当使用spring security 的标签,如下,其中<sec:session-management>对应的SessionManagementFilter。从名字可以看出,这是一个管理Session的过滤器。这个过滤器会拦截每一个请求。然后判断用户有没有认证过。如果已经认证过,则执行Session认证策略。session 认证策略可配置。我们来看看这个过滤器的源代码,具体逻辑就直接在源码上标注。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) res;



        if (request.getAttribute(FILTER_APPLIED) != null) {

            chain.doFilter(request, response);

            return;

        }

        request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

        if (!securityContextRepository.containsContext(request)) {// 第一次访问,直接放行

            Authentication authentication = SecurityContextHolder.getContext()

                    .getAuthentication();//获取认证对象

            if (authentication != null && !trustResolver.isAnonymous(authentication)) {//用户已经认证过

                // The user has been authenticated during the current request, so call the

                // session strategy

                try {

                    sessionAuthenticationStrategy.onAuthentication(authentication,

                            request, response); //这里是session管理的关键,具体逻辑请看Session认证策略

                }

                catch (SessionAuthenticationException e) {

                    // The session strategy can reject the authentication

                    logger.debug(

                            "SessionAuthenticationStrategy rejected the authentication object",

                            e);

                    SecurityContextHolder.clearContext();

                    failureHandler.onAuthenticationFailure(request, response, e);

                    return;

                }

                // Eagerly save the security context to make it available for any possible

                // re-entrant

                // requests which may occur before the current request completes.

                // SEC-1396.

                securityContextRepository.saveContext(SecurityContextHolder.getContext(),

                        request, response);

            }

            else {

                // No security context or authentication present. Check for a session

                // timeout

                if (request.getRequestedSessionId() != null

                        && !request.isRequestedSessionIdValid()) {

                    if (logger.isDebugEnabled()) {

                        logger.debug("Requested session ID "

                                + request.getRequestedSessionId() + " is invalid.");

                    }

                    if (invalidSessionStrategy != null) {

                        invalidSessionStrategy

                                .onInvalidSessionDetected(request, response);

                        return;

                    }

                }

            }

        }

        chain.doFilter(request, response);

    }

CompositeSessionAuthenticationStrategy.java:

public void onAuthentication(Authentication authentication,

            HttpServletRequest request, HttpServletResponse response)

            throws SessionAuthenticationException {

        for (SessionAuthenticationStrategy delegate : delegateStrategies) {

            if (logger.isDebugEnabled()) {

                logger.debug("Delegating to " + delegate);

            }

            delegate.onAuthentication(authentication, request, response);

        }

    }
ConcurrentSessionControlAuthenticationStrategy.java
/**

     * In addition to the steps from the superclass, the sessionRegistry will be updated

     * with the new session information.

     */

    public void onAuthentication(Authentication authentication,

            HttpServletRequest request, HttpServletResponse response) {

        final List<SessionInformation> sessions = sessionRegistry.getAllSessions(

                authentication.getPrincipal(), false); // 根据认证主体获取session

        int sessionCount = sessions.size();

        int allowedSessions = getMaximumSessionsForThisUser(authentication);

        if (sessionCount < allowedSessions) {

            // They haven't got too many login sessions running at present

            return;

        }

        if (allowedSessions == -1) {

            // We permit unlimited logins

            return;

        }

        if (sessionCount == allowedSessions) {

            HttpSession session = request.getSession(false);

            if (session != null) {

                // Only permit it though if this request is associated with one of the

                // already registered sessions

                for (SessionInformation si : sessions) {

                    if (si.getSessionId().equals(session.getId())) {

                        return;

                    }

                }

            }

            // If the session is null, a new one will be created by the parent class,

            // exceeding the allowed number

        }

        allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);

    }
protected void allowableSessionsExceeded(List<SessionInformation> sessions,
      int allowableSessions, SessionRegistry registry)
      throws SessionAuthenticationException {
   if (exceptionIfMaximumExceeded || (sessions == null)) {
      throw new SessionAuthenticationException(messages.getMessage(
            "ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",
            new Object[] { Integer.valueOf(allowableSessions) },
            "Maximum sessions of {0} for this principal exceeded"));
   }

   // Determine least recently used session, and mark it for invalidation
   SessionInformation leastRecentlyUsed = null;

   for (SessionInformation session : sessions) {
      if ((leastRecentlyUsed == null)
            || session.getLastRequest()
                  .before(leastRecentlyUsed.getLastRequest())) {
         leastRecentlyUsed = session;
      }
   }

   leastRecentlyUsed.expireNow();
}
 
<sec:http>
  <sec:session-management/>
</sec:http>

Spring Security Session并发控制原理解析的更多相关文章

  1. Spring Security 解析(七) —— Spring Security Oauth2 源码解析

    Spring Security 解析(七) -- Spring Security Oauth2 源码解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因 ...

