Spring Security默认的行为是每个登录成功的用户会新建一个Session。这也就是下面的配置的效果:

<http create-session="ifRequired">...</http>

这貌似没有问题,但其实对大规模的网站是致命的。用户越多,新建的session越多,最后的结果是JVM内存耗尽,你的web服务器彻底挂了。有session的另外一个严重的问题是scalability能力,用户压力上来了不能马上新建一台Jetty/Tomcat服务器,因为要考虑Session同步的问题。 先来看看Session过多导致的Jetty JVM 内存耗尽:

Spring Security 3.1开始支持stateless authentication(具体查看 What‘s new in Spring Security 3.1?),配置方法是:

<http create-session="stateless">

    <!-- ... -->

</http>

主要是在RESTful API,无状态的web调用的stateless authentication。

这个配置的意思是:Spring Security对登录成功的用户不会创建Session了,你的application也不会允许新建session,而且Spring Security会跳过所有的 filter chain:HttpSessionSecurityContextRepositorySessionManagementFilterRequestCacheFilter.

也就是说每个请求都是无状态的独立的,需要被再次认证re-authentication。开销显然是增大了,因为每次请求都必须在服务器端重新认证并建立用户角色和权限的上下文。

Stateless的RESTful authentication认证

刚才说了,配置为stateless的使用场景,例如RESTful api,其每个请求都是无状态的独立的,需要被再次认证re-authentication。操作层面,具体做法是:在每一个REST的call的头header(例如:@HeaderParam annotation. 例子: @HeaderParam.)都带user token 和 application ID,然后在服务器端对每一请求进行re-authentication. (注意:把token放在uri中是糟糕的做法,首先是安全的原因,其次是cache的原因,尽量放在head中)可以写一个拦截器来实现:

@Provider

@ServerInterceptor

public class RestSecurityInterceptor implements PreProcessInterceptor {

    @Override

    public ServerResponse preProcess(HttpRequest request, ResourceMethod method)

           throws UnauthorizedException {

        String token = request.getHttpHeaders().getRequestHeader("token").get(0);

        // user not logged-in?

        if (checkLoggedIn(token)) {

            ServerResponse response = new ServerResponse();

            response.setStatus(HttpResponseCodes.SC_UNAUTHORIZED);

            MultivaluedMap<String, Object> headers = new Headers<Object>();

            headers.add("Content-Type", "text/plain");

            response.setMetadata(headers);

            response.setEntity("Error 401 Unauthorized: "

                 + request.getPreprocessedPath());

            return response;

        }

        return null;

    }

}

Spring Security配置文件:

<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="stateless" entry-point-ref="CustomAuthenticationEntryPoint">

    <security:custom-filter ref="authenticationTokenProcessingFilter" position="FORM_LOGIN_FILTER" />

    <security:intercept-url pattern="/authenticate" access="permitAll"/>

    <security:intercept-url pattern="/**" access="isAuthenticated()" />

</security:http>

<bean id="CustomAuthenticationEntryPoint"

    class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" />

<bean class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter"

    id="authenticationTokenProcessingFilter">

    <constructor-arg ref="authenticationManager" />

</bean>

CustomAuthenticationEntryPoint:

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override

    public void commence(HttpServletRequest request, HttpServletResponse response,

            AuthenticationException authException) throws IOException, ServletException {

        response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Authentication token was either missing or invalid." );

    }

}

AuthenticationTokenProcessingFilter:

@Autowired UserService userService;

    @Autowired TokenUtils tokenUtils;

    AuthenticationManager authManager;

    public AuthenticationTokenProcessingFilter(AuthenticationManager authManager) {

        this.authManager = authManager;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response,

            FilterChain chain) throws IOException, ServletException {

        @SuppressWarnings("unchecked")

        Map<String, String[]> parms = request.getParameterMap();

        if(parms.containsKey("token")) {

            String token = parms.get("token")[0]; // grab the first "token" parameter

            // validate the token

            if (tokenUtils.validate(token)) {

                // determine the user based on the (already validated) token

                UserDetails userDetails = tokenUtils.getUserFromToken(token);

                // build an Authentication object with the user's info

                UsernamePasswordAuthenticationToken authentication =

                        new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword());

                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails((HttpServletRequest) request));

                // set the authentication into the SecurityContext

                SecurityContextHolder.getContext().setAuthentication(authManager.authenticate(authentication));

            }

        }

        // continue thru the filter chain

        chain.doFilter(request, response);

    }

}
TokenUtils: 
public interface TokenUtils {

    String getToken(UserDetails userDetails);

    String getToken(UserDetails userDetails, Long expiration);

    boolean validate(String token);

    UserDetails getUserFromToken(String token);

}


Spring Security其它方面


其他的比如concurrent Session,意思是同一个用户允许同时在线(不同地点)的数量。还有Session劫持的防止, auto-remember等,具体参考这个网页


参考:https://www.cnblogs.com/Mainz/p/3230077.html
												


											
Spring Security 梳理  - session的更多相关文章
	

    
								
  1. spring security控制session
		
    spring security控制session本文给你描述在spring security中如何控制http session.包括session超时.启用并发session以及其他高级安全配置. 创 ...
    
