2. 程式人生 > 實用技巧 >spring security 5 session管理

spring security 5 session管理

阿新 發佈:2020-12-17
spring security 如何儲存我們的登入資訊。


根據官方文件我們可以知道通過登入驗證(AuthenticationProvider.authenticate(Authentication authentication)方法中驗證)後,會將一個驗證通過的例項Authentication放入安全上下文SecurityContextSecurityContext可從SecurityContextHolder中獲得。
Authentication資訊包括:

  • principal -驗證使用者,通常為UserDetails例項(實際生產中實現該介面,通過資料庫查詢該資訊)。
  • credentials -通常是密碼。在許多情況下,將在驗證使用者身份後清除此內容,以確保它不會洩漏。
  • authorities -許可權GrantedAuthority。 通常是角色或範圍。

驗證通過後,後續需要登入使用者資訊可直接從Authentication獲取。

spring security 如何記錄登入狀態

我們知道javaweb 通過jsession 會話id來確保同一個會話,同一個連線。在security中同樣通過jSessionId來記錄使用者登入,每次請求到達服務端,會通過ConcurrentSessionFilter過濾器驗證是否存在該session,不存在則不是登入狀態。驗證通過繼續執行FilterChain後續的過濾器。
ConcurrentSessionFilter

部分原始碼

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        HttpSession session = request.getSession(false);
        if (session != null) {
            SessionInformation info = this.sessionRegistry.getSessionInformation(session.getId());
            if (info != null) {
                //session過期做退出登入處理
                if (info.isExpired()) {
                    if (this.logger.isDebugEnabled()) {
                        this.logger.debug("Requested session ID " + request.getRequestedSessionId() + " has expired.");
                    }

                    this.doLogout(request, response);
                    this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));
                    return;
                }
                //若該session存在,則重新整理它的最後請求時間
                this.sessionRegistry.refreshLastRequest(info.getSessionId());
            }
        }
        //若該session不存在,後續處理中會做未登入處理
        chain.doFilter(request, response);
    }

SessionManagementFilter部分原始碼

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        //判斷是否被該過濾器處理過
        if (request.getAttribute("__spring_security_session_mgmt_filter_applied") != null) {
            chain.doFilter(request, response);
        } else {
            request.setAttribute("__spring_security_session_mgmt_filter_applied", Boolean.TRUE);
            if (!this.securityContextRepository.containsContext(request)) {
                Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
                if (authentication != null && !this.trustResolver.isAnonymous(authentication)) {
                    try {
                        this.sessionAuthenticationStrategy.onAuthentication(authentication, request, response);
                    } catch (SessionAuthenticationException var8) {
                        this.logger.debug("SessionAuthenticationStrategy rejected the authentication object", var8);
                        SecurityContextHolder.clearContext();
                        this.failureHandler.onAuthenticationFailure(request, response, var8);
                        return;
                    }

                    this.securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);
                } else if (request.getRequestedSessionId() != null && !request.isRequestedSessionIdValid()) {
                    if (this.logger.isDebugEnabled()) {
                        this.logger.debug("Requested session ID " + request.getRequestedSessionId() + " is invalid.");
                    }

                    if (this.invalidSessionStrategy != null) {
                        this.invalidSessionStrategy.onInvalidSessionDetected(request, response);
                        return;
                    }
                }
            }

            chain.doFilter(request, response);
        }
    }
退出登入或刪除cookie後的請求security如何處理
  • 請求中攜帶 jSessionId時只能請求公共資源,無法訪問私有資源。(security 定義)
    WebSecurityConfigurerAdapter繼承類中定義
@Override
	public void configure(WebSecurity web) throws Exception {
                //指定多個公共資源,無需登入即可訪問
		web.ignoring().antMatchers("/login.html", "/page/login/**");
	}
  • 退出登入後的請求會繼續驗證session是否存在,不存在則重新登入。

相關推薦

spring security 5 session管理

spring security 如何儲存我們的登入資訊。 根據官方文件我們可以知道通過登入驗證(AuthenticationProvider.authenticate(Authentication authentication)方法中驗證)後,會將一個驗證通過的例項Authentication放

Spring Boot 2 + Spring Security 5 + JWT 的單頁應用 Restful 解決方案

此前我已經寫過一篇類似的教程,但那時候使用了投機的方法,沒有尊重 Spring Security 的官方設計,自己並不感到滿意。這段時間比較空,故重新研究了一遍。

