身份验证持久性和会话管理
一旦你的应用能够验证请求,就需要考虑如何持久化并恢复后续请求中产生的身份验证结果。
默认情况下,这会自动完成,因此不需要额外的代码,尽管了解`HttpSecurity`中的`requireExplicitSave`的含义很重要。
如果你愿意,你可以阅读更多关于`requireExplicitSave`的作用或它为什么重要。否则,在大多数情况下,你已经完成了本节内容。
但在你离开之前,请考虑以下这些用例是否符合你的应用场景
-
我想自己直接存储身份验证信息,而不是由 Spring Security 完成
-
我正在手动存储身份验证信息,并且我想删除它
-
我正在使用
SessionManagementFilter,并且我需要关于如何从该过滤器迁移的指导 -
我想将身份验证信息存储在会话之外的其他地方
-
我正在使用无状态身份验证,但是我还是想把它存储在会话中。
-
我正在使用`SessionCreationPolicy.NEVER`,但是应用仍然创建了会话。
了解会话管理的组件
会话管理支持由几个协同工作的组件构成。这些组件包括SecurityContextHolderFilter、SecurityContextPersistenceFilter和SessionManagementFilter。
|
在 Spring Security 6 中,默认情况下未设置 |
SessionManagementFilter
SessionManagementFilter会检查SecurityContextRepository的内容与SecurityContextHolder的当前内容,以确定用户是否在当前请求期间已通过身份验证,通常通过非交互式身份验证机制,例如预身份验证或“记住我”[1]。如果存储库包含安全上下文,则过滤器不会执行任何操作。如果存储库不包含安全上下文,并且线程本地SecurityContext包含一个(非匿名)Authentication对象,则过滤器假定它们已通过堆栈中之前的过滤器进行身份验证。然后,它将调用已配置的SessionAuthenticationStrategy。
如果用户当前未进行身份验证,则过滤器将检查是否请求了无效的会话 ID(例如,由于超时),如果设置了InvalidSessionStrategy,则将调用它。最常见的行为是重定向到固定的 URL,这在标准实现SimpleRedirectInvalidSessionStrategy中进行了封装。当通过命名空间配置无效会话 URL 时,也会使用后者,如前所述。
摆脱SessionManagementFilter
在 Spring Security 5 中,默认配置依赖于SessionManagementFilter来检测用户是否刚刚完成身份验证,并调用SessionAuthenticationStrategy。问题在于,这意味着在典型的设置中,每次请求都必须读取HttpSession。
在 Spring Security 6 中,默认情况下,身份验证机制本身必须调用SessionAuthenticationStrategy。这意味着无需检测何时完成Authentication,因此每次请求都不需要读取HttpSession。
放弃SessionManagementFilter时需要考虑的事项
在 Spring Security 6 中,默认情况下不使用SessionManagementFilter,因此,sessionManagement DSL 的某些方法将无效。
| 方法 | 替代方法 |
|---|---|
|
在身份验证机制中配置一个 |
|
在身份验证机制中配置一个 |
|
如上文所述,在身份验证机制中配置一个 |
如果尝试使用任何这些方法,则会抛出异常。
自定义身份验证存储位置
默认情况下,Spring Security 会将安全上下文存储在 HTTP session 中。但是,您可能出于以下几个原因需要自定义它:
-
您可能希望在
HttpSessionSecurityContextRepository实例上调用各个setter方法。 -
您可能希望将安全上下文存储在缓存或数据库中以启用水平扩展。
首先,您需要创建一个SecurityContextRepository的实现,或使用现有的实现(例如HttpSessionSecurityContextRepository),然后您可以在HttpSecurity中设置它。
SecurityContextRepository-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
SecurityContextRepository repo = new MyCustomSecurityContextRepository();
http
// ...
