|
对于最新的稳定版本,请使用 Spring Session 3.3.1! |
|
对于最新的稳定版本,请使用 Spring Session 3.3.1! |
Spring Session 提供与 Spring Security 的集成。
Spring Security Remember-me 支持
Spring Session 提供与 Spring Security 的 Remember-me 身份验证的集成。 支持:
-
更改会话过期长度
-
确保会话 Cookie 在 过期。 Cookie 过期时间设置为最大可能值,因为仅在创建会话时设置 Cookie。 如果将其设置为与会话过期相同的值,则会话将在用户使用时续订,但不会更新 cookie 过期(导致过期被修复)。
Integer.MAX_VALUE
要在 Java 配置中使用 Spring Security 配置 Spring Session,可以使用以下列表作为指南:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ... additional configuration ...
.rememberMe((rememberMe) -> rememberMe
.rememberMeServices(rememberMeServices())
);
}
@Bean
public SpringSessionRememberMeServices rememberMeServices() {
SpringSessionRememberMeServices rememberMeServices =
new SpringSessionRememberMeServices();
// optionally customize
rememberMeServices.setAlwaysRemember(true);
return rememberMeServices;
}基于 XML 的配置如下所示:
<security:http>
<!-- ... -->
<security:form-login />
<security:remember-me services-ref="rememberMeServices"/>
</security:http>
<bean id="rememberMeServices"
class="org.springframework.session.security.web.authentication.SpringSessionRememberMeServices"
p:alwaysRemember="true"/>Spring Security 并发会话控制
Spring Session 提供与 Spring Security 的集成,以支持其并发会话控制。
这允许限制单个用户可以同时拥有的活动会话数,但与默认会话不同
Spring Security 支持,这也适用于集群环境。这是通过提供自定义来完成的
Spring Security 界面的实现。SessionRegistry
使用 Spring Security 的 Java 配置 DSL 时,您可以通过 配置自定义,如下表所示:SessionRegistrySessionManagementConfigurer
@Configuration
public class SecurityConfiguration<S extends Session> extends WebSecurityConfigurerAdapter {
@Autowired
private FindByIndexNameSessionRepository<S> sessionRepository;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// other config goes here...
.sessionManagement((sessionManagement) -> sessionManagement
.maximumSessions(2)
.sessionRegistry(sessionRegistry())
);
}
@Bean
public SpringSessionBackedSessionRegistry<S> sessionRegistry() {
return new SpringSessionBackedSessionRegistry<>(this.sessionRepository);
}
}这假定您还配置了 Spring Session 以提供
返回实例。FindByIndexNameSessionRepositorySession
使用 XML 配置时,它类似于以下列表:
<security:http>
<!-- other config goes here... -->
<security:session-management>
<security:concurrency-control max-sessions="2" session-registry-ref="sessionRegistry"/>
</security:session-management>
</security:http>
<bean id="sessionRegistry"
class="org.springframework.session.security.SpringSessionBackedSessionRegistry">
<constructor-arg ref="sessionRepository"/>
</bean>这假定你的 Spring Session bean 被调用,这是所有子类使用的名称。SessionRegistrysessionRegistrySpringHttpSessionConfiguration