[11] SessionManagementFilter

最新推荐文章于 2024-04-12 08:25:51 发布
最新推荐文章于 2024-04-12 08:25:51 发布
阅读量2.6w 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: spring security
本文链接:https://blog.csdn.net/liuyanglglg/article/details/104890556

SessionManagementFilter

介绍

该Filter的主要作用是,当请求经过过滤器是 ,判断缓存中是否有同一session id的请求,如果不存在则从上下文中获取身份认证信息,并使用SessionAuthenticationStrategy对身份认证信息执行必要的操作,比如重新生成session id来防止session-fixation攻击。过滤器中有2个比较重要的全局变量,分别是SessionAuthenticationStrategy、SecurityContextRepository。SessionAuthenticationStrategy实例的实现是CompositeSessionAuthenticationStrategy,是一个复合型的会话认证策略,默认情况下仅包含一个ChangeSessionIdAuthenticationStrategy,用于改变session的id,可以防止session fixation攻击(建议百度)。SecurityContextRepository用户将SecurityContext上下文保存到session中,但是默认情况SecurityContextRepository的实现是NullSecurityContextRepository,可以通过修改配置为SessionCreationPolicy.IF_REQUIRED,进而给Filter注入HttpSessionSecurityContextRepository的实现,具体如何进行配置以及配置注入的代码分析可以参照SecurityContextPersistenceFilter这篇文章。

代码分析

步骤1

当请求经过SessionManagementFilter时,需要判断缓存中是否已经存在了同一session id的请求了,只有不存在时,才从上下文中取身份认证信息,并通过SessionAuthenticationStrategy对authentication进行认证操作,认证成功后写入到缓存中,代码如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
	//过滤器已经应用过了,直接可以进入下个过滤器
    if (request.getAttribute(FILTER_APPLIED) != null) {
        chain.doFilter(request, response);
        return;
    }
	//防止重复进入验证代码,先打个标识
    request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
	//判断repo中是否未存储过同一session id请求
    if (!securityContextRepository.containsContext(request)) {
        //从上下文中或身份认证信息
        Authentication authentication = SecurityContextHolder.getContext()
                .getAuthentication();
		//身份认证信息非空,并且不是匿名认证
        if (authentication != null && !trustResolver.isAnonymous(authentication)) {
            try {
                //这里CompositeSessionAuthenticationStrategy
                //1. ChangeSessionIdAuthenticationStrategy进行验证
                sessionAuthenticationStrategy.onAuthentication(authentication,
                        request, response);
            }
            catch (SessionAuthenticationException e) {
                SecurityContextHolder.clearContext();
                failureHandler.onAuthenticationFailure(request, response, e);

                return;
            }
            //将上下文中的身份认证信息存储的session中
            securityContextRepository.saveContext(SecurityContextHolder.getContext(),
                    request, response);
        }
        else {
            // No security context or authentication present. Check for a session
            // timeout
            if (request.getRequestedSessionId() != null
                    && !request.isRequestedSessionIdValid()) {
                if (invalidSessionStrategy != null) {
                    invalidSessionStrategy
                            .onInvalidSessionDetected(request, response);
                    return;
                }
            }
        }
    }

    chain.doFilter(request, response);
}

步骤2

sessionAuthenticationStrategy.onAuthentication()这行代码笔者有个疑问,sessionAuthenticationStrategy持有的策略默认只有一个ChangeSessionIdAuthenticationStrategy,这个策略使用修改session 的session id的,但是在笔者实际调用中始终hadSessionAlready=false,但笔者认为不应该修改alwaysCreateSession的默认值,因此代码始终执行不到修改session id的代码段,代码如下:

public void onAuthentication(Authentication authentication,
        HttpServletRequest request, HttpServletResponse response) {
    boolean hadSessionAlready = request.getSession(false) != null;
	//如果session不存在,就无法发起session攻击,直接返回即可
    if (!hadSessionAlready && !alwaysCreateSession) {
        // Session fixation isn't a problem if there's no session

        return;
    }

    //session已经存在,一下操作是替换session id
    // Create new session if necessary
    HttpSession session = request.getSession();

    if (hadSessionAlready && request.isRequestedSessionIdValid()) {

        String originalSessionId;
        String newSessionId;
        Object mutex = WebUtils.getSessionMutex(session);
        synchronized (mutex) {
            // We need to migrate to a new session
            originalSessionId = session.getId();