.securityContext((context) -> context
.securityContextRepository(repo)
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
val repo = MyCustomSecurityContextRepository()
http {
// ...
securityContext {
securityContextRepository = repo
}
}
return http.build()
}<http security-context-repository-ref="repo">
<!-- ... -->
</http>
<bean name="repo" class="com.example.MyCustomSecurityContextRepository" />|
上述配置在 |
如果您使用的是自定义身份验证机制,您可能希望自己存储Authentication。
手动存储Authentication
在某些情况下,例如,您可能正在手动验证用户,而不是依赖于 Spring Security 过滤器。您可以使用自定义过滤器或Spring MVC 控制器端点来执行此操作。如果您想在请求之间(例如在HttpSession中)保存身份验证,则必须这样做:
-
Java
private SecurityContextRepository securityContextRepository =
new HttpSessionSecurityContextRepository(); (1)
@PostMapping("/login")
public void login(@RequestBody LoginRequest loginRequest, HttpServletRequest request, HttpServletResponse response) { (2)
UsernamePasswordAuthenticationToken token = UsernamePasswordAuthenticationToken.unauthenticated(
loginRequest.getUsername(), loginRequest.getPassword()); (3)
Authentication authentication = authenticationManager.authenticate(token); (4)
SecurityContext context = securityContextHolderStrategy.createEmptyContext();
context.setAuthentication(authentication); (5)
securityContextHolderStrategy.setContext(context);
securityContextRepository.saveContext(context, request, response); (6)
}
class LoginRequest {
private String username;
private String password;
// getters and setters
}| 1 | 将SecurityContextRepository添加到控制器 |
| 2 | 注入HttpServletRequest和HttpServletResponse以便能够保存SecurityContext |
| 3 | 使用提供的凭据创建一个未经身份验证的UsernamePasswordAuthenticationToken |
| 4 | 调用AuthenticationManager#authenticate来验证用户 |
| 5 | 创建一个SecurityContext并在其中设置Authentication |
| 6 | 将SecurityContext保存到SecurityContextRepository |
就是这样。如果您不确定上述示例中的securityContextHolderStrategy是什么,您可以阅读使用SecurityContextStrategy部分了解更多信息。
正确清除身份验证
如果您使用的是 Spring Security 的注销支持,那么它会为您处理很多事情,包括清除和保存上下文。但是,假设您需要手动注销应用程序中的用户。在这种情况下,您需要确保正确清除和保存上下文。
配置无状态身份验证的持久性
有时无需创建和维护HttpSession,例如,为了在请求之间持久化身份验证。某些身份验证机制(如HTTP Basic)是无状态的,因此每次请求都会重新验证用户。
如果您不想创建会话,可以使用SessionCreationPolicy.STATELESS,如下所示:
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.sessionManagement((session) -> session
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
sessionManagement {
sessionCreationPolicy = SessionCreationPolicy.STATELESS
}
}
return http.build()
}<http create-session="stateless">
<!-- ... -->
</http>上述配置是配置SecurityContextRepository使用NullSecurityContextRepository,并且还防止请求保存在会话中。
如果您使用的是SessionCreationPolicy.NEVER,您可能会注意到应用程序仍在创建HttpSession。在大多数情况下,这是因为请求保存在会话中,以便在身份验证成功后重新请求已验证的资源。要避免这种情况,请参阅如何防止请求被保存部分。
将无状态身份验证存储在会话中
如果出于某种原因,您使用的是无状态身份验证机制,但仍想将身份验证存储在会话中,则可以使用HttpSessionSecurityContextRepository代替NullSecurityContextRepository。
对于HTTP Basic,您可以添加一个ObjectPostProcessor,它会更改BasicAuthenticationFilter使用的SecurityContextRepository
HttpSession中-
Java
@Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
http
// ...
