并发会话控制
与 Servlet 的并发会话控制 类似,Spring Security 也提供支持来限制用户在响应式应用程序中可以拥有的并发会话数量。
当您在 Spring Security 中设置并发会话控制时,它会通过挂钩到这些身份验证机制处理身份验证成功的方式来监控通过表单登录、OAuth 2.0 登录 和 HTTP 基本身份验证执行的身份验证。更具体地说,会话管理 DSL 将添加 ConcurrentSessionControlServerAuthenticationSuccessHandler 和 RegisterSessionServerAuthenticationSuccessHandler 到身份验证过滤器使用的 ServerAuthenticationSuccessHandler 列表中。
以下部分包含有关如何配置并发会话控制的示例。
限制并发会话
默认情况下,Spring Security 允许用户进行任意数量的并发会话。要限制并发会话的数量,可以使用maximumSessions DSL 方法
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.of(1))
)
);
return http.build();
}
@Bean
ReactiveSessionRegistry reactiveSessionRegistry() {
return new InMemoryReactiveSessionRegistry();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
sessionManagement {
sessionConcurrency {
maximumSessions = SessionLimit.of(1)
}
}
}
}
@Bean
open fun reactiveSessionRegistry(): ReactiveSessionRegistry {
return InMemoryReactiveSessionRegistry()
}上述配置允许任何用户使用一个会话。类似地,您也可以使用SessionLimit#UNLIMITED常量来允许无限会话
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.UNLIMITED))
);
return http.build();
}
@Bean
ReactiveSessionRegistry reactiveSessionRegistry() {
return new InMemoryReactiveSessionRegistry();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
sessionManagement {
sessionConcurrency {
maximumSessions = SessionLimit.UNLIMITED
}
}
}
}
@Bean
open fun reactiveSessionRegistry(webSessionManager: WebSessionManager): ReactiveSessionRegistry {
return InMemoryReactiveSessionRegistry()
}由于maximumSessions方法接受一个SessionLimit接口,该接口又扩展了Function<Authentication, Mono<Integer>>,因此您可以使用更复杂的逻辑来根据用户的身份验证确定最大会话数
Authentication配置maximumSessions-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(maxSessions()))
);
return http.build();
}
private SessionLimit maxSessions() {
return (authentication) -> {
if (authentication.getAuthorities().contains(new SimpleGrantedAuthority("ROLE_UNLIMITED_SESSIONS"))) {
return Mono.empty(); // allow unlimited sessions for users with ROLE_UNLIMITED_SESSIONS
}
if (authentication.getAuthorities().contains(new SimpleGrantedAuthority("ROLE_ADMIN"))) {
return Mono.just(2); // allow two sessions for admins
}
return Mono.just(1); // allow one session for every other user
};
}
@Bean
ReactiveSessionRegistry reactiveSessionRegistry() {
return new InMemoryReactiveSessionRegistry();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
sessionManagement {
sessionConcurrency {
maximumSessions = maxSessions()
}
}
}
}
fun maxSessions(): SessionLimit {
return { authentication ->
if (authentication.authorities.contains(SimpleGrantedAuthority("ROLE_UNLIMITED_SESSIONS"))) Mono.empty
if (authentication.authorities.contains(SimpleGrantedAuthority("ROLE_ADMIN"))) Mono.just(2)
Mono.just(1)
}
}
@Bean
open fun reactiveSessionRegistry(): ReactiveSessionRegistry {
return InMemoryReactiveSessionRegistry()
}当超过最大会话数时,默认情况下,最近最少使用的会话将过期。如果您想更改此行为,可以自定义超过最大会话数时使用的策略。
处理超过最大会话数
默认情况下,当超过最大会话数时,最近最少使用的会话将使用InvalidateLeastUsedMaximumSessionsExceededHandler过期。Spring Security 还提供了另一种实现,它使用PreventLoginMaximumSessionsExceededHandler阻止用户创建新会话。如果您想使用自己的策略,可以提供ServerMaximumSessionsExceededHandler的不同实现。
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.of(1))
.maximumSessionsExceededHandler(new PreventLoginMaximumSessionsExceededHandler())
)
);
return http.build();
}
