SpringSecurity-10-Session会话管理

简介: SpringSecurity-10-Session会话管理

SpringSecurity-10-Session会话管理

理解Session


Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并且发送sessionid给客户端添加到cookie中。然后该用户在之后的访问中,每一次请求都会将sessionid放到cookie中,使得服务端可以很容易识别用户。


但是有时候用户为了保护个人信息或者安全考虑会禁用cookie,这时候cookie就无法使用。因此有时候服务还支持用url重写来实现,比如:

http://www.baidu.com;jessionid=xxx


URL重写原本是为了兼容禁用cookie的浏览器而设计的,但也容易被黑客利用。黑客只需访问一 次系统,将系统生成的sessionId提取并拼凑在URL上,然后将该URL发给一些取得信任的用户。只要 用户在session有效期内通过此URL进行登录,该sessionId就会绑定到用户的身份,黑客便可以轻松享 有同样的会话状态,完全不需要用户名和密码,这就是典型的会话固定攻击。



0997c4e8da6a86b0e74d976cc67e0278.png


防御会话固定攻击


sessionManagement是一个会话管理的配置器,其中,防御会话固定攻击的策略有四种:


none:用户登录后session不发生变化


newSession:用户登录以后创建新的session


migrateSession:用户登录后创建新的session,但是会将旧的session中数据复制到新的session中。


changeSessionId:不创建新的会话,而是使用selert容器提供的会话固定保护,每次登录访问之后都更换sessionid,但是没有新建session会话。默认启动此策略


 http.sessionManagement().sessionFixation().changeSessionId();

会话过期


除了防御会话固定攻击,还可以通过SpringSecurity配置会话过期策略,比如会话过期跳转到某个URL。在Springboot应用中有两种会话超时设置的方式,当会话超时之后用户需要重写登录才可以访问应用:


server.servlet.session.timeout=1m


spring.session.timeout=1m


方式1是springboot应用自带的session超时设置,方式2是使用Spring Session之后。提供的session超时配置,方式2优先级高。


在Spring Boot中Session超时最短的时间是一分钟,当你的设置小于一分钟的时候,默认为一分钟默认超时时长是30分钟


默认情况下session失效以后会跳转到认证页面,我们可以自定义session失效后,响应结果,有以下两种方式。


invalidSessionUrl


invalidSessionUrl作用是session失效后跳转的url,配置如下,在安全配置中心的 configure(HttpSecurity http)方法中添加代码如下:


在src\main\resources\templates路径下添加invalidSession.html

<!--suppress ALL-->
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <title>springboot葵花宝典登录页面</title>
    <!-- Tell the browser to be responsive to screen width -->
    <meta name="viewport" content="width=device-width, initial-scale=1">
</head>
<body>
<h1>springboot葵花宝典登录页面</h1>
<h2>session会话失效</h2>
</body>
</html>


  1. 在controller中添加
    @RequestMapping("/invalidSession")
    public String invalidSession() {
        return "invalidSession"; // classpath: /templates/login.html
    }


  1. 在LearnSrpingSecurity的configure(HttpSecurity http)添加配置
在LearnSrpingSecurity的configure(HttpSecurity http)添加配置
http.s


具体配置如图

注意要以上路径需要配置permitAll()权限,即无需授权即可访问

测试


启动项目登录后,再次登录,结果如下

invalidSessionStrategy


session失败后的策略,配置如下:

  1. 创建com.security.learn.sessionStrategy.CustomInvalidSessionStrategy代码如下
public class CustomInvalidSessionStrategy implements InvalidSessionStrategy {
    private  static ObjectMapper objectMapper = new ObjectMapper();
    @Override
    public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
        Cookie cookie = new Cookie("JSESSIONID", null);
        cookie.setMaxAge(0);
        String contextPath = request.getContextPath();
        String c= contextPath.length() > 0 ? contextPath : "/";
        cookie.setPath(c);
        response.addCookie(cookie);
        // 当认证失败后,响应 JSON 数据给前端
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString("策略失效"));
    }
}


  1. 将CustomInvalidSessionStrategy注入容器
@Configuration
public class Myconfig {
    @Bean
    @ConditionalOnMissingBean(InvalidSessionStrategy.class)
    public CustomInvalidSessionStrategy customInvalidSessionStrategy(){
        return  new CustomInvalidSessionStrategy();
    }
}


  1. 添加session失效处理

在LearnSrpingSecurity的configure(HttpSecurity http)添加配置,代码如下

测试


启动项目登录后,再次登录,结果如下

如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!


目录
相关文章
|
存储 NoSQL Java
Spring Session分布式会话管理
Spring Session分布式会话管理
106 0
|
7月前
|
存储 缓存 搜索推荐
session 详解:掌握客户端会话管理
session 详解:掌握客户端会话管理
|
7月前
|
安全 搜索推荐 Java
【SpringSecurity6.x】会话管理
【SpringSecurity6.x】会话管理
102 0
|
7月前
|
存储 安全 Java
Spring Security中Token存储与会话管理:解析与实践
Spring Security中Token存储与会话管理:解析与实践
502 0
|
7月前
|
XML 缓存 Java
Shiro - 会话管理与SessionDao持久化Session
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。
369 0
|
安全 Java Spring
Spring Security系列教程19--会话管理之处理会话过期
前言 在上一章节中,一一哥 给各位讲解了HTTP协议、会话、URL重新、会话固定攻击等概念,并且实现了对会话固定攻击的防御拦截。 在Spring Security中,其实除了可以对会话固定攻击进行拦截之外,还可以对会话过期进行处理,也就是会话可能会过期,过期了该怎么处理。接下来请各位跟着 壹哥 继续学习,看看会话过期时到底怎么处理的吧。 一. 会话过期 1. 会话过期概念 在处理会话过期之前,我们首先得知道啥是会话过期。 所谓的会话过期,是指当用户登录网站后,较长一段时间没有与服务器进行交互,将会导致服务器上的用户会话数据(即session)被销毁。此时,当用户再次操作网页时,如果服务器进
654 0
|
安全 Java Spring
Spring Security--会话管理
就像登录qq一样,一个手机登录会将另外一个手机挤下线,这个就叫会话管理。 这个东西非常简单,在默认情况下可以登录n多次,一旦开启,就不允许登录多个。 什么是一个会话。
|
存储 前端开发
Servlet【 ServletAPI中的会话管理Cookie与Session】
Servlet【 ServletAPI中的会话管理Cookie与Session】
Servlet【 ServletAPI中的会话管理Cookie与Session】
|
存储 缓存 开发框架
shiro会话管理
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat、WebLogic),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。
|
应用服务中间件 容器
Shiro配置cookie以及共享Session和Session失效问题
Shiro配置cookie以及共享Session和Session失效问题
453 1