            session = applySessionFixation(request);
            newSessionId = session.getId();
        }

        if (originalSessionId.equals(newSessionId)) {
            logger.warn("Your servlet container did not change the session ID when a new session was created. You will"
                    + " not be adequately protected against session-fixation attacks");
        }

        onSessionChange(originalSessionId, session, authentication);
    }
}

步骤3

HttpSessionSecurityContextRepository#saveContext()方法最终会调到createNewSessionIfAllowed(),有个全局变量十分重要,allowSessionCreation的值决定着session能否成功被创建,我们可以配置SessionCreationPolicy为IF_REQUIRED或者ALWAYS。Spring Security SessionCreationPolicy的配置在ResourceServerConfigurerAdapter(资源服务配置)和AuthorizationServerSecurityConfigurer(认证服务配置),我们在微服务中使用Spring Security时,往往登录、登出、检查TOKEN调认证服务接口,而在其他业务系统中往往引入资源服务认证配置。但是对于授权认证服务,其代码有点不太一样,即使配置了也没有什么用,AuthorizationServerSecurityConfigurer的这段代码又晚于我们的自定义配置执行,因此这里的设置放入shareObject的SecurityContextRepository,最终都会被替换为NullSecurityContextRepository,代码如下:

private HttpSession createNewSessionIfAllowed(SecurityContext context) {
    if (isTransientAuthentication(context.getAuthentication())) {
        return null;
    }

    if (httpSessionExistedAtStartOfRequest) {
        return null;
    }

    if (!allowSessionCreation) {
        return null;
    }
    // Generate a HttpSession only if we need to

    if (contextObject.equals(context)) {
        return null;
    }

    try {
        return request.getSession(true);
    }
    catch (IllegalStateException e) {
    }

