SpringSecurity-10-Session会话管理

理解Session

Http协议是无状态协议，因此服务器需要通过Session机制记录用户状态。通过使用cookie存储sessionid，服务器可以识别用户请求并管理会话。若用户禁用cookie，服务器还可以使用URL重写机制来传递sessionid。然而，URL重写可能导致会话固定攻击，黑客可以利用固定的sessionid冒充用户身份。

防御会话固定攻击

Spring Security提供四种策略防御会话固定攻击：

• none: 登录后session不变。
• newSession: 登录后创建新的session。
• migrateSession: 登录后创建新session并复制旧数据。
• changeSessionId: 不创建新session，仅更换sessionid（默认策略）。

示例代码：http.sessionManagement().sessionFixation().changeSessionId();

会话过期

Spring Security允许配置会话超时和失效策略：

• 会话超时：通过server.servlet.session.timeout或spring.session.timeout设置会话时长。
• 失效后跳转URL：使用invalidSessionUrl配置失效后跳转页面。

默认超时时间为30分钟，最短为1分钟。通过http.sessionManagement().invalidSessionUrl("/invalidSession")可指定失效跳转页面，并需配置permitAll()权限。

失效策略

Spring Security支持自定义失效策略，通过实现InvalidSessionStrategy接口进行定制。例如，CustomInvalidSessionStrategy可以清除cookie并返回JSON响应。

配置示例：

• 创建自定义失效策略类并注入容器。
• 在configure(HttpSecurity http)方法中添加失效处理配置。

测试与总结

通过测试可验证会话管理功能，如失效跳转页面和定制失效策略。文章详细介绍了Spring Security的Session管理功能，包括会话固定攻击防御、超时设置及失效处理。若本文对您有帮助，欢迎点赞、收藏和分享。