SpringSecurity⼊门(四):Session会话管理
本⽂在⼀⽂的代码基础上介绍Spring Security的 Session 会话管理。
Session 会话管理的配置⽅法
Session 会话管理需要在configure(HttpSecurity http)⽅法中通过http.ssionManagement()开启配置。此处对http.ssionManagement()返回值的主要⽅法进⾏说明,这些⽅法涉及 Session 会话管理的配置,具体如下:invalidSessionUrl(String invalidSessionUrl):指定会话失效时(请求携带⽆效的 JSESSIONID 访问系统)重定向的 URL,默认重定向到登录页⾯。
invalidSessionStrategy(InvalidSessionStrategy invalidSessionStrategy):指定会话失效时(请求携带⽆效的 JSESSIONID 访问系统)的处理策略。
maximumSessions(int maximumSessions):指定每个⽤户的最⼤并发会话数量,-1 表⽰不限数量。
maxSessionsPreventsLogin(boolean maxSessionsPreventsLogin):如果设置为 true,表⽰某⽤户达到最⼤会话并发数后,新会话请求会被拒绝登录;如果设置为 fal,表⽰某⽤户达到最⼤会话并发数后,新会话请求访问时,其最⽼会话会在下⼀次请求时失效并根据 expiredUrl() 或者 expiredSessionStrategy() ⽅法配置的会话失效策略进⾏处理,默认值为 fal。
expiredUrl(String expiredUrl):如果某⽤户达到最⼤会话并发数后,新会话请求访问时,其最⽼会话会在下⼀次请求时失效并重定向到 expiredUrl。
expiredSessionStrategy(SessionInformationExpiredStrategy expiredSessionStrategy):如果某⽤户达到最⼤会话并发数后,新会话请求访问时,其最⽼会话会在下⼀次请求中失效并按照该策略处理请求。注意如果本⽅法与expiredUrl() 同时使⽤,优先使⽤ expiredUrl() 的配置。
ssionRegistry(SessionRegistry ssionRegistry):设置所要使⽤的 ssionRegistry,默认配置的是 SessionRegistryImpl 实现类。
Session 会话失效处理
当⽤户的 Session 会话失效(请求携带着⽆效的 JSESSIONID 访问系统)时,可以制定相关策略对会话失效的请求进⾏处理。
invalidSessionUrl ⽅法
☕ 修改安全配置类 SpringSecurityConfig,配置 Session 会话失效时重定向到/login/page
@EnableWebSecurity // 开启 MVC Security 安全配置
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
//...
/**
* 定制基于 HTTP 请求的⽤户访问控制
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//...
// 开启 Session 会话管理配置
http.ssionManagement()
// 设置 Session 会话失效时重定向路径,默认为 loginPage()
.
invalidSessionUrl("/login/page");
}
//...
}
☕ 设置 Session 的失效时间
Session 的失效时间配置是 SpringBoot 原⽣⽀持的,可以在 application.properties 配置⽂件中直接配置:
# ssion 失效时间,单位是秒,默认为 30min
rver.rvlet.ssion.timeout=30m
# JSESSIONID (Cookie)的⽣命周期,单位是秒,默认为 -1
rver.kie.max-age=-1
注意:Session 的失效时间⾄少要 1 分钟,少于 1 分钟按照 1 分钟配置,查看源码:
public class TomcatServletWebServerFactory extends AbstractServletWebServerFactory implements ConfigurableTomcatWebServerFactory, ResourceLoaderAware {
//...
private long getSessionTimeoutInMinutes() {
Duration ssionTimeout = Session().getTimeout();
// ⾄少 1 分钟,少于 1 分钟按照 1 分钟配置
return this.isZeroOrLess(ssionTimeout) ? 0L : Math.Minutes(), 1L);
}
//...