		
    2. 
						
  2. Spring Security 之Session管理配置
		
    废话不多说,直接上代码.示例如下: 1.   新建Maven项目  session 2.   pom.xml <project xmlns="http://maven.apache.o ...
    
		
    3. 
						
  3. Spring Security 梳理 - DelegatingFilterProxy
		
    可能你会觉得奇怪,我们在web应用中使用Spring Security时只在web.xml文件中定义了如下这样一个Filter,为什么你会说是一系列的Filter呢?    <filter> ...
    
		
    4. 
						
  4. spring security梳理
		
    核心服务:AuthenticationManager,UserDetailsService和AccessDecisionManager The AuthenticationManager, Provi ...
    
		
    5. 
						
  5. Spring Security入门(3-8)Spring Security获取session中的UserDetail
		
    
		
    6. 
						
  6. 关于Spring Security中无Session和无状态stateless
		
    Spring Security是J2EE领域使用最广泛的权限框架,支持HTTP BASIC, DIGEST, X509, LDAP, FORM-AUTHENTICATION, OPENID, CAS, ...
    
		
    7. 
						
  7. Spring Security研究(2)-高级web特性
		
    1, 添加 HTTP/HTTPS 信道安全 <http> <intercept-url pattern="/secure/**" access="ROL ...
    
		
    8. 
						
  8. [Java][Spring][scurity]同步session控制,防止一个用户多次登录
		
    [Spring][scurity]同步session控制.防止一个用户多次登录 假设你希望限制单个用户仅仅能登录到你的程序一次,Spring Security通过加入以下简单的部分支持这个功能. 1. ...
    
		
    9. 
						
  9. SpringBoot集成Spring Security(7)——认证流程
		
    文章目录 一.认证流程 二.多个请求共享认证信息 三.获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Sec ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. C++微信网页协议实现和应用
			
    微信推送报警消息实现 目录 1      前言... 2 1.1     背景... 2 1.2     现有技术对比... 2 2      总体流程... 2 3      微信网页接口解析... ...
    
			
    2. 
						
  2. 数据库回滚(rollback)和撤销(undo)的区别
			
    数据库回滚(rollback)和撤销(undo)的区别就是把某一个数据库操作恢复到该操作之前的状态,下面结合自己理解总结一下区别,如有错误,欢迎各路大佬斧正: 数据库事务过程:执行SQL——提交    ...
    
			
    3. 
						
  3. Apache—dbutils开源JDBC工具类库简介
			
    Apache—dbutils开源JDBC工具类库简介 一.前言 commons-dbutils 是 Apache 组织提供的一个开源 JDBC工具类库,它是对JDBC的简单封装,学习成本极低,并且使用 ...
    
			
    4. 
						
  4. Sql Server中变的定义以及赋值的应用
			
    --申明变量declare @ad_begin datetimedeclare @fydl varchar(50)declare @userid varchar(50)declare @jdrbm v ...
    
			
    5. 
						
  5. java设计模式8.迭代子模式、责任链模式、命令模式
			
    迭代子模式 迭代子模式可以顺序地访问一个聚集中的元素而不必暴露聚集的内部表象.它将迭代逻辑封装到一个独立的迭代子对象中,从而与聚集本身分开.迭代子对象是对遍历的抽象化,不同的聚集对象可以提供相同的迭代 ...
    
			
    6. 
						
  6. javascript JS CryptoJS DES加解密CBC模式与C#DES加解密相同互通
			
    我们只知道不同的语言解密要相互通用,就需要遵循相同的加密方式,然而在具体做技术预研的时候,就发现会遇到很多问题,网上找的资料也是比较片面,所以我踩了坑,并且把解决方案和相关资料源码提供出来,给需要的朋 ...
    
			
    7. 
						
  7. javascript合并两个数组
			
    在开发的过程中,我们很多时候会遇到需要将两个数组合并成一个数组的情况出现. var arr1 = [1, 2, 3]; var arr2 = [4, 5, 6]; // 将arr1和arr2合并成为[ ...
    
			
    8. 
						
  8. Mysql数据处理/行转列/列转行/分割/拼接/数据复制汇总
			
    mysql数据处理记录(使用的 Workbench) 生成随机数 逗号或分号拼接的字符串分割成多行 多行数据转化成用逗号拼接的字符串 将A表的数据添加到B表 一.生成随机数 生成18位:(19位就加颗 ...
    
			
    9. 
						
  9. STL容器(Stack, Queue, List, Vector, Deque, Priority_Queue, Map, Pair, Set, Multiset, Multimap)
			
    一.Stack(栈) 这个没啥好说的,就是后进先出的一个容器. 基本操作有: stack<int>q; q.push(); //入栈 q.pop(); //出栈 q.top(); //返回 ...
    
			
    10. 
						
  10. 松软带你学开发-SQLSELECTDISTINCT语句
			
    SQL SELECT DISTINCT 语句 在表中,可能会包含重复值.这并不成问题,不过,有时您也许希望仅仅列出不同(distinct)的值. 关键词 DISTINCT 用于返回唯一不同的值. 语法 ...
    
			
    11.