前言
在上一章节中,一一哥 给各位讲解了HTTP协议、会话、URL重新、会话固定攻击等概念,并且实现了对会话固定攻击的防御拦截。
在Spring Security中,其实除了可以对会话固定攻击进行拦截之外,还可以对会话过期进行处理,也就是会话可能会过期,过期了该怎么处理。接下来请各位跟着 壹哥 继续学习,看看会话过期时到底怎么处理的吧。
一. 会话过期
1. 会话过期概念
在处理会话过期之前,我们首先得知道啥是会话过期。
所谓的会话过期,是指当用户登录网站后,较长一段时间没有与服务器进行交互,将会导致服务器上的用户会话数据(即session)被销毁。此时,当用户再次操作网页时,如果服务器进行了session校验,那么浏览器将会提醒用户session超时,导致这个问题的关键词有两个:一个是「长时间」,一个是「未操作」。
2. Session的超时时间
既然会话会过期,就得有个过期时间,默认情况下,Session的过期时间是30分钟,当然我们可以在yml配置文件手动修改会话的过期时间。
server servlet session#会话过期时间默认是30m过期,最少为1分钟 timeout 60s
另外会话的过期时间最少为1分钟,即便我们设置为小于60秒,也会被修正为1分钟,在Spring Boot的TomcatServletWebServerFactory类中,对此有默认实现,源码如下:
privatelonggetSessionTimeoutInMinutes() { DurationsessionTimeout=getSession().getTimeout(); if (isZeroOrLess(sessionTimeout)) { return0; } returnMath.max(sessionTimeout.toMinutes(), 1); } privatebooleanisZeroOrLess(DurationsessionTimeout) { returnsessionTimeout==null||sessionTimeout.isNegative() ||sessionTimeout.isZero(); }
3. 会话过期时的处理策略
你可能会问,万一会话过期了怎么办呢?别担心!
默认情况下,在会话过期时,Spring Security为我们提供了2种处理策略:
- 跳转到某个指定的URL;
- 自定义过期策略。
二. 会话过期时的处理策略(一)
在上面的章节中,我给各位介绍了在会话过期时,Spring Security给我们提供了2种处理策略,我们先学习第一种处理策略,即当会话过期时跳转到某个指定的URL,接下来请看代码实现。
1. 配置会话过期时间
为了方便验证测试,我们先把会话的过期时间设置为60秒,这样会话在很短时间内就可以过期。
server servlet session#会话过期时间默认是30m过期,最少为1分钟 timeout 60s
2. 定义测试接口
接下来我们定义几个测试接口,并且定义一个用来处理会话过期的接口“/session/invalid”。
publicclassUserController { "/user/hello") (publicStringhelloUser() { return"hello, user"; } "/admin/hello") (publicStringhelloAdmin() { return"hello, admin"; } "/app/hello") (publicStringhelloApp() { return"hello, app"; } "/logout") (publicvoidlogout(HttpSessionsession){ session.invalidate(); System.out.println("logout执行了..."); } //定义一个会话过期后要跳转到的接口"/session/invalid") (publicStringinvalid(){ return"会话过期invalid..."; } }
3. 配置跳转到某个URL
我们还是在之前的SecurityConfig类中,进行会话过期效果的配置实现,主要是利用invalidSessionUrl()方法来实现。
debug=true) (publicclassSecurityConfigextendsWebSecurityConfigurerAdapter { protectedvoidconfigure(HttpSecurityhttp) throwsException { http.authorizeRequests() .antMatchers("/admin/**") .hasRole("ADMIN") .antMatchers("/user/**") .hasRole("USER") .antMatchers("/app/**") .permitAll() .anyRequest() .authenticated() .and() .csrf() .disable() .formLogin() .permitAll() .and() .logout() .logoutUrl("/logout") //注销成功,重定向到该路径下 .logoutSuccessUrl("/login") //使得session失效 .invalidateHttpSession(true) //清除认证信息 .clearAuthentication(true) .and() //进行会话管理 .sessionManagement() .sessionFixation() //设置会话固定防御策略 .migrateSession() //配置会话过期策略 .invalidSessionUrl("/session/invalid"); } publicPasswordEncoderpasswordEncoder() { returnNoOpPasswordEncoder.getInstance(); } }
4. 启动测试
我们把项目重启,然后访问/user/hello接口,在我们登陆认证成功后就可以正常访问/user/hello接口。
这时候如果我们把当前窗口页面关闭,经过60秒后,会话就会过期,等再次访问/user/hello接口,就可以看到如下效果,即跳转到了我们指定的会话过期界面。
三. 会话过期时的处理策略(二)
我在上面说了,会话过期之后的处理策略,除了上面跳转到指定的URL方案之外,我们还可以自定义会话过期策略,其代码如下。
1. 自定义MyInvalidSessionStrategy类
我们创建一个MyInvalidSessionStrategy类,实现InvalidSessionStrategy接口,在这里进行会话过期时的处理逻辑。
//我们先定义一个处理会话过期的策略类publicclassMyInvalidSessionStrategyimplementsInvalidSessionStrategy { publicvoidonInvalidSessionDetected(HttpServletRequestrequest, HttpServletResponseresponse) throwsIOException, ServletException { response.setContentType("application/json;charset=utf-8"); response.getWriter().write("session无效"); } }
2. 配置自定义过期策略
接下来我们把上面定义的MyInvalidSessionStrategy类,通过invalidSessionStrategy()方法,设置自定义的会话过期策略。
//然后在配置文件中关联处理会话过期策略debug=true) (publicclassSecurityConfigextendsWebSecurityConfigurerAdapter { protectedvoidconfigure(HttpSecurityhttp) throwsException { http.authorizeRequests() .antMatchers("/admin/**") .hasRole("ADMIN") .antMatchers("/user/**") .hasRole("USER") .antMatchers("/app/**") .permitAll() .anyRequest() .authenticated() .and() .csrf() .disable() .formLogin() .permitAll() .and() .logout() .logoutUrl("/logout") //注销成功,重定向到该路径下 .logoutSuccessUrl("/login") //使得session失效 .invalidateHttpSession(true) //清除认证信息 .clearAuthentication(true) .and() //进行会话管理 .sessionManagement() .sessionFixation() //设置会话固定防御策略 .migrateSession() //配置会话过期策略//.invalidSessionUrl("/session/invalid")//设置会话过期策略 .invalidSessionStrategy(newMyInvalidSessionStrategy()); } publicPasswordEncoderpasswordEncoder() { returnNoOpPasswordEncoder.getInstance(); } }
至此,壹哥就带各位实现了在会话过期时的代码处理方案了,你学会了吗?