版本信息



<parent>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-parent</artifactId>

    <version>1.5.14.RELEASE</version>

    <relativePath/> <!-- lookup parent from repository -->

</parent>

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>1.5.14.RELEASE</version>

    <!--实际里面spring-security-web的版本是4.2.7-->

</dependency>

在ss中基本的session管理

  • session无效处理
  • session过期处理
  • 并发登录处理
  • 限制同一用户重复登录和顶号


    // 配置session相关

    // CustomSecurityProperties是自定义的常量参数类

    private void configSession(HttpSecurity http) throws Exception {

        http.sessionManagement()

                .invalidSessionStrategy(invalidSessionStrategy) //session无效处理策略

                .invalidSessionUrl(CustomSecurityProperties.invalidSessionUrl)

                .maximumSessions(1)  //同一用户最大session数

                .maxSessionsPreventsLogin(false) //达到最大数禁止登录(预防并发登录)

                .expiredSessionStrategy(sessionInformationExpiredStrategy) //session过期处理策略

                .expiredUrl(CustomSecurityProperties.expiredSessionUrl);

    }

并发登录处理

例如用户在两台电脑上登录,并在两台电脑上办公,可设置maximumSessions值为2,这样springsecurity在管理session时会对该用户保持两个有效的session。

限制同一用户重复登录和顶号

例如要求用户最多只能在一台电脑上登录,并且另一台电脑登录会顶掉之前的登录信息。

maximumSessions设置为1

maxSessionsPreventsLogin设置为false

例如要求用户最多只能在一台电脑上登录,并且另一台电脑登录会提示不可重复登录。

maximumSessions设置为1

maxSessionsPreventsLogin设置为true

session无效处理和session过期处理

简单的处理,只是进行url跳转,配置invalidSessionUrl和expiredUrl两个参数即可。

如果需要记录session无效或过期时的用户信息、日志等,需要自定义实现类InvalidSessionStrategy和SessionInformationExpiredStrategy

自定义处理

自定义三个类

AbstractSessionStrategy

CustomExpiredSessionStrategy

CustomInvalidSessionStrategy

在config类中进行配置

    /**

     * 配置sec的session失效策略

     * 配置给sessionManagement

     */

    @Bean

    @ConditionalOnMissingBean(InvalidSessionStrategy.class)

    public InvalidSessionStrategy invalidSessionStrategy() {

        return new CustomInvalidSessionStrategy(CustomSecurityProperties.invalidSessionUrl);

    }

    /**

     * 配置sec的session过期策略

     * 配置给sessionManagement

     */

    @Bean

    @ConditionalOnMissingBean(SessionInformationExpiredStrategy.class)

    public SessionInformationExpiredStrategy sessionInformationExpiredStrategy() {

        return new CustomExpiredSessionStrategy(CustomSecurityProperties.invalidSessionUrl);

    }

三个实现类的代码:

AbstractSessionStrategy



import com.company.testss12.support.RetVO;

import com.fasterxml.jackson.databind.ObjectMapper;

import org.apache.commons.lang3.StringUtils;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.http.HttpStatus;

import org.springframework.security.web.DefaultRedirectStrategy;

import org.springframework.security.web.RedirectStrategy;

import org.springframework.security.web.util.UrlUtils;

import org.springframework.util.Assert;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

/**

 * @author starmoon1994

 */

public class AbstractSessionStrategy {

    private final Logger logger = LoggerFactory.getLogger(getClass());

    /**

     * 跳转的url

     */

    private String destinationUrl;

    /**

     * 重定向策略

     */

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    /**

     * 跳转前是否创建新的session

     */

    private boolean createNewSession = true;

    private ObjectMapper objectMapper = new ObjectMapper();

    /**

     */

    public AbstractSessionStrategy(String invalidSessionUrl) {

        Assert.isTrue(UrlUtils.isValidRedirectUrl(invalidSessionUrl), "url must start with '/' or with 'http(s)'");

        this.destinationUrl = invalidSessionUrl;

    }

    protected void onSessionInvalid(HttpServletRequest request, HttpServletResponse response) throws IOException {

        logger.info("onSessionInvalid IP:{}   URI:{}", request.getRemoteHost(), request.getRequestURI());

        if (createNewSession) {

            request.getSession();

        }

        String sourceUrl = request.getRequestURI();

        String targetUrl;

        if (StringUtils.endsWithIgnoreCase(sourceUrl, ".html")) {

            targetUrl = destinationUrl;//+".html";

            logger.info("session失效,跳转到" + targetUrl);

            redirectStrategy.sendRedirect(request, response, targetUrl);

        } else {

            String message = "session已失效,请重新登录";

            if (isConcurrency()) {

                message = message + ",有可能是并发登录导致的";

            }

            response.setStatus(HttpStatus.UNAUTHORIZED.value());

            response.setContentType("application/json;charset=UTF-8");

            RetVO retVO = new RetVO();

            retVO.setMsg(message);

            response.getWriter().write(objectMapper.writeValueAsString(retVO));

        }

    }

    /**

     * session失效是否是并发导致的

     */

    protected boolean isConcurrency() {

        return false;

    }

    /**

     * Determines whether a new session should be created before redirecting (to

     * avoid possible looping issues where the same session ID is sent with the

     * redirected request). Alternatively, ensure that the configured URL does

     * not pass through the {@code SessionManagementFilter}.

     *

     * @param createNewSession defaults to {@code true}.

