Security禁用session

最新推荐文章于 2025-05-21 23:25:14 发布
最新推荐文章于 2025-05-21 23:25:14 发布
阅读量7.2k 收藏 8
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 文章标签: JWT SpringSecurity不创建session 单点登录 token Session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Xjzzon/article/details/102648723
本文介绍如何在使用JWT的认证系统中禁用Session,包括调整Spring Security配置以实现STATELESS策略,避免session的创建,以及自定义的SessionAuthenticationStrategy实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Security禁用Seesion
  • 调用登录接口认证用户名及密码,成功后返回token(JWT),前端拿到这个token后根据前文的鉴权方式进行。
  • 服务端对后续请求在过滤链中(认证过滤器前的过滤器)新增JWT的验证,从JWT中提取用户名并生成userInfo然后利用下面的代码,security自然会认证通过,该实现原理和SecurityContextPersistenceFilter一样。点击查看原理
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userInfo, null, userInfo.getAuthorities());		SecurityContextHolder.getContext().setAuthentication(authentication);
  • 上诉方式因为要使用的是token方式,不希望生成session。检查一下几个地方
一、security的session生成策略改为security不主动创建session即STALELESS
httpSecurity.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
二、检查代码中是否有调用request.getSession()

在我们的项目中,自定义了session策略,当检测到http头中使用了token便不调用sessionRegistry进行注册新会话。如下:

public class MySessionAuthenticationStrategy implements SessionAuthenticationStrategy {
    private final SessionRegistry sessionRegistry;

    public void onAuthentication(Authentication authentication, HttpServletRequest request,
            HttpServletResponse response) {
        if (request.getHeader("token") == null) {
            sessionRegistry.registerNewSession(request.getSession().getId(), authentication.getPrincipal());
    	}
    }
}
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3100
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Spring Security Session
yanshendeyinji的博客
10-21 331
1sesssion的创建 (1) always – 如果会话存在,将始终创建会话 (2) ifRequired – 只有在需要时才会设立会议(默认) (3)never – 框架本身永远创建会话,但如果会话已经存在,它将使用会话 (4)stateless – SpringSecurity创建或使用任何会话 2配置 (1)xml方式 (2)java配置方式 3理解: 在执行身份验证过程之前,SpringSecurity将运行一个过滤器,负责在请求之间存储安全性上下文-安全ContextPers
Spring Security认证与授权(sessionsecurity
Zystem
05-03 1744
我们在做一个系统的时候,最可少的就是登陆,然而登陆就涉及到认证与授权。在此做一个小小总结 一、基于session的认证与授权 项目目录: 我们先看简单的一些层: controller package com.secrity.hello.controller; import com.secrity.hello.enity.AuthenticationRequest; impo...
在Spring Security框架中禁用Session
test1372965955的博客
05-06 1255
【代码】在Spring Security框架中禁用Session
Spring Boot 登录实现:JWTSession 全面对比与实战讲解
最新发布
2301_79291071的博客
05-21 1735
对比了Spring Boot中两种常见的登录认证方式:SessionJWTSession通过在服务器端存储用户信息,依赖Cookie进行身份验证,适合传统Web应用,安全性高但跨域支持较差。JWT则通过客户端存储加密的Token,无状态且跨域友好,适合前后端分离和微服务架构。详细介绍了两种方式的原理、代码实现及优缺点。
springsecurity 允许session并行登录_结合Spring Security进行web应用会话安全管理
weixin_39849894的博客
12-08 535
结合Spring Security进行web应用会话安全管理在本文中,将为大家说明如何结合Spring Security 管理web应用的会话。如果您阅读后觉得本文对您有帮助,期待您能关注、转发!您的支持是我竭的创作动力!一、Spring Security创建使用session的方法Spring Security提供4种方式精确的控制会话的创建:always:如果当前请求没有session存在,...
6.Spring Security Session 管理
LoveSummer
11-05 7571
Spring Security Session 管理 用户登录成功后,信息保存在服务器 Session 中,这节学习下如何管理这些 Session。这节将在 Spring Security 短信验证码登录的基础上继续扩展。 Session 超时设置 Session 超时时间也就是用户登录的有效时间。要设置 Session 超时时间很简单,只需要在配置文件中添加: server: session...
Spring SecuritySession管理
Evan_L的博客
04-21 2660
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
Spring Security 如何处理 Session 共享
qq3164069700的博客
12-11 633
1.集群会话方案 在传统的单服务架构中,一般来说,只有一个服务器,那么存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,被 Nginx 转发到 Tomcat A 上,然后在 Tomcat A 上往 session 中保存了一份数据,下次又来一个请求,这个请求被转发到 Tomcat B 上,此时再去 Session 中.
利用spring security控制同一个用户只能一次登陆
04-21
<listener-class>org.springframework.security.web.session.HttpSessionEventPublisher ``` 3. **自定义SessionAuthenticationStrategy**: 实现`SessionAuthenticationStrategy`接口,当用户尝试登录时,检查...
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1854
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
基于java config的springSecurity 六 集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.youkuaiyun.com/xiejx618/article/details/43059683
Spring Security(13)——session管理
weixin_33696822的博客
05-04 141
session管理 目录 1.1 检测session超时 1.2 concurrency-control 1.3 session 固定攻击保护 Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1...
关于Spring Security中无Session和无状态stateless
weixin_34269583的博客
08-01 1223
Spring Security是J2EE领域使用最广泛的权限框架,支持HTTP BASIC, DIGEST, X509, LDAP, FORM-AUTHENTICATION, OPENID, CAS, RMI, JAAS, JOSSO, OPENNMS, GRAIS....关于其详尽的说明,请参考Spring Security官方网页。但它默认的表table比较少,默认只有用户和角色,还有一个gr...
springsecurity 允许session并行登录_Spring Security 实战干货:实现自定义退出登录...
weixin_39657662的博客
12-05 319
我是 码农小胖哥。天天有编程干货分享。觉得写的错。点个赞,转发一下,关注一下。本文为个人原创文章,转载请注明出处,非法转载抄袭将追究其责任。1. 前言上一篇对 Spring Security 所有内置的filter 进行了介绍。今天我们来实战如何安全退出应用程序。2. 我们使用 Spring Security 登录后都做了什么这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以...
Spring Security - Session 管理
Flying_Fish_roe的博客
09-28 1213
如果需要实现复杂的会话策略,可以实现@Override// 自定义逻辑Spring Security 的会话管理功能为现代 Web 应用程序提供了强大的会话控制和安全保护能力。从基本的会话创建策略、会话固定保护,到高级的并发会话控制和分布式会话管理,Spring Security 通过灵活的配置选项和扩展能力,帮助开发者打造更安全、更可靠的应用程序。无论是构建单体应用还是分布式微服务架构,Spring Security 的会话管理都能提供丰富的功能来满足同的需求,是保障应用安全性的重要一环。
spring security session管理
吴振照
07-02 570
单机 Session 管理:   本文Demo 基于springboot 2.0.1版本.   spring security 中提供了很好的 session 配置管理。包括session 无效处理、session 并发控制、session过期等相应处理配置。   在Security 的配置中我们重写了protected void configure(HttpSecurity ht...
Spring Security 源码分析九:Spring Security Session 管理
weixin_42073629的博客
06-02 313
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。 1. Session管理 本文.
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值