spring security将sessionId放在header里,解决共享会话的问题

最新推荐文章于 2025-06-22 01:14:53 发布
最新推荐文章于 2025-06-22 01:14:53 发布
阅读量2.9k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:https://yq.aliyun.com/articles/665482
本文介绍如何使用Spring Security结合Redis实现分布式系统中的共享会话管理。通过配置RedisSessionConfig类,设置session超时时间和session策略,确保sessionId存在于header中,以实现用户登录状态的有效验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在分布式系统,都是采用redis做共享会话。
现在系统使用的是spring security,用户登陆后,如何通过sessionId保证已经登陆呢
解决办法如下:

@Configuration
//maxInactiveIntervalInSeconds session超时时间,单位秒
@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 600)
public class RedisSessionConfig {
    //这里有个小坑,如果服务器用的是云服务器,不加这个会报错
    @Bean
    public static ConfigureRedisAction configureRedisAction() {
        return ConfigureRedisAction.NO_OP;
    }
    //session策略,这里配置的是Header方式(有提供Header,Cookie等方式)
    @Bean
    public HttpSessionStrategy httpSessionStrategy() {
        return new HeaderHttpSessionStrategy();
    }
}

从代码中,关键是HeaderHttpSessionStrategy,该代码定义了如果sessionId存在header里,且key为x-auth-token,就能保证调用的正确性

