Spring Security 集成

Spring Session 提供与 Spring Security 的集成。

Spring Security 记住我支持

Spring Session 提供与 Spring Security 的记住我身份验证 的集成。该支持

  • 更改会话过期时间长度

  • 确保会话 cookie 在 Integer.MAX_VALUE 时过期。cookie 过期时间设置为可能的最大值,因为 cookie 仅在会话创建时设置。如果将其设置为与会话过期时间相同的值,则用户使用会话时会话将被续期,但 cookie 过期时间不会更新(导致过期时间固定)。

要使用 Java 配置将 Spring Session 与 Spring Security 配置在一起,您可以使用以下清单作为指南

@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
	http
		// ... additional configuration ...
		.rememberMe((rememberMe) -> rememberMe
			.rememberMeServices(rememberMeServices())
		);
}

@Bean
public SpringSessionRememberMeServices rememberMeServices() {
	SpringSessionRememberMeServices rememberMeServices =
			new SpringSessionRememberMeServices();
	// optionally customize
	rememberMeServices.setAlwaysRemember(true);
	return rememberMeServices;
}

基于 XML 的配置看起来像这样

<security:http>
	<!-- ... -->
	<security:form-login />
	<security:remember-me services-ref="rememberMeServices"/>
	<security:intercept-url pattern="/**" access="permitAll()"/>
</security:http>

<bean id="rememberMeServices"
	class="org.springframework.session.security.web.authentication.SpringSessionRememberMeServices"
	p:alwaysRemember="true"/>

Spring Security 并发会话控制

Spring Session 提供与 Spring Security 的集成以支持其并发会话控制。这允许限制单个用户可以同时拥有的活动会话数量,但与默认的 Spring Security 支持不同,这在集群环境中也有效。这是通过提供 Spring Security 的 SessionRegistry 接口的自定义实现来完成的。

使用 Spring Security 的 Java 配置 DSL 时,您可以通过 SessionManagementConfigurer 配置自定义 SessionRegistry,如下面的清单所示

@Configuration
public class SecurityConfiguration<S extends Session> {

	@Autowired
	private FindByIndexNameSessionRepository<S> sessionRepository;

	@Bean
	SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		return http
			// other config goes here...
			.sessionManagement((sessionManagement) -> sessionManagement
				.maximumSessions(2)
				.sessionRegistry(sessionRegistry())
			)
			.build();
	}

	@Bean
	public SpringSessionBackedSessionRegistry<S> sessionRegistry() {
		return new SpringSessionBackedSessionRegistry<>(this.sessionRepository);
	}

}

这假设您还配置了 Spring Session 以提供返回 Session 实例的 FindByIndexNameSessionRepository

使用 XML 配置时,它看起来像下面的清单

<security:http>
	<!-- other config goes here... -->
	<security:session-management>
		<security:concurrency-control max-sessions="2" session-registry-ref="sessionRegistry"/>
	</security:session-management>
</security:http>

<bean id="sessionRegistry"
	  class="org.springframework.session.security.SpringSessionBackedSessionRegistry">
	<constructor-arg ref="sessionRepository"/>
</bean>

这假设您的 Spring Session SessionRegistry bean 被称为 sessionRegistry,这是所有 SpringHttpSessionConfiguration 子类使用的名称。

限制

Spring Session 对 Spring Security 的 SessionRegistry 接口的实现不支持 getAllPrincipals 方法,因为此信息无法通过使用 Spring Session 来检索。此方法从未被 Spring Security 调用,因此这仅影响访问 SessionRegistry 本身的应用程序。