.httpBasic((basic) -> basic
.addObjectPostProcessor(new ObjectPostProcessor<BasicAuthenticationFilter>() {
@Override
public <O extends BasicAuthenticationFilter> O postProcess(O filter) {
filter.setSecurityContextRepository(new HttpSessionSecurityContextRepository());
return filter;
}
})
);
return http.build();
}上述内容也适用于其他身份验证机制,例如Bearer 令牌身份验证。
理解显式保存需求
在 Spring Security 5 中,默认行为是使用SecurityContextPersistenceFilter将SecurityContext自动保存到SecurityContextRepository。保存必须在提交HttpServletResponse之前和SecurityContextPersistenceFilter之前进行。不幸的是,在请求完成之前(即在提交HttpServletResponse之前)完成SecurityContext的自动持久化可能会让用户感到意外。它也很难跟踪状态以确定是否需要保存,从而有时会导致对SecurityContextRepository(即HttpSession)进行不必要的写入。
由于这些原因,SecurityContextPersistenceFilter已被弃用,并由SecurityContextHolderFilter替换。在 Spring Security 6 中,默认行为是SecurityContextHolderFilter仅从SecurityContextRepository读取SecurityContext并将其填充到SecurityContextHolder中。如果用户希望SecurityContext在请求之间持久化,则现在必须使用SecurityContextRepository显式保存SecurityContext。这消除了歧义,并通过仅在必要时才需要写入SecurityContextRepository(即HttpSession)来提高性能。
工作原理
总而言之,当requireExplicitSave为true时,Spring Security 会设置SecurityContextHolderFilter而不是SecurityContextPersistenceFilter
配置并发会话控制
如果您希望限制单个用户登录应用程序的能力,Spring Security 提供了以下简单的附加功能来支持此功能。首先,您需要将以下侦听器添加到您的配置中,以使 Spring Security 了解会话生命周期事件:
-
Java
-
Kotlin
-
web.xml
@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
return new HttpSessionEventPublisher();
}@Bean
open fun httpSessionEventPublisher(): HttpSessionEventPublisher {
return HttpSessionEventPublisher()
}<listener>
<listener-class>
org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>然后将以下几行添加到您的安全配置中:
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.sessionManagement(session -> session
.maximumSessions(1)
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
sessionConcurrency {
maximumSessions = 1
}
}
}
return http.build()
}<http>
...
<session-management>
<concurrency-control max-sessions="1" />
</session-management>
</http>这将阻止用户多次登录 - 第二次登录将导致第一次登录失效。
使用 Spring Boot,您可以通过以下方式测试上述配置场景:
-
Java
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@AutoConfigureMockMvc
public class MaximumSessionsTests {
@Autowired
private MockMvc mvc;
@Test
void loginOnSecondLoginThenFirstSessionTerminated() throws Exception {
MvcResult mvcResult = this.mvc.perform(formLogin())
.andExpect(authenticated())
.andReturn();
MockHttpSession firstLoginSession = (MockHttpSession) mvcResult.getRequest().getSession();
this.mvc.perform(get("/").session(firstLoginSession))
.andExpect(authenticated());
this.mvc.perform(formLogin()).andExpect(authenticated());
// first session is terminated by second login
this.mvc.perform(get("/").session(firstLoginSession))
.andExpect(unauthenticated());
}
}您可以使用最大会话示例进行测试。
您可能更倾向于阻止第二次登录,在这种情况下,您可以使用:
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.sessionManagement(session -> session
.maximumSessions(1)
.maxSessionsPreventsLogin(true)
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
sessionConcurrency {
maximumSessions = 1
maxSessionsPreventsLogin = true
}
}
}
return http.build()
}<http>
<session-management>
<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</session-management>
</http>然后将拒绝第二次登录。 “拒绝”的意思是,如果使用基于表单的登录,则用户将被发送到authentication-failure-url。如果第二次身份验证通过另一种非交互式机制(例如“记住我”)进行,则会向客户端发送“未授权”(401)错误。如果要使用错误页面,则可以将属性session-authentication-error-url添加到session-management元素。
使用 Spring Boot,您可以通过以下方式测试上述配置:
-
Java
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@AutoConfigureMockMvc
public class MaximumSessionsPreventLoginTests {
@Autowired
private MockMvc mvc;
@Test
void loginOnSecondLoginThenPreventLogin() throws Exception {
MvcResult mvcResult = this.mvc.perform(formLogin())
.andExpect(authenticated())
.andReturn();
MockHttpSession firstLoginSession = (MockHttpSession) mvcResult.getRequest().getSession();
this.mvc.perform(get("/").session(firstLoginSession))
.andExpect(authenticated());
// second login is prevented
this.mvc.perform(formLogin()).andExpect(unauthenticated());
// first session is still valid
this.mvc.perform(get("/").session(firstLoginSession))
.andExpect(authenticated());
}
}如果您正在为基于表单的登录使用自定义身份验证过滤器,则必须显式配置并发会话控制支持。您可以使用最大会话阻止登录示例进行测试。
检测超时
会话会自行过期,无需执行任何操作即可确保安全上下文被移除。也就是说,Spring Security 可以检测到会话何时过期,并采取您指定的特定操作。例如,当用户使用已过期的会话发出请求时,您可能希望重定向到特定的端点。这是通过 `HttpSecurity` 中的 `invalidSessionUrl` 实现的。
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.sessionManagement(session -> session
.invalidSessionUrl("/invalidSession")
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
invalidSessionUrl = "/invalidSession"
}
}
return http.build()
}<http>
...
