Spring Security session 管理

session 管理

Spring Security 通過 http 元素下的子元素 session-management 提供了對 Http Session 管理的支持。

檢測 session 超時

Spring Security 可以在用戶使用已經超時的 sessionId 進行請求時將用戶引導到指定的頁面。這個可以通過如下配置來實現。

   <security:http>
      ...
      <!-- session 管理，invalid-session-url 指定使用已經超時的 sessionId 進行請求需要重定向的頁面 -->
      <security:session-management invalid-session-url="/session_timeout.jsp"/>
      ...
   </security:http>

需要注意的是 session 超時的重定向頁面應當是不需要認證的，否則再重定向到 session 超時頁面時會直接轉到用戶登錄頁面。此外如果你使用這種方式來檢測 session 超時，當你退出了登錄，然后在沒有關閉瀏覽器的情況下又重新進行了登錄，Spring Security 可能會錯誤的報告 session 已經超時。這是因為即使你已經退出登錄了，但當你設置 session 無效時，對應保存 session 信息的 cookie 并沒有被清除，等下次請求時還是會使用之前的 sessionId 進行請求。解決辦法是顯示的定義用戶在退出登錄時刪除對應的保存 session 信息的 cookie。

   <security:http>
      ...
      <!-- 退出登錄時刪除 session 對應的 cookie -->
      <security:logout delete-cookies="JSESSIONID"/>
      ...
   </security:http>

此外，Spring Security 并不保證這對所有的 Servlet 容器都有效，到底在你的容器上有沒有效，需要你自己進行實驗。

concurrency-control

通常情況下，在你的應用中你可能只希望同一用戶在同時登錄多次時只能有一個是成功登入你的系統(tǒng)的，通常對應的行為是后一次登錄將使前一次登錄失效，或者直接限制后一次登錄。Spring Security 的 session-management 為我們提供了這種限制。

首先需要我們在 web.xml 中定義如下監(jiān)聽器。

   <listener>
   <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
   </listener>

在 session-management 元素下有一個 concurrency-control 元素是用來限制同一用戶在應用中同時允許存在的已經通過認證的 session 數量。這個值默認是 1，可以通過 concurrency-control 元素的 max-sessions 屬性來指定。

   <security:http auto-config="true">
      ...
      <security:session-management>
         <security:concurrency-control max-sessions="1"/>
      </security:session-management>
      ...
   </security:http>

當同一用戶同時存在的已經通過認證的 session 數量超過了 max-sessions 所指定的值時，Spring Security 的默認策略是將先前的設為無效。如果要限制用戶再次登錄可以設置 concurrency-control 的 error-if-maximum-exceeded 的值為 true。

   <security:http auto-config="true">
      ...
      <security:session-management>
         <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>
      </security:session-management>
      ...
   </security:http>

設置 error-if-maximum-exceeded 為 true 后如果你之前已經登錄了，然后想再次登錄，那么系統(tǒng)將會拒絕你的登錄，同時將重定向到由 form-login 指定的 authentication-failure-url。如果你的再次登錄是通過 Remember-Me 來完成的，那么將不會轉到 authentication-failure-url，而是返回未授權的錯誤碼 401 給客戶端，如果你還是想重定向一個指定的頁面，那么你可以通過 session-management 的 session-authentication-error-url 屬性來指定，同時需要指定該 url 為不受 Spring Security 管理，即通過 http 元素設置其 secure=”none”。

   <security:http security="none" pattern="/none/**" />
   <security:http>
      <security:form-login/>
      <security:logout/>
      <security:intercept-url pattern="/**" access="ROLE_USER"/>
      <!-- session-authentication-error-url 必須是不受 Spring Security 管理的 -->
      <security:session-management session-authentication-error-url="/none/session_authentication_error.jsp">
         <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>
      </security:session-management>
      <security:remember-me data-source-ref="dataSource"/>
   </security:http>

在上述配置中我們配置了 session-authentication-error-url 為 “/none/session_authentication_error.jsp”，同時我們通過 指定了以 “/none” 開始的所有 URL 都不受 Spring Security 控制，這樣當用戶進行登錄以后，再次通過 Remember-Me 進行自動登錄時就會重定向到 “/none/session_authentication_error.jsp” 了。

在上述配置中為什么我們需要通過 指定我們的 session-authentication-error-url 不受 Spring Security 控制呢？把它換成 不行嗎？這就涉及到之前所介紹的它們兩者之間的區(qū)別了。前者表示不使用任何 Spring Security 過濾器，自然也就不需要通過 Spring Security 的認證了，而后者是會被 Spring Security 的 FilterChain 進行過濾的，只是其對應的 URL 可以匿名訪問，即不需要登錄就可訪問。使用后者時，REMEMBER_ME_FILTER 檢測到用戶沒有登錄，同時其又提供了 Remember-Me 的相關信息，這將使得 REMEMBER_ME_FILTER 進行自動登錄，那么在自動登錄時由于我們限制了同一用戶同一時間只能登錄一次，后來者將被拒絕登錄，這個時候將重定向到 session-authentication-error-url，重定向訪問 session-authentication-error-url 時，經過 REMEMBER_ME_FILTER 時又會自動登錄，這樣就形成了一個死循環(huán)。所以 session-authentication-error-url 應當使用 設置為不受 Spring Security 控制，而不是使用 。

此外，可以通過 expired-url 屬性指定當用戶嘗試使用一個由于其再次登錄導致 session 超時的 session 時所要跳轉的頁面。同時需要注意設置該 URL 為不需要進行認證。

   <security:http auto-config="true">
      <security:form-login/>
      <security:logout/>
      <security:intercept-url pattern="/expired.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
      <security:intercept-url pattern="/**" access="ROLE_USER"/>
      <security:session-management>
         <security:concurrency-control max-sessions="1" expired-url="/expired.jsp" />
      </security:session-management>
   </security:http>

session 固定攻擊保護

session 固定是指服務器在給客戶端創(chuàng)建 session 后，在該 session 過期之前，它們都將通過該 session 進行通信。session 固定攻擊是指惡意攻擊者先通過訪問應用來創(chuàng)建一個 session，然后再讓其他用戶使用相同的 session 進行登錄（比如通過發(fā)送一個包含該 sessionId 參數的鏈接），待其他用戶成功登錄后，攻擊者利用原來的 sessionId 訪問系統(tǒng)將和原用戶獲得同樣的權限。Spring Security 默認是對 session 固定攻擊采取了保護措施的，它會在用戶登錄的時候重新為其生成一個新的 session。如果你的應用不需要這種保護或者該保護措施與你的某些需求相沖突，你可以通過 session-management 的 session-fixation-protection 屬性來改變其保護策略。該屬性的可選值有如下三個。

• migrateSession：這是默認值。其表示在用戶登錄后將新建一個 session，同時將原 session 中的 attribute 都 copy 到新的 session 中。
• none：表示繼續(xù)使用原來的 session。
• newSession：表示重新創(chuàng)建一個新的 session，但是不 copy 原 session 擁有的 attribute。