Security会话管理相关内容讲解
树图思维导图提供 Spring-Security会话管理脑图 在线思维导图免费制作,点击“编辑”按钮,可对 Spring-Security会话管理脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:ab3d6c13a9fbf61eeda174314b81c733
Spring-Security-03会话管理思维导图模板大纲
就是无状态的 HTTP 实现用户状态可维持的一种解决方案。
HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间 都没有关联性 这意味着用户的访问没有身份记录,站点也无法为用户提 供个性化的服务
session的诞生解决了这个难题,服务器通过与用户约定 每个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可 以很方便地绑定具体用户
,cookie是很好的载体。当用户首次访问系统时,系统会为该用户生成 一个sessionId,并添加到cookie中。在该用户的会话期内,每个请求都自 动携带该cookie,因此系统可以很轻易地识别出这是来自哪个用户的请 求。
2.1. 会话超时管理
在spring-security.xml文件中配置session管理,设置session超时管理。
2.2. 退出登录时删除session对应的cookie
2.3. 同一时刻同一账号只能一个用户登录
2.3.1. 踢掉已经登录用户
在spring-security.xml中的security:http中配置
2.3.2. 禁止新的登录
2.4会话固定攻击保护
3. 记住我
3.2. 基于简单加密 token 的方法
3.3. 基于持久化 token 的方法
可 以使用持久化token的方式进行“记住我”,持久化token的方式是通过将 token持久化到数据库中来实现更安全的“记住我”。