session在SpringSecurity中如何用——源码分析

最新推荐文章于 2024-12-19 14:19:17 发布
原创 最新推荐文章于 2024-12-19 14:19:17 发布 · 809 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #session #web #filter #spring

本文探讨了SpringSecurity在登录时如何将信息写入session,并分析了登录后的请求认证过程。通过HttpSessionSecurityContextRepository和SecurityContextPersistenceFilter,SpringSecurity确保了前后端会话的session一致性。在登录成功后,SessionManagementFilter会检查session以决定是否放行请求。

登录写入session

在执行登录动作时,在successhandler中,当有流开启对响应头做出修改时就会触发一个onResponseCommit方法,里面调用了HttpSessionSecurityContextRepository.saveContent的方法对session写入或更新
在这里插入图片描述

@Override
protected void saveContext(SecurityContext context) {
   
   
    final Authentication authentication = context.getAuthentication();
    HttpSession httpSession = request.getSession(false);

    // See SEC-776
    if (authentication == null || trustResolver.isAnonymous(authentication)) {
   
   
        if (logger.isDebugEnabled()) {
   
   
            logger.debug(
最低0.47元/天 解锁文章
Spring Security 6.x 系列(7)—— SecurityBuilder 继承链源码分析
gmHappy
11-30 1万+
`WebSecurity`、`HttpSecurity`、`AuthenticationManagerBuilder` 都是框架中的构建者,把他们放到一起看看他们的共同特点: 可以看出他们都有这样一条相同的继承链: ```bash |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder
Spring Security 6.x 系列(15)—— 会话管理之源码分析
gmHappy
01-04 3079
在上篇 Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置 Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享 中了清晰了协议和会话的概念、对 Spring Security 中的常用会话配置进行了说明,并了解会话固定攻击防护和 Session 共享,今天我们着重对会话流程和部分源码进行分析
Spring Security 源码分析九:Spring Security Session 管理
weixin_42073629的博客
06-02 327
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。 1. Session管理 本文.
Spring Security 6 系列之六 - 会话管理(Session
最新发布
代码让AI扣
12-19 1921
我们在本章中了解到Spring Security的Session,并使用Redis实现Session共享。在实际业务中,Session是一种有状态登录,也就是服务器其实会存储Session信息。而现在很多项目都是使用Restful风格的微服务,Restful风格其实强调的是服务的无状态性、前后端分离。因此接下来我们开始了解Spring Security 做前后端分离的一些操作,下一章先从异常处理开始。
Spring Security(九):会话管理(Session)
人不风流枉少年
05-25 1万+
一:会话超时 1. application.yml 配置session会话超时时间,默认为30秒,但是Spring Boot中的会话超时时间至少为60秒 server: servlet: session: timeout: 60 2. security configuration 配置session超时后地址 http.csrf().disable() .antMatc...
spring security 深入浅出(一) session认证方式(1)
tonysong111073的专栏
06-26 2346
深入浅出学习 spring security
spring security入门--会话管理
浅时光|初如梦
09-16 439
1.说明 程序代码采用之前(spring security入门--自定义UserDetails实现用户登录访问简单示例五)文章中的代码,本篇文章值给出修改部分的代码,详细代码请查看往期文章。 地址:https://blog.youkuaiyun.com/qq_32224047/article/details/108615301 2.会话理解 会话(session)就是无状态HTTP实现用户状态可维持的一种解决方案。HTTP本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户得访问没
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3265
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
SpringSecurity 实战项目(四)——Redis+解决Session共享问题
weixin_38927257的博客
12-06 2326
文章目录源码地址:security认证过程:security授权过程:JWT全面解读、详细使用步骤:重要一、分析redis依赖二、 修改1. 修改CustomUserService2. 修改JWTAuthenticationFilter3. 创建JwtUserDto4. 修改UserDaoMapper.xml,实体对象变成JwtUser5. 创建RedisService6. 创建ImoocAuth...
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4839
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Spring security之管理session
远方的少年
03-21 2101
    首先要要在web.xml中加上一个监听session的监听器.   <listener> <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class> </listener>然后在spring se...
SpringSecurity(八)session管理
lizc_lizc的博客
11-16 2074
限制用户最大登录数 SpringSecurityConfig .and() .sessionManagement() .maximumSessions(1) .maxSessionsPreventsLogin(false) // 当达到maximumSessions时,true表示不能踢掉前面的登录,false表示踢掉前面的用户 .expiredSessio...
Spring Security前置知识1--Session与Http请求的状态化
天下英雄出我辈,一入江湖岁月催
03-17 627
文章目录一、Http协议的无状态性与Http请求的有状态化需求二、会话1、如何维持会话2、什么时候创建会话3、是否有sessionId就一定意味着用户已经登录4、如何判断用户已经登录5、session如何计算过期6、谁来将sessionId发往客户端7、谁来将sessionId发往后端8、我们需要在哪些地方控制session9、Session共享问题9.1、不同应用间的Session共享问题9.2...
SpringSecurity OAuth2.0-第2章:基于session的认证授权&含(interceptor的使用)
健康平安的活着的专栏
07-31 2550
一 基于session的认证流程 1.1 认证流程 基于session的认证流程为: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 流程如下: 基于Session的认证机制由Servlet规范定制.
SecurityContextPersistenceFilter
yecong111的专栏
11-26 6964
SecurityContextPersistenceFilter主要是在SecurityContextRepository中保存更新一个securityContext,并将securityContext给以后的过滤器使用 本质上就是在session中生成一个securityContext——httpSession.setAttribute(springSecurityContextKey, co
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1524
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 1105
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring Boot+Spring Security:获取用户信息和session并发控制
热门推荐
悟纤学院
04-08 3万+
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 一、获取当前用户信息 1.1从页面上显示当前登陆的用户名 &lt...
spring security控制session
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
Spring Security Web 5.3.9中文文档及依赖配置
这份 `spring-security-web-5.3.9.RELEASE.jar中文文档.zip` 不仅是一个简单的翻译资料集合,更是帮助开发者快速掌握 Spring Security Web 层安全机制的技术宝典,涵盖了从依赖管理、架构原理、API 使用到源码分析等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值