  2. Spring Security 访问控制 源码解析

    上篇 Spring Security 登录校验 源码解析  分析了使用Spring Security时用户登录时验证并返回token过程,本篇分析下用户带token访问时,如何验证用户登录状态及权限问 ...

  3. Spring Security 入门(1-7)Spring Security - Session管理

    参考链接:https://xueliang.org/article/detail/20170302232815082 session 管理 Spring Security 通过 http 元素下的子元 ...

  4. Spring Security Session Time Out

    最近在用Spring Security做登录管理,登陆成功后,页面长时间无操作,超过session的有效期后,再次点击页面操作,页面无反应,需重新登录后才可正常使用系统. 为了优化用户体验,使得在se ...

  5. spring security控制session

    spring security控制session本文给你描述在spring security中如何控制http session.包括session超时.启用并发session以及其他高级安全配置. 创 ...

  6. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  7. Spring Security 入门原理及实战

    目录 从一个Spring Security的例子开始 创建不受保护的应用 加入spring security 保护应用 关闭security.basic ,使用form表单页面登录 角色-资源 访问控 ...

  8. 44. Spring Security FAQ春季安全常见问题

    第44.1节,“一般问题” 第44.2节,“常见问题” 第44.3节,“春季安全架构问题” 第44.4节,“常见”如何“请求 44.1 General Questions 第44.1.1节,“Spri ...

  9. Spring Security的使用

    spring security使用目的:验证,授权,攻击防护. 原理:创建大量的filter和interceptor来进行请求的验证和拦截,以此来达到安全的效果. Spring Security主要包 ...

随机推荐

  1. jsonp简介

    jsonp主要是利用script的跨域.简单点说就是像img,css,js这样的文件是跨域的,这也就是为什么我们能够利用cdn进行加速的原因.而且像js这样的文件,如果里面是一个自执行的代码,比如: ...

  2. k64 datasheet学习笔记22---Direct Memory Access Controller (eDMA)

    0.前言 本文主要介绍DMA相关内容 1.简介 DMA模块包含: 1.一个DMA引擎 源和目的地址的计算 数据搬移 2.本地存储的传输控制描述TCD,对于16个传输通道中的每一个各对应一个TCD 1. ...

  3. Linux内存管理 (22)内存检测技术(slub_debug/kmemleak/kasan)【转】

    转自:https://www.cnblogs.com/arnoldlu/p/8568090.html 专题:Linux内存管理专题 关键词:slub_debug.kmemleak.kasan.oob. ...

  4. O2O、B2B、C2C(通俗讲解)

    你在地摊买东西,C2C你去超市买东西,B2C超市找经销商进货,B2B超市出租柜台给经销商卖东西,B2B2C你在网上下载个优惠券去KFC消费,O2O 一:O2O 1.概念: O2O即Online To ...

  5. Centos6.X搭建Squid为YUM做代理

    1.在能联网的机器上安装 Squid yum install squid 2.配置squid vi /etc/squid/squid.conf 编辑内容如下: http_port cache_mem ...

  6. formData 对象 与 Content-Type 类型

    FormData FormData对象用以将数据编译成键值对,以便用XMLHttpRequest来发送数据.其主要用于发送表单数据,但亦可用于发送带键数据(keyed data),而独立于表单使用.如 ...

  7. 创建免费的证书,实现网站HTTPS

    使用Certbot来实现HTTPS,这边也就考虑采用Cerbot来实现下 配置Certbot 证书 Certbot 的官方网站是 https://certbot.eff.org/ ,打开官网选择的 w ...

  8. python之鼠标的操作

    鼠标操作的方法,封装在ActionChains类中 perform:执行ActionChains中的所有存储行为 context_click:右键单击 move_to_element:悬停 doubl ...

  9. Coverity代码扫描工具

    1.说明:Coverity代码扫描工具可以扫描java,C/C++等语言,可以和jenkins联动,不过就是要收钱,jenkins上的插件可以用,免费的,适用于小的java项目 2.这是Coverit ...

  10. 深入理解 Java 垃圾回收机制

            深入理解 Java 垃圾回收机制 一:垃圾回收机制的意义 java  语言中一个显著的特点就是引入了java回收机制,是c++程序员最头疼的内存管理的问题迎刃而解,它使得java程序员 ...