spring security控制session
spring security控制session
本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。
创建session时机
我们可以准确地控制什么时机创建session,有以下选项进行控制:
always – 如果session不存在总是需要创建;
ifRequired – 仅当需要时,创建session(默认配置);
never – 框架从不创建session,但如果已经存在,会使用该session ;
stateless – Spring Security不会创建session,或使用session;
java config配置方式如下:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
}
该配置仅控制spring security做什么,不是整个应用,根据配置spring security可能不创建session,但我们的应用可以创建session。理解这点很重要。
缺省值“ifRequired”,spring security根据需要创建session。
对于大多数无状态应用,“never”选项确保spring security自身不创建任何session;然而,如果应用自己创建session,那么spring security会使用它。
最后,最严格session创建选项是“stateless”,其确保应用也不会创建任何session。从spring3.1开始引入,将影响跳过部分spring security过滤器——主要与session相关的,如HttpSessionSecurityContextRepository, SessionManagementFilter, RequestCacheFilter。
这些大多数严格控制机制直接暗示cookies不被使用,每个请求需要被认证。无状态的体系结构与REST api及它们的无状态约束很好地发挥了作用。在Basic和Digest认证中也可以很好工作。
深入理解
在执行认证过程之前,spring security将运行SecurityContextPersistenceFilter过滤器负责存储安请求之间的全上下文,上下文根据策略进行存储,默认为HttpSessionSecurityContextRepository ,其使用http session作为存储器。
对于严格的创建session选项“stateless”,使用另一个存储策略—— NullSecurityContextRepository,没有session被创建或使用,用于保存上下文。
并发session控制
当已经认证过的用户尝试再次认证时,应用针对该事件有几种处理方式。可以注销当前用户session,使用新的session重新认证,或允许两个session并存。
启用并发session控制,首先需要在配置中增加下面监听器:
@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
return new HttpSessionEventPublisher();
}
其本质是确保当session被销毁时,通知spring security session注册器。
在这种场景下,允许同一用户拥有多个并发session,配置如下:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement().maximumSessions(2)
}
session超时
session已经超时后,如果用户使用已经过期的sessionid发送请求,则会被重定向至指定url;同样如果使用未过期但完全无效的sessionid用户发送请求,也会被重定向至特定url,配置如下:
http.sessionManagement()
.expiredUrl("/sessionExpired.html")
.invalidSessionUrl("/invalidSession.html");
防止使用url参数进行session跟踪
在url中暴露session信息会增加安全风险,自spring3.0开始,追加jsessionId至url的重新逻辑可以被禁用,通过设置disable-url-rewriting=”true” 。另外自servlet3.0开始,session跟踪机制也可以在web.xml中配置:
<session-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
javaConfig方式配置如下:
servletContext.setSessionTrackingModes(EnumSet.of(SessionTrackingMode.COOKIE));
配置可以设置jessionId存储位置:cookie或url参数。
spring security防止篡改session
框架提供了保护典型的session篡改攻击,当用户尝试再次认证时,已经存在的session可以配置实现以不同方式处理。配置方式如下:
http.sessionManagement()
.sessionFixation().migrateSession()
缺省情况,spring security启用migrateSession,即认证时,创建一个新http session,原session失效,属性从原session中拷贝过来。
如果不期望这种行为,还有其他两个选项:
“none”,原session保持有效;
“newSession”,新创建session,且不从原session中拷贝任何属性。
使用session
session范围bean
bean可以简单地通过@Scope在web上下文中定义session范围:
@Component
@Scope("session")
public class Foo { .. }
然后,可以再注入值另一个bean:
@Autowired
private Foo theFoo;
这时,spring会在http session范围内创建一个新的bean。
在Controller中注入原生session
原生的session可以被直接注入至Controller方法:
@RequestMapping(..)
public void fooMethod(HttpSession session) {
session.addAttribute(Constants.FOO, new Foo();
//...
Foo foo = (Foo) session.getAttribute(Constants.Foo);
}
获取原生session
也可以通过调用servlet api以编程方式获取当前http session:
ServletRequestAttributes attr = (ServletRequestAttributes)
RequestContextHolder.currentRequestAttributes();
HttpSession session= attr.getRequest().getSession(true); // true == allow create
总结
本文讨论了spring security如何管理session,以及如何使用session。
————————————————
版权声明:本文为CSDN博主「neweastsun」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/neweastsun/article/details/79371175
spring security控制session的更多相关文章
- Spring Security控制权限
Spring Security控制权限 1,配置过滤器 为了在项目中使用Spring Security控制权限,首先要在web.xml中配置过滤器,这样我们就可以控制对这个项目的每个请求了. < ...
