session在SpringSecurity中如何用——源码分析

最新推荐文章于 2024-12-19 14:19:17 发布
最新推荐文章于 2024-12-19 14:19:17 发布
阅读量793 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: SpringSecurity 文章标签: java session web filter spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/helloworld_ddd/article/details/105373053
本文探讨了SpringSecurity在登录时如何将信息写入session,并分析了登录后的请求认证过程。通过HttpSessionSecurityContextRepository和SecurityContextPersistenceFilter,SpringSecurity确保了前后端会话的session一致性。在登录成功后,SessionManagementFilter会检查session以决定是否放行请求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

登录写入session

在执行登录动作时,在successhandler中,当有流开启对响应头做出修改时就会触发一个onResponseCommit方法,里面调用了HttpSessionSecurityContextRepository.saveContent的方法对session写入或更新
在这里插入图片描述

@Override
protected void saveContext(SecurityContext context) {
   
    final Authentication authentication = context.getAuthentication();
    HttpSession httpSession = request.getSession(false);

    // See SEC-776
    if (authentication == null || trustResolver.isAnonymous(authentication)) {
   
        if (logger.isDebugEnabled()) {
   
            logger.debug(
最低0.47元/天 解锁文章
Spring Security 6.x 系列(7)—— SecurityBuilder 继承链源码分析
gmHappy
11-30 1万+
`WebSecurity`、`HttpSecurity`、`AuthenticationManagerBuilder` 都是框架中的构建者,把他们放到一起看看他们的共同特点: 可以看出他们都有这样一条相同的继承链: ```bash |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder
Spring Security 6.x 系列(15)—— 会话管理之源码分析
gmHappy
01-04 2906
在上篇 Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置 Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享 中了清晰了协议和会话的概念、对 Spring Security 中的常用会话配置进行了说明,并了解会话固定攻击防护和 Session 共享,今天我们着重对会话流程和部分源码进行分析
Spring Security 源码分析九:Spring Security Session 管理
weixin_42073629的博客
06-02 301
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。 1. Session管理 本文.
Spring Security 6 系列之六 - 会话管理(Session
最新发布
代码还是得自己扣
12-19 1533
我们在本章中了解到Spring Security的Session,并使用Redis实现Session共享。在实际业务中,Session是一种有状态登录,也就是服务器其实会存储Session信息。而现在很多项目都是使用Restful风格的微服务,Restful风格其实强调的是服务的无状态性、前后端分离。因此接下来我们开始了解Spring Security 做前后端分离的一些操作,下一章先从异常处理开始。
spring security 深入浅出(一) session认证方式(1)
tonysong111073的专栏
06-26 2296
深入浅出学习 spring security
spring security入门--会话管理
浅时光|初如梦
09-16 408
1.说明 程序代码采用之前(spring security入门--自定义UserDetails实现用户登录访问简单示例五)文章中的代码,本篇文章值给出修改部分的代码,详细代码请查看往期文章。 地址:https://blog.youkuaiyun.com/qq_32224047/article/details/108615301 2.会话理解 会话(session)就是无状态HTTP实现用户状态可维持的一种解决方案。HTTP本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户得访问没
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4741
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3062
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
SpringSecurity 实战项目(四)——Redis+解决Session共享问题
weixin_38927257的博客
12-06 2297
文章目录源码地址:security认证过程:security授权过程:JWT全面解读、详细使用步骤:重要一、分析redis依赖二、 修改1. 修改CustomUserService2. 修改JWTAuthenticationFilter3. 创建JwtUserDto4. 修改UserDaoMapper.xml,实体对象变成JwtUser5. 创建RedisService6. 创建ImoocAuth...
Spring security之管理session
远方的少年
03-21 2084
    首先要要在web.xml中加上一个监听session的监听器.   <listener> <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class> </listener>然后在spring se...
SpringSecurity(八)session管理
lizc_lizc的博客
11-16 2041
限制用户最大登录数 SpringSecurityConfig .and() .sessionManagement() .maximumSessions(1) .maxSessionsPreventsLogin(false) // 当达到maximumSessions时,true表示不能踢掉前面的登录,false表示踢掉前面的用户 .expiredSessio...
Spring Security前置知识1--Session与Http请求的状态化
天下英雄出我辈,一入江湖岁月催
03-17 588
文章目录一、Http协议的无状态性与Http请求的有状态化需求二、会话1、如何维持会话2、什么时候创建会话3、是否有sessionId就一定意味着用户已经登录4、如何判断用户已经登录5、session如何计算过期6、谁来将sessionId发往客户端7、谁来将sessionId发往后端8、我们需要在哪些地方控制session9、Session共享问题9.1、不同应用间的Session共享问题9.2...
springsecurity oauth2.0 基于session的认证授权(intercepter拦截器)2
健康平安的活着的专栏
07-31 2465
一 基于session的认证流程 1.1 认证流程 基于session的认证流程为: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 流程如下: 基于Session的认证机制由Servlet规范定制.
SecurityContextPersistenceFilter
yecong111的专栏
11-26 6939
SecurityContextPersistenceFilter主要是在SecurityContextRepository中保存更新一个securityContext,并将securityContext给以后的过滤器使用 本质上就是在session中生成一个securityContext——httpSession.setAttribute(springSecurityContextKey, co
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1482
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
Spring Security 设置session
guoyiqi
04-02 817
使用SecurityContextHolder来偷窥登入帐号密码,手段还真是不够文雅。 Spring-Security3是有提供取得登入资讯塞到Session的实践,不过写起来很烦,很烦也大概不易被破解^^。 Google这方面的资讯,不是缺漏,就是讲述古早的版本,还有中文网站,资讯虽新,却常出现文章一大抄的谬误,我目前是用3.0.2版,和3.0.1、3.0 .0差异何在也不知,不过至少我这方面有...
SpringSecuritySession管理
吴大侠的博客
11-26 2639
一、会话超时 配置session会话超时时间,默认为30分钟,但是Spring Boot中的会话超时时间至少为60秒,当session超时后, 默认跳转到登录页面. #session设置 #配置session超时时间 server.servlet.session.timeout=60 自定义设置session超时后地址,设置session管理和失效后跳转地址 http.sessionM...
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
在其他模块中使用springsessionspringsecurity获取当前登录用户
nb7474的博客
03-20 7628
目录下面主要介绍如何在其他模块中获取当前用户1. 添加依赖2. 进行session及redis的配置3. 进行springsecurity配置4. 获取当前用户5. 错误调试6. 关于每次都要创建相同包和对象的解决方案1. **将用户管理放到一个共通的模块中,然后打成一个jar包,在新的模块中直接引入此包进行使用。**2. 序列化有可以忽略包路径的方式,具体方法我也忘记了。可以自行查找。 在分布...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值