}
为了⽅便检验,在 application.properties 中配置 Session 的失效时间为 1 分钟:
# ssion 失效时间,单位是秒,默认为 30min
rver.rvlet.ssion.timeout=60
☕ 测试
浏览器访问localhost:8080/login/page,输⼊正确的⽤户名、密码(不选择“记住我”功能)成功登录后,重定向到⾸页⾯:
之后,等待 1 分钟,刷新页⾯,浏览器重定向到/login/page:
invalidSessionStrategy ⽅法
如果想要⾃定义 Session 会话失效处理策略,使⽤该⽅法传⼊⾃定义策略。
⾃定义 Session 会话失效处理策略 CustomInvalidSessionStrategy
西安教育培训fig.curity.ssion;
ity.ResultData;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.curity.web.DefaultRedirectStrategy;
import org.springframework.curity.web.RedirectStrategy;
import org.springframework.curity.web.ssion.InvalidSessionStrategy;
import org.springframework.stereotype.Component;
import javax.rvlet.http.Cookie;
import javax.rvlet.http.HttpServletRequest;
import javax.rvlet.http.HttpServletRespon;
import java.io.IOException;
/**
* ⽤户请求携带⽆效的 JSESSIONID 访问时的处理策略,即对应的 Session 会话失效
*/
@Component
public class CustomInvalidSessionStrategy implements InvalidSessionStrategy {
@Autowired
private ObjectMapper objectMapper;
private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
@Override
public void onInvalidSessionDetected(HttpServletRequest request, HttpServletRespon respon) throws IOException { // 清除浏览器中的⽆效的 JSESSIONID
Cookie cookie = new Cookie("JSESSIONID", null);
cookie.tPath(getCookiePath(request));
cookie.tMaxAge(0);
respon.addCookie(cookie);
String xRequestedWith = Header("x-requested-with");
// 判断前端的请求是否为 ajax 请求
if ("XMLHttpRequest".equals(xRequestedWith)) {
// 响应 JSON 数据
respon.tContentType("application/json;chart=utf-8");
// 重定向到登录页⾯
redirectStrategy.ndRedirect(request, respon, "/login/page");
}
}
private String getCookiePath(HttpServletRequest request) {
String contextPath = ContextPath();
return contextPath.length() > 0 ? contextPath : "/";
}
}
修改安全配置类 SpringSecurityConfig,配置使⽤⾃定义的 Session 会话失效处理策略
@EnableWebSecurity // 开启 MVC Security 安全配置
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
//...
@Autowired
private CustomInvalidSessionStrategy invalidSessionStrategy; // ⾃定义 Session 会话失效策略
//...
/**
* 定制基于 HTTP 请求的⽤户访问控制
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//...
// 开启 Session 会话管理配置
http.ssionManagement()
// 设置 Session 会话失效时重定向路径,默认为 loginPage()
// .invalidSessionUrl("/login/page")
// 配置使⽤⾃定义的 Session 会话失效处理策略
sdrs.invalidSessionStrategy(invalidSessionStrategy);
}
//...
}
测试
浏览器访问localhost:8080/login/page,输⼊正确的⽤户名、密码(不选择“记住我”功能)成功登录后,重定向到⾸页⾯:
之后,等待 1 分钟,刷新页⾯,查看响应头:
同时,浏览器重定向到/login/page:
Session 会话并发控制
Session 会话并发控制可以限制⽤户的最⼤并发会话数量,例如:只允许⼀个⽤户在⼀个地⽅登陆,也就是说每个⽤户在系统中只能有⼀个 Session 会话。为了⽅便检验,在 application.properties 中将 Session 的过期时间改回 30分钟:
# ssion 有效期,单位是秒,默认为 30min
rver.rvlet.ssion.timeout=30m
在使⽤ Session 会话并发控制时,最好保证⾃定义的 UrDetails 实现类重写了 equals() 和 hashCode() ⽅法:
@Data
public class Ur implements UrDetails {
//...
private String urname; // ⽤户名
//...
@Override
public boolean equals(Object obj) { // equals() ⽅法⼀般要重写
return obj instanceof Ur && this.urname.equals(((Ur) obj).urname);
sit down
}
@Override
public int hashCode() { // hashCode() ⽅法⼀般要重写
return this.urname.hashCode();
}
}
我们前⾯实现了两种登录⽅式:⽤户名、密码登录和⼿机短信验证码登录,需要保证两种登录⽅式使⽤的是同⼀个 SessionAuthenticationStrategy 实例,也就是 MobileAuthenticationConfig 配置类中要有(1.4)的配置:
@Component
public class MobileAuthenticationConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
//...
@Override
public void configure(HttpSecurity http) throws Exception {
//...
//(1.1) 创建⼿机短信验证码认证过滤器的实例 filer
MobileAuthenticationFilter filter = new MobileAuthenticationFilter();
//...
//(1.4) 设置 filter 使⽤ SessionAuthenticationStrategy 会话管理器
// 多种登录⽅式应该使⽤同⼀个会话管理器实例,获取 Spring 容器已经存在的 SessionAuthenticationStrategy 实例
SessionAuthenticationStrategy ssionAuthenticationStrategy = SharedObject(SessionAuthenticationStrategy.class);can you run it
filter.tSessionAuthenticationStrategy(ssionAuthenticationStrategy);
诘责是什么意思//...
