那些遇到过的问题

Spring Session 和 Spring Security - 会话超时处理不起作用

mru*_*nak 6 spring-security spring-session

当尝试将 spring-session 添加到具有 spring-security 的现有 Spring MVC 项目时,我得到以下行为(编辑:tomcat 的 session-timeout 设置为 1 分钟以进行测试):

  • 使用 web.xml 中的 springSessionRepositoryFilter 过滤器注释掉,我在一分钟不活动后正确启动到登录屏幕
  • 当 web.xml 中的 springSessionRepositoryFilter 过滤器处于活动状态时,我可以在最后一次活动后至少 5 分钟继续使用该应用程序

除此之外,一切似乎都按预期工作 - 会话在 redis 中持续存在并跨 webapp 重新启动,并且手动注销正确地使会话无效。

我的一些配置片段 - 这是 spring-security 的无效会话处理程序配置,这将导致过期的会话被重定向到登录页面:

...
<beans:bean id="sessionManagementFilter" class="org.springframework.security.web.session.SessionManagementFilter">
    <beans:constructor-arg name="securityContextRepository">
        <beans:bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository"/>
    </beans:constructor-arg>
    <beans:property name="invalidSessionStrategy">
        <beans:bean class="my.CustomInvalidSessionStrategy"/>
    </beans:property>
</beans:bean>
...
<http>
    ...
    <custom-filter position="SESSION_MANAGEMENT_FILTER" ref="sessionManagementFilter"/>
    ...
    <logout delete-cookies="true" invalidate-session="true" logout-url="/signout.html" success-handler-ref="logoutSuccessHandler"/>
</http>
Run Code Online (Sandbox Code Playgroud)

web.xml 的过滤器链如下所示:

<filter>
    <filter-name>springSessionRepositoryFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSessionRepositoryFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
Run Code Online (Sandbox Code Playgroud)

并且(之一)加载的 spring 上下文文件包含:

<bean class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration"/>

<bean class="org.springframework.security.web.session.HttpSessionEventPublisher"/>

<bean class="org.springframework.data.redis.connection.jedis.JedisConnectionFactory"/>
Run Code Online (Sandbox Code Playgroud)

希望我只是错过了一些非常明显的东西!

编辑:我用于尝试的版本是spring-security-4.0.4.RELEASEspring-session-1.1.1.RELEASE

dam*_*ter 1

使用 Redis 时会话超时配置如下:

<bean class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration">
    <property name="maxInactiveIntervalInSeconds" value="10"></property>
</bean>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1660 次

最近记录:

7 年,10 月 前
相关归档
如何使用keycloak在springboot中获取用户信息? 6
OpenId Connect身份提供程序启动的反向通道注销不起作用 6
反应式 spring security 中的 OAuth2 - 无法使用提供的颁发者解析配置 6
使用Facebook登录并使用oauth 2.0进行REST api调用的身份验证 5
如何在 Spring Security 中替换 UsernamePasswordAuthenticationFilter 5
使用自定义UserDetails实现测试Spring Security和MvcMock 5
spring @PreAuthorize 不适用于 @EnableGlobalMethodSecurity(prePostEnabled = true) 5
使用 AngularJS 登录后,当授权标头不存在时,Spring Security 不会抛出错误 3
Spring Security配置中的单角色多个IP地址 2
如何从 Spring 检索 azure AD JWT 访问令牌? 2
难疑归档
如何退出Vim编辑器? 3558
C++中指针变量和引用变量之间有什么区别? 3115
finally块总是在Java中执行吗? 2281
jQuery滚动到元素 2196
C++ 11引入了标准化的内存模型.这是什么意思?它将如何影响C++编程? 1810
在GitHub上将图像添加到README.md 1675
如何为项目中的单个文件禁用ARC? 1332
application/x-www-form-urlencoded或multipart/form-data? 1268
在jQuery中删除事件处理程序的最佳方法? 1038
如何列出包含给定提交的分支? 1029