【微服务|Spring Security②】基于Session的认证方式|认证流程|工程搭建
我想做一个艺术家
07-08 1140
基于Session的认证方式|认证流程|工程搭建
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8312
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringSession同时支持Cookie和header策略
04-27
NULL 博文链接:https://309593586-qq-com.iteye.com/blog/2415463
SpringSession header/cookie/attribute 存放 SessionID(死磕)
架构师尼恩
12-13 2700
SpringSession header/cookie/attribute存放 SessionID(死磕) 疯狂创客圈 Java 高并发【 亿级流量聊天室实战】实战系列 【博客园总入口 】 架构师成长+面试必备之 高并发基础书籍 【Netty Zookeeper Redis 高并发实战 】 疯狂创客圈 高并发 环境 视频,陆续上线: Windows Redis 安装(带视频) Li...
json面试题_web前端面试题Session、Cookie基础知识
weixin_39814960的博客
11-19 181
  web前端面试题Session、Cookie基础知识,Web前端作为当前市场上公认的高薪行业之一,吸引了很多人加入学习。不过,随着企业对求职者技能要求的提高,不难发现面试难度也在进一步加大。有不少同学想知道企业常问的考题是什么,接下来就给大家简单分享Session、Cookie相关面试题。 1、Cookie和Session HTTP协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一...
一、Spring Security
程序员小明1024
10-17 450
一、Spring Security介绍 1、框架介绍 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户...
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4780
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
SpringSecurity 实战项目(四)——Redis+解决Session共享问题
weixin_38927257的博客
12-06 2310
文章目录源码地址:security认证过程:security授权过程:JWT全面解读、详细使用步骤:重要一、分析redis依赖二、 修改1. 修改CustomUserService2. 修改JWTAuthenticationFilter3. 创建JwtUserDto4. 修改UserDaoMapper.xml,实体对象变成JwtUser5. 创建RedisService6. 创建ImoocAuth...
SpringSecurity导致redis压力大问题解决
最新发布
深耕互联网的码农,在AI及国产化浪潮下,希望把自己的能力输出给更多的人
06-22 1186
Redis高CPU占用率问题分析与解决方案 针对Redis服务器CPU长期90%高占用问题,分析发现核心原因是Spring Security频繁执行hgetall操作获取会话数据,其中token鉴权系统虽不使用Redis但通过cookie机制间接产生大量操作。系统存在两套鉴权体系(token/cookie)和默认每分钟清理会话任务,进一步加重负载。 解决方案采用双管齐下: 调整会话清理实例数量, 对token系统新增MySessionRepositoryFilter拦截器,不再操作redis
Spring Security之认证过滤器
Evan_L的博客
03-24 1345
上回我们探讨了关于Spring Security,着实复杂。这次咱们聊的认证过滤器就先聊聊认证功能。涉及到多方协同的功能,咱分开聊。也给小伙伴喘口气,嘻嘻。此外也是因为只有登录认证了,才有后续的更多功能集成的可能。
工作纪实_22-搭建分布式项目时使用spring-session替代token
~单人舞~的博客
01-21 938
分布式微服务`解决方案 分布式环境下,用户登录后的状态信息,一般有两种解决方案: 1.Token 步骤: 使用公钥、私钥对token进行相应的解密和加密操作,再通过网关层将用户信息通过header传递到各个服务,客户端服务接收到请求时候,解析header即可 2.服务之间的feign远程调用,通过网关层传递的请求中的header信息,解析出用户信息的同时,利用fein将用户信息透传到其他服务 2.分布式Session 单体服务下,session可以很好的帮助我们解决用户身份的会话状态问题,因为此刻我们只
java session header_srpingboot 自定义session存储在header
weixin_29331985的博客
02-25 382
packagecom.tfe.sell.common.config;importorg.springframework.session.Session;importorg.springframework.session.web.http.HeaderHttpSessionIdResolver;importorg.springframework.util.Assert;importjavax.ser...
Session入门(非常详细),从零基础入门到精通,看完这一篇就够了
Javachichi的博客
07-15 1万+
(1)Session用于记录用户的状态。Session指的是一段时间内,单个客户端与Web服务器的一连串相关的交互过程。(2)在一个Session中,客户可能会多次请求访问同一个资源,也有可能请求访问各种不同的服务器资源。(3)Session是由服务器端创建的。
SpringSecurity中的集群会话Session存在的问题以及解决方案(保持、复制、共享)
SunRains
12-21 3913
在初步了解Session的时候,我们就知道Session通常是保存在服务器的内存当中的。每一次客户访问都会携带SessionId,然后在服务器的内存中寻找。虽然这种方式简单快捷,但是仍存在比较明显的缺点。服务器的内存是有限的,所以留给Session的空间不多,因此一旦用户的访问量比较多时内存就会捉襟见肘。而且因为session是存在内存当中,并不是持久化存储,就算服务器性能特别好,但是也不免存在服务器的异常停止和重启,这个时候就会导致会话状态的丢失。
Spring Security学习笔记-登录
qq_35876261的博客
05-03 182
由于HTTP是无状态的,当用户登录成功后断开连接,等下次再次登录时不会记录你之前的登录状态,所以我们必须自己保存登录状态,一般有两种方法有状态和无状态两种方法 有状态登录 服务器会保存局部信息,会保存回话的客户信息,然后给客户端一个cookie来记录SessionID,客户端访问时会携带SessionID,服务器通过SessionID找到用户信息。 优点:便于管理,可以随时对客户信息进行操作 缺点: 当登用户过多时,服务器保存数据太多会造成一定压力 不支持集群部署 在移动端可能不支持cooki
微信小程序保存服务端sessionid的方法
lmp5023的博客
03-24 2464
普通的Web开发,都是把sessionid保存在cookie中传递的。 不管是java还是php,服务端的会在response的header中加上Set-Cookie 浏览器的请求也会在header中加上 通过这个sessionid就能使浏览器端和服务端保持会话,使浏览器端保持登录状态 但是,微信小程序不能保存Cookie,导致每次wx.request到服务端都会创建一个新的会话,...
JAVA程序通过后台登陆网站,获取Session,然后再POST Http Request添加数据到
shubangjun的专栏
04-12 526
转自:http://www.iteye.com/topic/198499 * 1,在HTTP的WEB应用中, 应用客户端和服务器之间的状态是通过Session来维持的, 而Session的本质就是Cookie, * 简单的讲,当浏览器向服务器发送Http请求的时候, HTTP服务器会产生一个SessionID,这个SessionID就唯一的标识了一个客户端到服务器的请求会话过程. * 就...
Shiro在请求头中获取sessionId以及rememberMe信息
热门推荐
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
记一次springsession使用的坑,cookie策略与header策略
m0_46649280的博客
06-17 1799
公司项目前后端分离,开始的时候用的httpsession,没啥毛病,后来项目上线,服务器遭不住了,加入了集群,并用redis共享session,于是使用了springsession,此时出现了问题,set-cookie 前端死活设置不上,百度了各种方式后无果,最后找到springsessionheader传递策略解决springsession 默认的cookie策略,修改header新增一个配置 //过期时间 @EnableRedisHttpSession(maxInactiveIntervalI
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值