spring security控制session

本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。

创建session时机

我们可以准确地控制什么时机创建session，有以下选项进行控制：

always – 如果session不存在总是需要创建；
ifRequired – 仅当需要时，创建session(默认配置)；
never – 框架从不创建session，但如果已经存在，会使用该session ；
stateless – Spring Security不会创建session，或使用session；

java config配置方式如下：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
}

该配置仅控制spring security做什么，不是整个应用，根据配置spring security可能不创建session，但我们的应用可以创建session。理解这点很重要。

缺省值“ifRequired”，spring security根据需要创建session。

对于大多数无状态应用，“never”选项确保spring security自身不创建任何session；然而，如果应用自己创建session，那么spring security会使用它。

最后，最严格session创建选项是“stateless”，其确保应用也不会创建任何session。从spring3.1开始引入，将影响跳过部分spring security过滤器——主要与session相关的，如HttpSessionSecurityContextRepository, SessionManagementFilter, RequestCacheFilter。

这些大多数严格控制机制直接暗示cookies不被使用，每个请求需要被认证。无状态的体系结构与REST api及它们的无状态约束很好地发挥了作用。在Basic和Digest认证中也可以很好工作。

深入理解

在执行认证过程之前，spring security将运行SecurityContextPersistenceFilter过滤器负责存储安请求之间的全上下文，上下文根据策略进行存储，默认为HttpSessionSecurityContextRepository ，其使用http session作为存储器。

对于严格的创建session选项“stateless”，使用另一个存储策略—— NullSecurityContextRepository，没有session被创建或使用，用于保存上下文。

并发session控制

当已经认证过的用户尝试再次认证时，应用针对该事件有几种处理方式。可以注销当前用户session，使用新的session重新认证，或允许两个session并存。
启用并发session控制，首先需要在配置中增加下面监听器：

@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
    return new HttpSessionEventPublisher();
}

其本质是确保当session被销毁时，通知spring security session注册器。
在这种场景下，允许同一用户拥有多个并发session，配置如下：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement().maximumSessions(2)
}

session超时

session已经超时后，如果用户使用已经过期的sessionid发送请求，则会被重定向至指定url；同样如果使用未过期但完全无效的sessionid用户发送请求，也会被重定向至特定url，配置如下：

http.sessionManagement()
  .expiredUrl("/sessionExpired.html")
  .invalidSessionUrl("/invalidSession.html");

防止使用url参数进行session跟踪

在url中暴露session信息会增加安全风险，自spring3.0开始，追加jsessionId至url的重新逻辑可以被禁用，通过设置disable-url-rewriting=”true” 。另外自servlet3.0开始，session跟踪机制也可以在web.xml中配置：

<session-config>
     <tracking-mode>COOKIE</tracking-mode>
</session-config>

javaConfig方式配置如下：

servletContext.setSessionTrackingModes(EnumSet.of(SessionTrackingMode.COOKIE));

配置可以设置jessionId存储位置：cookie或url参数。

spring security防止篡改session

框架提供了保护典型的session篡改攻击，当用户尝试再次认证时，已经存在的session可以配置实现以不同方式处理。配置方式如下：

http.sessionManagement()
  .sessionFixation().migrateSession()

缺省情况，spring security启用migrateSession，即认证时，创建一个新http session，原session失效，属性从原session中拷贝过来。

如果不期望这种行为，还有其他两个选项：

• “none”，原session保持有效；
• “newSession”，新创建session，且不从原session中拷贝任何属性。

使用session

session范围bean

bean可以简单地通过@Scope在web上下文中定义session范围：

@Component
@Scope("session")
public class Foo { .. }

然后，可以再注入值另一个bean：

@Autowired
private Foo theFoo;

这时，spring会在http session范围内创建一个新的bean。

在Controller中注入原生session

原生的session可以被直接注入至Controller方法：

@RequestMapping(..)
public void fooMethod(HttpSession session) {
    session.addAttribute(Constants.FOO, new Foo();
    //...
    Foo foo = (Foo) session.getAttribute(Constants.Foo);
}

获取原生session

也可以通过调用servlet api以编程方式获取当前http session：

ServletRequestAttributes attr = (ServletRequestAttributes) 
    RequestContextHolder.currentRequestAttributes();
HttpSession session= attr.getRequest().getSession(true); // true == allow create

总结

本文讨论了spring security如何管理session，以及如何使用session。