    return null;
}


@Override
public void init(HttpSecurity http) throws Exception {

    registerDefaultAuthenticationEntryPoint(http);
    if (passwordEncoder != null) {
        ClientDetailsUserDetailsService clientDetailsUserDetailsService = new ClientDetailsUserDetailsService(clientDetailsService());
        clientDetailsUserDetailsService.setPasswordEncoder(passwordEncoder());
        http.getSharedObject(AuthenticationManagerBuilder.class)
                .userDetailsService(clientDetailsUserDetailsService)
                .passwordEncoder(passwordEncoder());
    }
    else {
        http.userDetailsService(new ClientDetailsUserDetailsService(clientDetailsService()));
    }
    //这里默认使用的是NullSecurityContextRepository
    http.securityContext().securityContextRepository(new NullSecurityContextRepository()).and().csrf().disable()
            .httpBasic().realmName(realm);
    if (sslOnly) {
        http.requiresChannel().anyRequest().requiresSecure();
    }
}
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
积木BI及仪表盘 编辑之后不会立马显示更新 解决方法
最新发布
码农研究僧的博客
01-17 135
编辑内容之后不会立马显示更新,且看数据库都无内容,但数据还是显示原先的数据! 编辑的内容 首先查看数据库是否有所改变,如果没有改变(前提是最新版本,最新源码) 说明是内部代码有问题,如果有改变说明是缓存问题引起
14 spring-security 中的 SessionManagerFilter 导致的每刷新一次页面 JSESSIONID 切换一次 导致 session 不可用
970655147的专栏
04-12 1335
然后 响应了一个 set-cookie 的响应头, 告诉客户端这边重新更新 cookie, 第一批次的请求的所有响应里面都有这个 set-cookie, 并且每一个 set-cookie 中的 JSESSIONID 不一。按照 我们的通常的 web 经验的理解, 一个 session 应该是有一定的生命周期的, 为啥这里每一批次请求 就会切换 JSESSIONID 呢?然后 这个处理之后的其他业务使用到了 request.getSession(true) 的相关业务操作, 会创建新的 session。
Spring Security3源码分析(13)-SessionManagementFilter分析-上
Benjamin
09-11 2154
SessionManagementFilter过滤器对应的类路径为  org.springframework.security.web.session.SessionManagementFilter  这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果不想使用这个过
Spring Security3源码分析-SessionManagementFilter分析-下
Dead_Knight的专栏
05-08 233
很多spring security3资料在介绍session的并发控制都要求配置HttpSessionEventPublisher的监听器,如下 [code="xml"] org.springframework.security.web.session.HttpSessionEventPublisher [/code] 这个监听器...
Spring Security Web 5.1.2 源码解析 -- SessionManagementFilter
Details Inside Spring
12-08 1765
概述 该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。 针对Servlet 3.1+,缺省所使用的SessionAuthenticationStrategy会是一个Change...
Spring Security学习笔记之SessionManagementFilter
py_xin的博客
10-11 3724
开始的时候不明白这个过滤器的作用是什么. 看源码: public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest)
Spring Security深度解析:11大过滤器详解
8. SessionManagementFilter:该过滤器处理会话管理相关的任务,如检测会话固定攻击(session fixation)和会话超时。 9. ExceptionTranslationFilter:异常转换过滤器负责捕获安全相关的异常,并将其转化为HTTP...
Invalid bound statement (not found)错误【已解决】
JavaPub
06-10 1128
开源地址: https://gitee.com/rodert/liawan-vue
Spring Cloud与微服务学习总结(6)——认证鉴权与API权限控制在微服务架构中的设计与实现(四)
科技D人生
10-28 3121
本文转载自(http://blueskykong.com/2017/10/26/security4/)1. 前文回顾首先还是照例对前文进行回顾。在第一篇 认证鉴权与API权限控制在微服务架构中的设计与实现(一)介绍了该项目的背景以及技术调研与最后选型。第二篇认证鉴权与API权限控制在微服务架构中的设计与实现(二)画出了简要的登录和校验的流程图,并重点讲解了用户身份的认证与token发放的具体实现。
Spring Security3源码分析-SessionManagementFilter分析-上
Dead_Knight的专栏
05-08 302
SessionManagementFilter过滤器对应的类路径为 org.springframework.security.web.session.SessionManagementFilter 这个过滤器看名字就知道是管理session的了,http标签是自动配置时,默认是添加SessionManagementFilter过滤器到filterChainProxy中的,如果不想使用这个过滤...
session网站登录控制——filter方式
archer的技术故事
10-12 1681
session网站登录控制——filter方式
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2715
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
如何使用Spring Security控制会话
allway2的博客
11-18 4153
并发会话控制功能用于维护活动会话列表以及关联的经过身份验证的用户的信息。我们在本文前面配置了 Spring 安全性使用此事件发布来发布会话生命周期中的事件,并且相应地更新了 SessionRegistry。每次登录的客户尝试访问应用程序的安全部分时,都会检查用户的活动会话。以下是安全性中可用的选项,可以帮助我们配置和控制会话创建。会话超时后,如果他们提交具有无效会话 ID 的请求,我们可以将使用重定向到特定页面。在本文中,我们讨论了 Spring 安全会话管理以及如何使用 Spring 安全性控制会话。
SPRING SECURITY构建REST服务-1100-单机SESSION管理
alfsan的专栏
04-05 503
Session失效时间:springboot配置session失效时间,只需要在application.properties里配置#session超时时间,低于60秒按60秒server.session.timeout = 60如果想自己定义session失效的提示信息,需要配置:@Configuration //这是一个配置 public class BrowserSecurityConfig ...
Spring security开启remember me功能,配置session超时,导致csrf验证失败
tof
06-25 1683
概述 当开启remember me功能,且配置session超时,当session超时后,会清空session,刷新页面可以正常实现记住我的功能,但是存放到session中的csrf token已被清空,会提示csrf校验异常,跳转到登录页面,导致remember me功能无法实现。 配置remember me + session超时 后端 public class HttpSecurityConfigurer { @Override public void configure(H
浅谈Session机制及CSRF攻防
hl1293348082的专栏
04-07 874
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session,中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。 早期,客户端与服务端之间的每次信息传递都是独立的。这与HTTP协议的无状态性有关。用户发送的一个请求只是为了告诉服务端想访问的资源,然后服务端将用户要的资..
Spring Security原理学习--核心过滤器Filter
weixin_42175570的博客
11-06 1034
首先Spring Security的认证功能是依赖Filter实现的,当然在认证功能基础上还提供了一些安全的验证等都是依赖Filter来实现完成的,如下截图Spring Security提供了13个功能Filter,并且是按照如下顺序依次执行的。当然配合Spring web的Filter注入实现,Spring Security提供了另外一个Filter的实现类FilterChainProxy,其对...
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1483
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值