<session-management invalid-session-url="/invalidSession" />
</http>请注意,如果您使用此机制检测会话超时,如果用户注销然后在不关闭浏览器的情况下重新登录,则可能会错误地报告错误。这是因为当您使会话失效时,会话cookie不会被清除,即使用户已注销,它也会被重新提交。如果出现这种情况,您可能需要配置注销以清除会话cookie。
自定义无效会话策略
`invalidSessionUrl` 是一个便捷方法,用于使用`SimpleRedirectInvalidSessionStrategy` 实现来设置 `InvalidSessionStrategy`。如果您想自定义行为,可以实现`InvalidSessionStrategy`接口并使用 `invalidSessionStrategy` 方法进行配置。
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.sessionManagement(session -> session
.invalidSessionStrategy(new MyCustomInvalidSessionStrategy())
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
invalidSessionStrategy = MyCustomInvalidSessionStrategy()
}
}
return http.build()
}<http>
...
<session-management invalid-session-strategy-ref="myCustomInvalidSessionStrategy" />
<bean name="myCustomInvalidSessionStrategy" class="com.example.MyCustomInvalidSessionStrategy" />
</http>注销时清除会话Cookie
例如,您可以通过在注销处理程序中使用`Clear-Site-Data` 头部显式删除 JSESSIONID Cookie。
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.logout((logout) -> logout
.addLogoutHandler(new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter(COOKIES)))
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
logout {
addLogoutHandler(HeaderWriterLogoutHandler(ClearSiteDataHeaderWriter(COOKIES)))
}
}
return http.build()
}<http>
<logout success-handler-ref="clearSiteDataHandler" />
<b:bean id="clearSiteDataHandler" class="org.springframework.security.web.authentication.logout.HeaderWriterLogoutHandler">
<b:constructor-arg>
<b:bean class="org.springframework.security.web.header.writers.ClearSiteDataHeaderWriter">
<b:constructor-arg>
<b:list>
<b:value>COOKIES</b:value>
</b:list>
</b:constructor-arg>
</b:bean>
</b:constructor-arg>
</b:bean>
</http>这样做的好处是不依赖于容器,并且可以与任何支持 `Clear-Site-Data` 头部的容器一起工作。
或者,您也可以在注销处理程序中使用以下语法:
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.logout(logout -> logout
.deleteCookies("JSESSIONID")
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
logout {
deleteCookies("JSESSIONID")
}
}
return http.build()
}<http>
<logout delete-cookies="JSESSIONID" />
</http>不幸的是,这不能保证适用于每个 Servlet 容器,因此您需要在您的环境中进行测试。
|
如果您在代理服务器后运行应用程序,您还可以通过配置代理服务器来删除会话cookie。例如,使用 Apache HTTPD 的 `mod_headers`,以下指令通过在注销请求的响应中使其过期来删除 `JSESSIONID` cookie(假设应用程序部署在 `/tutorial` 路径下): |
<LocationMatch "/tutorial/logout">
Header always set Set-Cookie "JSESSIONID=;Path=/tutorial;Expires=Thu, 01 Jan 1970 00:00:00 GMT"
</LocationMatch>了解会话固定攻击防护
会话固定攻击是一种潜在的风险,攻击者可能通过访问站点创建会话,然后诱导其他用户使用相同的会话登录(例如,通过向他们发送包含会话标识符作为参数的链接)。Spring Security 通过在用户登录时创建新会话或更改会话 ID 来自动防止此问题。
配置会话固定防护
您可以通过选择三个推荐的选项来控制会话固定防护的策略:
-
`changeSessionId` - 不要创建新会话。而是使用 Servlet 容器提供的会话固定保护(`HttpServletRequest#changeSessionId()`)。此选项仅适用于 Servlet 3.1(Java EE 7)和更新版本的容器。在较旧的容器中指定它会导致异常。这是 Servlet 3.1 和更新版本容器中的默认设置。
-
`newSession` - 创建一个新的“干净”会话,不复制现有的会话数据(Spring Security 相关的属性仍然会被复制)。