}
我爱你的韩文
}
如果没有(1.4)的配置,MobileAuthenticationFilter 默认使⽤的是 NullAuthenticatedSessionStrategy 实例管理 Session,⽽ UrnamePasswordAuthenticationFilter 使⽤的是 CompositeSessionAuthenticationStrategy 实例管理Session,也就是说两种登录⽅式的 Session 管理是相互独⽴的,这是不应该出现的情况。
基本使⽤
场景⼀:如果同⼀个⽤户在第⼆个地⽅登录,则不允许他⼆次登录
✏ 修改安全配置类 SpringSecurityConfig,配置⽤户最⼤并发 Session 会话数量和限制⽤户⼆次登录
@EnableWebSecurity // 开启 MVC Security 安全配置
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
//...
/
**
* 定制基于 HTTP 请求的⽤户访问控制
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//...
// 开启 Session 会话管理配置
http.ssionManagement()
// 设置 Session 会话失效时重定向路径,默认为 loginPage()
// .invalidSessionUrl("/login/page")
// 配置使⽤⾃定义的 Session 会话失效处理策略
.
invalidSessionStrategy(invalidSessionStrategy)
// 设置单⽤户的 Session 最⼤并发会话数量,-1 表⽰不受限制
.maximumSessions(1)
// 设置为 true,表⽰某⽤户达到最⼤会话并发数后,新会话请求会被拒绝登录
.maxSessionsPreventsLogin(true);
// 设置所要使⽤的 ssionRegistry,默认为 SessionRegistryImpl 实现类
.ssionRegistry(ssionRegistry());
}
/**
* 注册 SessionRegistry,该 Bean ⽤于管理 Session 会话并发控制
*/
@Bean
public SessionRegistry ssionRegistry() {
return new SessionRegistryImpl();
}
/**
disturbia
* 配置 Session 的监听器(注意:如果使⽤并发 Sessoion 控制,⼀般都需要配置该监听器)
* 解决 Session 失效后, SessionRegistry 中 SessionInformation 没有同步失效的问题
*/
@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
return new HttpSessionEventPublisher();
}
//..
}
✏ 测试
第⼀个浏览器访问localhost:8080/login/page,输⼊正确的⽤户名、密码成功登录后,会重定向到/index:hettich
第⼆个浏览器访问localhost:8080/login/page,输⼊相同的⽤户名、密码访问,重定向/login/page?error:
上述配置限制了同⼀个⽤户的⼆次登陆,但是不建议使⽤该配置。因为⽤户⼀旦被盗号,那真正的⽤户后续就⽆法登录,只能通过联系管理员解决,所以如果只能⼀个⽤户 Session 登录,⼀般是新会话登录并将⽼会话踢下线。场景⼆:如果同⼀个⽤户在第⼆个地⽅登录,则将第⼀个踢下线
⾃定义最⽼会话被踢时的处理策略 CustomSessionInformationExpiredStrategy:
fig.curity.ssion;
ity.ResultData;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.curity.authentication.AuthenticationServiceException;
import org.AuthenticationException;
import org.urdetails.UrDetails;
import org.springframework.curity.web.DefaultRedirectStrategy;
import org.springframework.curity.web.RedirectStrategy;
import org.springframework.curity.web.ssion.SessionInformationExpiredEvent;
import org.springframework.curity.web.ssion.SessionInformationExpiredStrategy;
import org.springframework.stereotype.Component;
import javax.rvlet.http.HttpServletRequest;
import javax.rvlet.http.HttpServletRespon;
import java.io.IOException;
/**
* 前提:Session 并发处理的配置为 maxSessionsPreventsLogin(fal)
* ⽤户的并发 Session 会话数量达到上限,新会话登录后,最⽼会话会在下⼀次请求中失效,并执⾏此策略
*/
@Component
public class CustomSessionInformationExpiredStrategy implements SessionInformationExpiredStrategy {
@Autowired
private ObjectMapper objectMapper;
private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
@Override
public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException {
HttpServletRequest request = Request();
HttpServletRespon respon = Respon();
// 最⽼会话被踢下线时显⽰的信息
UrDetails urDetails = (UrDetails) SessionInformation().getPrincipal();
String msg = String.format("⽤户[%s]在另外⼀台机器登录,您已下线!", Urname());
String xRequestedWith = Request().getHeader("x-requested-with");
// 判断前端的请求是否为 ajax 请求
if ("XMLHttpRequest".equals(xRequestedWith)) {
// 认证成功,响应 JSON 数据
respon.tContentType("application/json;chart=utf-8");
}el {
// 返回到登录页⾯显⽰信息
AuthenticationException e = new AuthenticationServiceException(msg);
redirectStrategy.ndRedirect(request, respon, "/login/page?error");
}
}
}
修改安全配置类 SpringSecurityConfig,配置最⽼会话被踢时的处理策略
@EnableWebSecurity // 开启 MVC Security 安全配置
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
//...
