channel 渠道信息,以此方便企业 & 开发者统计 APP 在各 ...

  9. 我所使用的生产 Java 17 启动参数

    JVM 参数升级提示工具:jacoline.dev/inspect JVM 参数词典:chriswhocodes.com Revolut(英国支付巨头)升级 Java 17 实战:https://ww ...

  10. BUUCTF-被嗅探的流量

    被嗅探的流量 提示告知是文件传输的流量,那进去过滤http流量包即可,找到一个upload目录的,并且是post方式即可,追踪http流即可发现flag