     */

    public void setCreateNewSession(boolean createNewSession) {

        this.createNewSession = createNewSession;

    }

}

CustomExpiredSessionStrategy



import org.springframework.security.web.session.SessionInformationExpiredEvent;

import org.springframework.security.web.session.SessionInformationExpiredStrategy;

import java.io.IOException;

/**

 * session失效策略

 */

public class CustomExpiredSessionStrategy extends AbstractSessionStrategy implements SessionInformationExpiredStrategy {

    public CustomExpiredSessionStrategy(String invalidSessionUrl) {

        super(invalidSessionUrl);

    }

    @Override

    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException {

        onSessionInvalid(event.getRequest(), event.getResponse());

    }

    @Override

    protected boolean isConcurrency() {

        return true;

    }

}

CustomInvalidSessionStrategy



import org.springframework.security.web.session.InvalidSessionStrategy;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

/**

 * @author starmoon1994

 */

public class CustomInvalidSessionStrategy extends AbstractSessionStrategy implements InvalidSessionStrategy {

    public CustomInvalidSessionStrategy(String invalidSessionUrl) {

        super(invalidSessionUrl);

    }

    @Override

    public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response)

            throws IOException {

        onSessionInvalid(request, response);

    }

}

完整项目工程参考

https://github.com/starmoon1994/springsecurity-collection

2536-springsecurity系列--关于session管理1的更多相关文章

  1. ABP(现代ASP.NET样板开发框架)系列之7、ABP Session管理

    点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之7.ABP Session管理 ABP是“ASP.NET Boilerplate Project (ASP.NET ...

  2. 【SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  3. Hibernate 系列 05 - Session 类

    引导目录: Hibernate 系列教程 目录 前言: Session是Hibernate运作的中心,对象的生命周期.事务的管理.数据库的存取都与Session息息相关. 就如同在编写JDBC时需要关 ...

  4. SAP接口编程 之 JCo3.0系列(04) : 会话管理

    在SAP接口编程之 NCo3.0系列(06) : 会话管理 这篇文章中,对会话管理的相关知识点已经说得很详细了,请参考.现在用JCo3.0来实现. 1. JCoContext 如果SAP中多个函数需要 ...

  5. ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  6. Shiro权限管理框架(四):深入分析Shiro中的Session管理

    其实关于Shiro的一些学习笔记很早就该写了,因为懒癌和拖延症晚期一直没有落实,直到今天公司的一个项目碰到了在集群环境的单点登录频繁掉线的问题,为了解决这个问题,Shiro相关的文档和教程没少翻.最后 ...

  7. 【SpringSecurity系列1】基于SpringSecurity实现前后端分离无状态Rest API的权限控制

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  8. Nhibernate的Session管理

    参考:http://www.cnblogs.com/renrenqq/archive/2006/08/04/467688.html 但这个方法还不能解决Session缓存问题,由于创建Session需 ...

  9. Openfire的启动过程与session管理

    说明   本文源码基于Openfire4.0.2.   Openfire的启动       Openfire的启动过程非常的简单,通过一个入口初始化lib目录下的openfire.jar包,并启动一个 ...

随机推荐

  1. Web安全学习笔记 SQL注入上

    Web安全学习笔记 SQL注入上 繁枝插云欣 --ICML8 SQL注入分类 SQL注入检测 一.注入分类 1.简介 SQL注入是一种代码注入技术用于攻击数据驱动的应用程序在应用程序中,如果没有做恰当 ...

  2. 使用用户名密码或ssl证书获取zabbix-api token,批量操作管理zabbix-server

    概述 Zabbix API 允许你以编程方式检索和修改 Zabbix 的配置,并提供对历史数据的访问.它广泛用于: 创建新的应用程序以使用Zabbix: 将Zabbix与第三方软件集成: 自动执行常规 ...

  3. 提升站点SEO的7个建议

    1.使用HTTPS 谷歌曾发公告表示,使用安全加密协议(HTTPS),是搜索引擎排名的一项参考因素. 所以,在域名相同情况下,HTTPS站点比HTTP站点,能获得更好的排名. 在网络渠道分发或合作上, ...

  4. 镜头随人物而动,视频编辑服务让用户稳站C位

    现如今,视频是用户记录生活最热门的方式,各种App在发布视频界面都提供了视频简单剪辑的功能.除了增加音乐.滤镜.贴纸这些基础功能以外,用户越来越追求镜头感,这往往需要通过专业的视频剪辑软件手动打上关键 ...

  5. 118_Power Pivo周维度度同比、环比相关

    博客:www.jiaopengzi.com 焦棚子的文章目录 请点击下载附件 一.背景 在群里看到有人在交流周维度同环比,同时又好多天都没有更新文章了,最近没有什么好的素材,就硬生生的写一个吧. 先来 ...

  6. C#实现找二维数组中的鞍点

    鞍点定义:该位置上的元素值在行中最大,在该列上最小 代码示例: using System; using System.Collections.Generic; using System.Linq; u ...

  7. VB.net使用Microsoft.Office.Interop.Excel对Excel进行简单的读取和写入

    环境:Visual Stadio 2017  .NET Framework 4.6.1 1.直接进入正题,新建一个控制台程序,右键引用-管理Nuget程序包,搜索Microsoft.Office.In ...

  8. liunx 服务器下面安装mysql8.0

    闲来无事,准备自己搭建一个服务器高点事情,不可避免的就是需要使用到mysql数据库了.在Linux系统安装MySQL8.0,网上已经有很多的教程了,到自己安装的时候却发现各种各样的问题,现在把安装过程 ...

  9. 【SpringSecurity系列1】基于SpringSecurity实现前后端分离无状态Rest API的权限控制

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  10. buuctf刷题记录

    极客大挑战 2019]EasySQL-1 直接通过输入万能密码:' or 1=1#实现注入: 思考:服务端sql语句应该为:select * from users where username='xx ...