@Autowired
private CustomSessionInformationExpiredStrategy ssionInformationExpiredStrategy; // ⾃定义最⽼会话失效策略
//...
/**
* 定制基于 HTTP 请求的⽤户访问控制
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//...
// 开启 Session 会话管理配置
http.ssionManagement()
// 设置 Session 会话失效时重定向路径,默认为 loginPage()
// .invalidSessionUrl("/login/page")
// 配置使⽤⾃定义的 Session 会话失效处理策略
.
invalidSessionStrategy(invalidSessionStrategy)
// 设置单⽤户的 Session 最⼤并发会话数量,-1 表⽰不受限制
.maximumSessions(1)
// 设置为 true,表⽰某⽤户达到最⼤会话并发数后,新会话请求会被拒绝登录;
// 设置为 fal,表⽰某⽤户达到最⼤会话并发数后,新会话请求访问时,其最⽼会话会在下⼀次请求时失效
.maxSessionsPreventsLogin(fal)
// 设置所要使⽤的 ssionRegistry,默认为 SessionRegistryImpl 实现类
.ssionRegistry(ssionRegistry())
// 最⽼会话在下⼀次请求时失效,并重定向到 /login/page
//.expiredUrl("/login/page");
// 最⽼会话在下⼀次请求时失效,并按照⾃定义策略处理
.expiredSessionStrategy(ssionInformationExpiredStrategy);
}
/**
* 注册 SessionRegistry,该 Bean ⽤于管理 Session 会话并发控制
*/
@Bean
public SessionRegistry ssionRegistry() {
return new SessionRegistryImpl();
}
/**
* 配置 Session 的监听器(如果使⽤并发 Sessoion 控制,⼀般都需要配置)
* 解决 Session 失效后, SessionRegistry 中 SessionInformation 没有同步失效问题
*/
@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
return new HttpSessionEventPublisher();
}
//...
}
测试
第⼀个浏览器访问localhost:8080/login/page,输⼊正确的⽤户名、密码成功登录后,重定向到/index:
第⼆个浏览器访问localhost:8080/login/page,输⼊相同的⽤户名、密码成功登录后,重定向到/index:
刷新第⼀个浏览器页⾯,重定向到/login/page?error:
原理分析
✌ AbstractAuthenticationProcessingFilter#doFilter
public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware {
private SessionAuthenticationStrategy ssionStrategy = new NullAuthenticatedSessionStrategy();
//...
// 过滤器 doFilter() ⽅法
public void doFilter(ServletRequest req, ServletRespon res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)req;
HttpServletRespon respon = (HttpServletRespon)res;
if (!quiresAuthentication(request, respon)) {
//(1) 判断该请求是否为 POST ⽅式的登录表单提交请求,如果不是则直接放⾏,进⼊下⼀个过滤器
chain.doFilter(request, respon);
} el {
if (this.logger.isDebugEnabled()) {
this.logger.debug("Request is to process authentication");
}
// Authentication 是⽤来存储⽤户认证信息的类,后续会进⾏详细介绍
Authentication authResult;
哥伦比亚大学校训try {
//(2) 调⽤⼦类 UrnamePasswordAuthenticationFilter 重写的⽅法进⾏⾝份认证,
// 返回的 authResult 对象封装认证后的⽤户信息
authResult = this.attemptAuthentication(request, respon);
if (authResult == null) {
return;
}
//(3) Session 策略处理(如果配置了⽤户 Session 最⼤并发数,就是在此处进⾏判断并处理)
// 默认使⽤的是新创建的 NullAuthenticatedSessionStrategy 实例,⽽ UrnamePasswordAuthenticationFilter 过滤器使⽤的是 CompositeSessionAuthenticationStrategy 实例 Authentication(authResult, request, respon);
} catch (InternalAuthenticationServiceException var8) {
("An internal error occurred while trying to authenticate the ur.", var8);
//(4) 认证失败,调⽤认证失败的处理器英语周报网站
this.unsuccessfulAuthentication(request, respon, var8);
return;
} catch (AuthenticationException var9) {
this.unsuccessfulAuthentication(request, respon, var9);
return;
}
//(4) 认证成功的处理
if (inueChainBeforeSuccessfulAuthentication) {
// 默认的 continueChainBeforeSuccessfulAuthentication 为 fal,所以认证成功之后不进⼊下⼀个过滤器
chain.doFilter(request, respon);
}
// 调⽤认证成功的处理器
this.successfulAuthentication(request, respon, chain, authResult);