-
`migrateSession` - 创建一个新会话并将所有现有会话属性复制到新会话。这是 Servlet 3.0 或更旧版本容器中的默认设置。
您可以通过以下操作配置会话固定保护:
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.sessionManagement((session) -> session
.sessionFixation((sessionFixation) -> sessionFixation
.newSession()
)
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
sessionFixation {
newSession()
}
}
}
return http.build()
}<http>
<session-management session-fixation-protection="newSession" />
</http>发生会话固定保护时,会在应用程序上下文中发布 `SessionFixationProtectionEvent`。如果您使用 `changeSessionId`,此保护还会导致任何 `jakarta.servlet.http.HttpSessionIdListener` 被通知,因此如果您代码同时监听这两个事件,请注意。
您还可以将会话固定保护设置为 `none` 以禁用它,但不推荐这样做,因为它会使您的应用程序容易受到攻击。
使用 `SecurityContextHolderStrategy`
考虑以下代码块:
-
Java
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(
loginRequest.getUsername(), loginRequest.getPassword());
Authentication authentication = this.authenticationManager.authenticate(token);
// ...
SecurityContext context = SecurityContextHolder.createEmptyContext(); (1)
context.setAuthentication(authentication); (2)
SecurityContextHolder.setContext(context); (3)-
通过静态访问 `SecurityContextHolder` 创建一个空的 `SecurityContext` 实例。
-
在 `SecurityContext` 实例中设置 `Authentication` 对象。
-
在 `SecurityContextHolder` 中静态设置 `SecurityContext` 实例。
虽然上述代码运行良好,但它可能会产生一些不良影响:当组件通过 `SecurityContextHolder` 静态访问 `SecurityContext` 时,当有多个应用程序上下文想要指定 `SecurityContextHolderStrategy` 时,这可能会创建竞争条件。这是因为在 `SecurityContextHolder` 中,每个类加载器只有一个策略,而不是每个应用程序上下文一个策略。
为了解决这个问题,组件可以从应用程序上下文中连接 `SecurityContextHolderStrategy`。默认情况下,它们仍然会从 `SecurityContextHolder` 中查找策略。
这些更改主要是内部的,但它们为应用程序提供了自动装配 `SecurityContextHolderStrategy` 的机会,而不是静态访问 `SecurityContext`。为此,您应该将代码更改为以下内容:
-
Java
public class SomeClass {
private final SecurityContextHolderStrategy securityContextHolderStrategy = SecurityContextHolder.getContextHolderStrategy();
public void someMethod() {
UsernamePasswordAuthenticationToken token = UsernamePasswordAuthenticationToken.unauthenticated(
loginRequest.getUsername(), loginRequest.getPassword());
Authentication authentication = this.authenticationManager.authenticate(token);
// ...
SecurityContext context = this.securityContextHolderStrategy.createEmptyContext(); (1)
context.setAuthentication(authentication); (2)
this.securityContextHolderStrategy.setContext(context); (3)
}
}-
使用配置的 `SecurityContextHolderStrategy` 创建一个空的 `SecurityContext` 实例。
-
在 `SecurityContext` 实例中设置 `Authentication` 对象。
-
在 `SecurityContextHolderStrategy` 中设置 `SecurityContext` 实例。
强制提前创建会话
有时,提前创建会话可能很有价值。这可以通过使用`ForceEagerSessionCreationFilter`来完成,可以使用以下方法进行配置:
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
);
return http.build();
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
sessionCreationPolicy = SessionCreationPolicy.ALWAYS
}
}
return http.build()
}<http create-session="ALWAYS">
</http>接下来阅读什么
-
使用Spring Session进行集群会话
