Spring-security:带有 COOKIE 的会话配置不起作用

Posted

技术标签:

【中文标题】Spring-security:带有 COOKIE 的会话配置不起作用【英文标题】:Spring-security : session-config with COOKIE not working 【发布时间】:2017-07-05 11:46:59 【问题描述】:

我正在开发一个 Spring-MVC 应用程序,即使在 Apache Tomcat 重新启动后,我也希望在该应用程序中保持用户登录状态。我遇到了两种策略,一种是实现<session-config><tracking-mode> 作为COOKIE,另一种link 是设置Tomcat 来存储HTTP 会话。我们有 postgres,但关于如何使用 PostgreSQL 执行此操作的信息不多。

我尝试了第一个配置,虽然我没有错误,但每当我重新启动tomcat时,用户都会被抛出登录。这是解决这个问题的正确方法吗。有什么办法可以用 Redis 做到这一点?谢谢。

security-applicationContext.xml:

  <security:http create-session="ifRequired" use-expressions="true" auto-config="false" disable-url-rewriting="true">
        <security:form-login login-page="/login" username-parameter="j_username" password-parameter="j_password"
                             login-processing-url="/j_spring_security_check" default-target-url="/canvaslisting"
                             always-use-default-target="true" authentication-failure-url="/denied"/>
        <security:remember-me key="_spring_security_remember_me" user-service-ref="userDetailsService"
                              token-validity-seconds="1209600" data-source-ref="dataSource"/>
        <security:logout delete-cookies="JSESSIONID" invalidate-session="true" logout-url="/j_spring_security_logout"/>
   <!--<security:intercept-url pattern="/**" requires-channel="https"/>-->
        <security:port-mappings>
            <security:port-mapping http="80" https="443"/>
        </security:port-mappings>
        <security:logout logout-url="/logout" logout-success-url="/" success-handler-ref="myLogoutHandler"/>
        <security:session-management session-fixation-protection="migrateSession">
// we want multi-browser logins. 
            <security:concurrency-control session-registry-ref="sessionReg" max-sessions="5" expired-url="/login"/>
        </security:session-management>
    </security:http>

    <beans:bean id="sessionReg" class="org.springframework.security.core.session.SessionRegistryImpl"/>

    <security:authentication-manager alias="authenticationManager">
        <security:authentication-provider user-service-ref="LoginServiceImpl">
            <security:password-encoder ref="encoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

web.xml:

 <session-config>
        <session-timeout>0</session-timeout>
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>

【问题讨论】:

【参考方案1】:

您的链接问题已经描述了如何将会话持久保存到 JDBC 数据库。 该示例使用 mysql,使用 Postgres 的唯一区别是更改 url 和驱动程序类,就像使用任何 JDBC 连接一样。

<Manager className="org.apache.catalina.session.PersistentManager"
         maxIdleBackup="10">
  <Store className="org.apache.catalina.session.JDBCStore"
         connectionURL="jdbc:postgresql://localhost/mytomcat?user=root"
         driverName="org.postgresql.Driver"
         sessionAppCol="app_name"
         sessionDataCol="session_data"
         sessionIdCol="session_id"
         sessionLastAccessedCol="last_access"
         sessionMaxInactiveCol="max_inactive"
         sessionTable="tomcat_sessions"
         sessionValidCol="valid_session" />
</Manager>

如果你想使用redis,那么你可以使用Pivotal's RedisStore session manager。

<Manager className="org.apache.catalina.session.PersistentManager">
    <Store className="com.gopivotal.manager.redis.RedisStore" 
             uri="redis://username:password@localhost:6370/0" />
</Manager>

【讨论】:

知道这个工作所需的表和列吗?谢谢。 表名和所有列都是可配置的,所以它很灵活,取决于你。也就是说,如果您不需要自定义它,您可以按照文档svn.apache.org/repos/asf/tomcat/archive/tc4.0.x/trunk/container/… 中列出的示例进行操作

以上是关于Spring-security:带有 COOKIE 的会话配置不起作用的主要内容,如果未能解决你的问题,请参考以下文章

带有 spring-boot 和 spring-security 的 JWT

带有 spring-security 的 OAuth2 - 通过 HTTP 方法限制 REST 访问

Spring-security /login 重定向

带有 spring-security AuditorAware 的 spring-data-jpa 应用程序中的 ***Exception

grails spring-security 插件保护所有控制器,而不仅仅是带有@Secured注解的控制器

Spring-Security:认证后调用方法