Spring Security 動態許可權管理---自定義決策管理

前言 許可權的動態的驗證,也就是實現Spring Security的決策管理器AccessDecisionManager。

PasswordEncoder in spring security 5

1 {bcrypt}$2a$10$vCXMWCn7fDZWOcLnIEhmK.74dvK1Eh8ae2WrWlhr2ETPLoxQctN4. 2 {noop}plaintextpassword 1 @Bean

Spring Security 5.x Invalid Authorization Grant Type (password) for Client Registration with Id: reader

客戶端授權模式配置 authorizationGrantType: password 預設的授權請求解析不支援password模式,只支援AUTHORIZATION_CODE和IMPLICIT;

spring security 5.x Provider

Provider spring-security-config模組下 org.springframework.security.config.oauth2.client.CommonOAuth2Provider.class 包括google、github等

spring security 5.x 原理

伺服器啟動 AbstractSecurityWebApplicationInitializer implements WebApplicationInitializer (簡單的說SpringServletContainerInitializer會掃描WebApplicationInitializer實現並例項化執行onStartup(ServletCon

Spring Security 5.7.* 沒有WebSecurityConfigurerAdapter如何配置AuthenticationManager

簡述 我用了Spring security 5.7.4這個比較新的版本,而且官方已經標註說明WebSecurityConfigurerAdapter已經過期,那麼我就根據官方新的配置方式進行了配置,就在我自定義LoginFilter這個類去繼承UsernamePasswordA

Spring Security(四) Spring Security Session管理

技術標籤:SpringBoot & SpringCloud 學習實戰spring bootSpring Security Spring Security Session管理

前後端分離Spring security 從healer的token獲取Session

Cookie->Token 由於HTTP協議是無狀態協議,為了能夠跟蹤使用者的整個會話,常用的是Cookie和Session模式

spring boot:spring security用mysql資料庫實現RBAC許可權管理(spring boot 2.3.1)

一,用資料庫實現許可權管理要注意哪些環節? 1,需要生成spring security中user類的派生類,用來儲存使用者id和暱稱等資訊,

Spring Security+Spring Data Jpa如何進行安全管理

為了操作簡單,我這裡引入 Spring Data Jpa 來幫助我們完成資料庫操作 1.建立工程

spring boot:spring security實現oauth2+jwt管理認證授權及oauth2返回結果格式化(spring boot 2.3.3)

一,為什麼oauth2要整合jwt? 1,OAuth2的token技術有一個最大的問題是不攜帶使用者資訊,所以資源伺服器不能進行本地驗證,

認證和授權學習5spring security認證原理分析

認證和授權學習5spring security認證原理分析 目錄認證和授權學習5spring security認證原理分析一、結構總覽二、幾個重點的過濾器介紹2.1 SecurityContextPersistenceFilter2.2 UsernamePasswordAuthenticationF

springboot學習(七)安全管理 spring security

Spring Security入門 Spring SecuritySpring 家族中的一個安全管理框架,Spring Boot 對於 Spring Security 提供了 自動化配置方案,可以零配置使用 Spring Security

Spring Boot——Security(安全管理

重要前提說明:Spring Boot專案中引入了Spring Security框架後,自動開啟了CSRF防護功能(跨站請求偽造防護——get),所以要實現一些特定功能需要使用post請求。

Api架構奧義:ApiBoot實現零程式碼整合Spring Security & OAuth2

介面服務的安全性一直是程式設計師比較注重的一個問題,成熟的安全框架也比較多,其中一個組合就是Spring Security與OAuth2的整合,在ApiBoot內通過程式碼的封裝、自動化配置實現了自動化整合這兩大安全框架。

詳解Spring Security的HttpBasic登入驗證模式

【北京】 IT技術人員面對面試、跳槽、升職等問題,如何快速成長,獲得大廠入門資格和升職加薪的籌碼?與大廠技術大牛面對面交流,解答你的疑惑。《從職場小白到技術總監成長之路:我的職場焦慮與救贖》活動連結:碼

ApiBoot零程式碼整合Spring Security的JDBC方式獲取AccessToken

ApiBoot Security內部提供了兩種方式進行讀取需要認證的使用者資訊,在之前的文章中講到過ApiBoot Security使用記憶體方式(memory)不寫一行程式碼就可以實現使用者的認證並獲取AccessToken,那我們使用JDBC方式是不

Spring Security 新特性 Lambda DSL 使用

Lambda DSL概述 Spring Security 5.2 對 LambdaDSL 語法的增強,允許使用lambda配置HttpSecurity、ServerHttpSecurity