- 使用Spring Security控制会话
1.概述 在本文中,我们将说明Spring Security如何允许我们控制HTTP会话.此控件的范围从会话超时到启用并发会话和其他高级安全配置. 2.会话何时创建? 我们可以准确控制会话何时创建以及 ...
- Spring Security 之Session管理配置
废话不多说,直接上代码.示例如下: 1. 新建Maven项目 session 2. pom.xml <project xmlns="http://maven.apache.o ...
- Spring Security 梳理 - session
Spring Security默认的行为是每个登录成功的用户会新建一个Session.这也就是下面的配置的效果: <http create-session="ifRequired&qu ...
- spring security 控制用户信息用户加密 缓存用户信息
1. MD5加密 任何一个正式的企业应用中,都不会在数据库中使用明文来保存密码的,我们在之前的章节中都是为了方便起见没有对数据库中的用户密码进行加密,这在实际应用中是极为幼稚的做法.可以想象一下,只要 ...
- Spring Security入门(3-8)Spring Security获取session中的UserDetail
- Spring Security(13)——session管理
1.1 检测session超时 1.2 concurrency-control 1.3 session 固定攻击保护 Spring Security通过http元素下的子元素s ...
- Spring Security 入门(1-7)Spring Security - Session管理
参考链接:https://xueliang.org/article/detail/20170302232815082 session 管理 Spring Security 通过 http 元素下的子元 ...
- [Java][Spring][scurity]同步session控制,防止一个用户多次登录
[Spring][scurity]同步session控制.防止一个用户多次登录 假设你希望限制单个用户仅仅能登录到你的程序一次,Spring Security通过加入以下简单的部分支持这个功能. 1. ...
随机推荐
- Linux基础-07-系统的初始化和服务
1. Linux系统引导的顺序 1) Linux系统引导的顺序: 其中,BIOS的工作是检查计算机的硬件设备,如CPU.内存和风扇速度等: MB ...
- CH08 QSPI启动并从EMMC运行APP
8.1 概述 在前一节课,我们必须手动挂载TF卡到mnt,然后输入./a.out程序才能启动.而在嵌入式系统里面,我们很多时候需要实现开机启动程序.很多时候我们会把程序固化到FLASH,然后从EMMC ...
- 面试必问:Golang高阶-Golang协程实现原理
引言 实现并发编程有进程,线程,IO多路复用的方式.(并发和并行我们这里不区分,如果CPU是多核的,可能在多个核同时进行,我们叫并行,如果是单核,需要排队切换,我们叫并发) 进程和线程的区别 进程是计 ...
- ES与关系型数据库的通俗比较
1.在Elasticsearch中,文档归属于一种类型(type),而这些类型存在于索引(index)中,我们可以画一些简单的对比图来类比传统关系型数据库: Relational DB -> D ...
- 使用async和await的异步编程
异步编程模型(TAP)提供了抽象的异步代码.异步代码看起来和同步代码没什么大的区别,无非多个了两个关键字(async和await).但是代码的执行顺序并没看起来那么简单,代码的执行顺序根据cpu资源的 ...
- 将网站升级为https并自动续期Https证书。
Let's Encrypt Let's Encrypt 是一个由Internet Security Research Group (互联网安全研究组)提供的免费,自动化和开放的证书颁发机构. 它秉承着 ...
- python3 访问 rabbitmq 示例
关于 rabbitmq 之前用过 kafka,要是拿这两者做对比的话,大概有以下异同: 两者都是一个分布式架构 kafka 具有较高的吞吐量,rabbimq 吞吐量较小 rabbitmq 的可靠性更好 ...
- pdm文件打开方式
转自:https://blog.csdn.net/qq_36855191/article/details/79299216 pdm打开网站:http://www.dmanywhere.cn/
- win10 下的 CUDA10.0 +CUDNN + tensorflow + opencv 环境部署
1 CUDA 10.0 安装 win10 下的cuda 安装是非常简单的,和其他程序安装没什么区别,现在 tensorflow 1.13 版本以上 支持 CUDA 10.0 ,这里选取了CUDA 1 ...
- [Git]checkout 指定版本
Task:知道commit号,如何checkout 指定版本 1. 切换到master: git checkout master 2. 下载最新代码: git pull 3. 下载head: git ...