@Bean
ReactiveSessionRegistry reactiveSessionRegistry() {
return new InMemoryReactiveSessionRegistry();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
sessionManagement {
sessionConcurrency {
maximumSessions = SessionLimit.of(1)
maximumSessionsExceededHandler = PreventLoginMaximumSessionsExceededHandler()
}
}
}
}
@Bean
open fun reactiveSessionRegistry(): ReactiveSessionRegistry {
return InMemoryReactiveSessionRegistry()
}指定ReactiveSessionRegistry
为了跟踪用户的会话,Spring Security 使用ReactiveSessionRegistry,并且每次用户登录时,都会保存其会话信息。
Spring Security 附带了ReactiveSessionRegistry的InMemoryReactiveSessionRegistry实现。
要指定ReactiveSessionRegistry实现,您可以将其声明为 bean
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.of(1))
)
);
return http.build();
}
@Bean
ReactiveSessionRegistry reactiveSessionRegistry() {
return new MyReactiveSessionRegistry();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
sessionManagement {
sessionConcurrency {
maximumSessions = SessionLimit.of(1)
}
}
}
}
@Bean
open fun reactiveSessionRegistry(): ReactiveSessionRegistry {
return MyReactiveSessionRegistry()
}或者您可以使用sessionRegistry DSL 方法
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.of(1))
.sessionRegistry(new MyReactiveSessionRegistry())
)
);
return http.build();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
sessionManagement {
sessionConcurrency {
maximumSessions = SessionLimit.of(1)
sessionRegistry = MyReactiveSessionRegistry()
}
}
}
}使已注册用户的会话失效
有时,能够使所有或部分用户的会话失效非常有用。例如,当用户更改密码时,您可能希望使他们所有会话失效,以便他们被迫重新登录。为此,您可以使用 `ReactiveSessionRegistry` bean 来检索所有用户的会话,使它们失效,然后将它们从 `WebSessionStore` 中删除。
-
Java
public class SessionControl {
private final ReactiveSessionRegistry reactiveSessionRegistry;
private final WebSessionStore webSessionStore;
public Mono<Void> invalidateSessions(String username) {
return this.reactiveSessionRegistry.getAllSessions(username)
.flatMap((session) -> session.invalidate().thenReturn(session))
.flatMap((session) -> this.webSessionStore.removeSession(session.getSessionId()))
.then();
}
}为某些身份验证过滤器禁用它
默认情况下,只要它们没有自己指定 `ServerAuthenticationSuccessHandler`,并发会话控制将自动为表单登录、OAuth 2.0 登录和 HTTP 基本身份验证配置。例如,以下配置将为表单登录禁用并发会话控制。
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.formLogin((login) -> login
.authenticationSuccessHandler(new RedirectServerAuthenticationSuccessHandler("/"))
)
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.of(1))
)
);
return http.build();
}@Bean
open fun springSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
formLogin {
authenticationSuccessHandler = RedirectServerAuthenticationSuccessHandler("/")
}
sessionManagement {
sessionConcurrency {
maximumSessions = SessionLimit.of(1)
}
}
}
}在不禁用并发会话控制的情况下添加其他成功处理程序
您还可以将其他 `ServerAuthenticationSuccessHandler` 实例包含到身份验证过滤器使用的处理程序列表中,而不会禁用并发会话控制。为此,您可以使用 `authenticationSuccessHandler(Consumer<List<ServerAuthenticationSuccessHandler>>)` 方法。
-
Java
@Bean
SecurityWebFilterChain filterChain(ServerHttpSecurity http) {
http
// ...
.formLogin((login) -> login
.authenticationSuccessHandler((handlers) -> handlers.add(new MyAuthenticationSuccessHandler()))
)
.sessionManagement((sessions) -> sessions
.concurrentSessions((concurrency) -> concurrency
.maximumSessions(SessionLimit.of(1))
)
);
return http.build();
}检查示例应用程序
您可以查看 此处的示例应用程序。
