Spring-Security笔记12 Session管理

最新推荐文章于 2024-10-09 18:45:54 发布
最新推荐文章于 2024-10-09 18:45:54 发布
阅读量2.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Spring-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjyyyangyi/article/details/79414358
本文详细介绍了Spring Security中关于Session的管理,包括session失效时的跳转链接配置、session攻击保护策略(migrateSession、none、newSession)以及并发控制。重点讲解了并发控制如何限制同一用户同时登录,并在超过限制时的处理方式,如设置失效链接和区分AJAX与普通页面的响应策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Spring-security.xml中配置

<!-- Session管理 -->
<!-- invalid-session-url Session失效后跳转的界面 -->
<sec:session-management invalid-session-url="/sessionInvalid.do?message=invalid-session"
 session-fixation-protection="migrateSession">
	<sec:concurrency-control error-if-maximum-exceeded="false" max-sessions="1"
				expired-url="/sessionInvalid.do?message=expired" />
</sec:session-management>
<!-- session失效跳转不拦截 -->
<sec:http pattern="/sessionInvalid.do" security="none" />

1、invalid-session-url表示session失效时的跳转链接


2、session-fixation-protection是session攻击保护的策略

migrateSession:这是默认值。其表示在用户登录后将新建一个session,同时将原session中的attribute都copy到新的session中。

none:表示继续使用原来的session。

newSession:表示重新创建一个新的session,但是不copy原session拥有的attribute。


3、concurrency-control

通常情况下,在你的应用中你可能只希望同一用户在同时登录多次时只能有一个是成功登入你的

最低0.47元/天 解锁文章

新学期VIP享超值加赠
SpringSecurity(05)——会话管理
peng_gx的博客
01-15 1674
SpringSecurity会话管理
11-SpringSecuritySession共享
m0_66789766的博客
05-09 939
spring-boot-starter-test test 配置文件 server: port: 8000 spring: redis: host: 10.16.1.110 port: 6379 pool.max-idle: 8 pool.min-idle: 0 pool.max-active: 8 pool.max-wait: -1 password: timeout: 1000 资源接口 创建资源接口: 登录之后默认跳转 / ,展示当前服务的端口号。 @RestController publ
SpringSecurity如何管理session
xsgnzb的专栏
03-14 1130
SessionManagementFilter是在用户认证成功后,执行一些session相关的工作,包括防止固定会话攻击,多点登录登自动下线等。用户通过扩展点,能自定义各种策略。下面是SessionManagementFilter的流程图,分为4个子流程:认证通过,执行策略成功,保存SecurityContext,执行下一个Filter认证通过,执行策略失败,执行身份认证失败策略(一般是重定向到登录页面),结束请求。
Spring Security 入门(1-7)Spring Security - Session管理
weixin_34401479的博客
06-16 225
参考链接:https://xueliang.org/article/detail/20170302232815082 session 管理 Spring Security 通过 http 元素下的子元素 session-management 提供了对 Http Session 管理的支持。 检测 session 超时 Spring Security 可以在用户使用已经超时的 sessionId 进...
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
SpringSecurity (七)session管理(会话管理
weixin_43189971的博客
07-19 1501
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理Session销毁监听器......
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security OAuth2】- 项目结构
最新发布
smart_an的专栏
10-09 991
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security团队正式宣布Spring Security OAuth终止维护
资料免费分享,点击名片
06-05 1011
Spring Security团队正式宣布Spring Security OAuth终止维护。spring 官宣终止维护spring security oauth目前官网的主页已经高亮提醒大家彻底停止维护。官网已经通知EOL旧的Spring Security OAuth项目终止到2.5.2.RELEASE版本,该项目将不会再进行任何的迭代,包括Bug修复,之前胖哥已经提醒该项目即将停止维护,有心的同学已经进行了迁移。2020年就已经宣布了EOL时间表项目文档和代码仓库被移除目前该项目的官方文档已经正式从sp
Spring Security——session管理
weixin_33921089的博客
05-05 351
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
Spring Security中的会话【Session管理与防御以及会话的并发控制
SunRains
12-17 4780
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Spring Security登出Session失效
李旺枝的博客
08-16 4678
一、配置Session和自定义登出 package com.sf.browser; import com.sf.config.MySessionExpiredStrategy; import com.sf.filter.ValidateCodeFilter; import com.sf.handler.MyAuthenticationFailureHandler; import com.sf...
会话管理Session Management
确实比较男
05-25 2165
HttpSessionEventPublisher 实现了HttpSessionListener接口,监听session的创建和销毁事件,通过ApplicationContext发布对应的事件HttpSessionCreatedEvent HttpSessionDestroyedEvent //监听session创建事件 public void sessionCreated(HttpS...
Spring Security教程(14)---- Logout和SessionManager
chongmiandun5173的博客
02-28 209
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/jaune161/article/details/18736687 Logout的配置很简单,只需要在http中加入下面的配置就可以了 <sec:logout i...
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1940
Springboot +spring security,实现session并发控制及实现原理分析
SpringSecurityinvalidSessionUrl的坑
yy290879584的专栏
01-10 5023
项目中在Security配置文件public class SecuritySimpleConfig extends WebSecurityConfigurerAdapter中,设置session过期自动跳转地址: //session过期跳转地址 http.sessionManagement().invalidSessionUrl("/admin/session-invalid"); 发现系统启动后...
Spring security invalid-session-url 的坑(配了permitAll仍然跳转到登录页)
dong_19890208的专栏
02-17 1万+
Spring security session配置中如果配了如下的invalid-session-url,配置了permitAll链接首次链接系统时会跳转到登录页,将该配置删除即可解决此问题。
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 1042
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Boot学习笔记:掌握Spring Security静态资源管理
本资源是关于Spring Security的详细学习笔记,特别针对Spring Boot环境中的使用进行了整理。" 知识点如下: 1. Spring Security简介 - Spring Security的起源:它是Spring Framework的一部分,专门负责安全领域。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值