首頁  >  文章  >  spring-security過濾器是否從redis中獲取會話資訊?

spring-security過濾器是否從redis中獲取會話資訊?

PHPz
PHPz轉載
2024-02-09 22:30:08477瀏覽

php小編子墨在這裡解答關於Spring Security過濾器是否從Redis中獲取會話資訊的問題。 Spring Security是一個強大的安全框架,它提供了一套完整的身份驗證和授權機制。在預設情況下,Spring Security使用HttpSession來管理使用者的會話資訊。然而,透過配置,我們可以將會話資訊儲存在Redis等外部儲存中。這樣做的好處是可以實現分散式會話管理,提高系統的可擴展性。因此,Spring Security過濾器是可以從Redis中獲取會話資訊的。

問題內容

我正在嘗試使用 spring-boot、spring-security 和 spring-session 實作登入系統,並使用 redis 作為會話的儲存。

我的設定:

@enablewebsecurity
@enablemethodsecurity
@configuration
@requiredargsconstructor
public class securityconfig {


    private final userdetailsservice detailsservice;

    @bean
    public passwordencoder passwordencoder() {
        return new bcryptpasswordencoder();
    }

    @bean
    public authenticationprovider authenticationprovider(passwordencoder passwordencoder) {
        daoauthenticationprovider provider = new daoauthenticationprovider();
        provider.setpasswordencoder(passwordencoder);
        provider.setuserdetailsservice(this.detailsservice);
        return provider;
    }

    @bean
    public authenticationmanager authenticationmanager(authenticationprovider authenticationprovider) {
        return new providermanager(authenticationprovider);
    }

    @bean
    public securityfilterchain filterchain(httpsecurity http) throws exception {
        return http
                .csrf().disable()
                .cors(customizer.withdefaults())
                .authorizehttprequests(auth -> {
                    auth.requestmatchers("/api/v1/auth/register/**", "/api/v1/auth/login").permitall();
                    auth.anyrequest().authenticated();
                })
                .sessionmanagement(sessionmanagement -> sessionmanagement
                        .sessioncreationpolicy(if_required) //
                        .sessionfixation(sessionmanagementconfigurer.sessionfixationconfigurer::newsession) //
                        .maximumsessions(100000) //
                        //.sessionregistry(sessionregistry())
                )
                //.exceptionhandling((ex) -> ex.authenticationentrypoint(this.authentrypoint))
                .logout(out -> out
                        .logouturl("/api/v1/auth/logout")
                        .invalidatehttpsession(true) // invalidate all sessions after logout
                        .deletecookies("jsessionid")
                        .logoutsuccesshandler((request, response, authentication) ->
                                securitycontextholder.clearcontext()
                        )
                )
                .build();
    }

    @bean
    public securitycontextrepository securitycontextrepository() {
        return new httpsessionsecuritycontextrepository();
    }
}

我的登入控制器:

@postmapping("/login")
public void login(@requestbody loginform form, httpservletrequest request, httpservletresponse response) {
    string ip = httprequestutil.getip(request);
    string device = httprequestutil.getdevice(request);

    loginformwrapper loginformwrapper = new loginformwrapper(form.email(), form.password(), ip, device);

    authenticationservice.login(loginformwrapper, request, response);
}

與身分驗證服務:

@override
public void login(loginformwrapper form, httpservletrequest request, httpservletresponse response) {
    authentication authentication = authenticationmanager.authenticate(usernamepasswordauthenticationtoken.unauthenticated(
            form.email().trim(), form.password()));

    // create a new context
    securitycontext context = securitycontextholder.createemptycontext();
    context.setauthentication(authentication);

    // update securitycontextholder and strategy
    this.securitycontextholderstrategy.setcontext(context);
    this.securitycontextrepository.savecontext(context, request, response);
}

如果我理解正確的話

this.securitycontextholderstrategy.setcontext(context); 應該將身份驗證保存在應用程式的記憶體中,例如在 threadlocal 上下文中

`this.securitycontextrepository.savecontext(context, request, response);`

應該將會話資訊儲存到redis中。

現在,當我登入時,我看到資料已儲存到 redis 中:

但是,當檢查我的登入請求返回的內容時,我看到:

完全不同的會話 id。

我的第一個問題是:為什麼這些 id 不符合? spring 如何知道要尋找哪個按鍵?

另一個問題是:什麼過濾器從redis中取得資料?我嘗試調試過濾器鏈中的所有過濾器:

[org.springframework.security.web.session.DisableEncodeUrlFilter@2fedae96,
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@4945cd1f,
org.springframework.security.web.context.SecurityContextHolderFilter@72499396,
org.springframework.security.web.header.HeaderWriterFilter@7048d039,
org.springframework.web.filter.CorsFilter@2dbfcbe4,
org.springframework.security.web.authentication.logout.LogoutFilter@5d5a77de,
org.springframework.security.web.session.ConcurrentSessionFilter@1f8e1096,
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@651bec9a,
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@76d4e1af,
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@6f13ed1,
org.springframework.security.web.session.SessionManagementFilter@642693c2,
org.springframework.security.web.access.ExceptionTranslationFilter@2199e1a4,
org.springframework.security.web.access.intercept.AuthorizationFilter@48c584c]

但它似乎以某種方式從 httpservletrequest 讀取會話資訊 - 但是,如果我從 redis 中刪除金鑰,則需要它的端點的身份驗證失敗。

我錯過了什麼嗎?是否在我的 fitler 開始之前檢索來自 redis 的會話資訊並將其儲存在 httpservlerrequest 中?或者說它是如何讀取redis資料的?

感謝您的幫忙。

解決方法

會話cookie中的值是base64編碼的:

echo '3c048eae-9f73-4df5-a009-bdf802ae37ca' | openssl base64
m2mwndhlywutowy3my00zgy1lwewmdktymrmodayywuzn2nhcg==
echo 'M2MwNDhlYWUtOWY3My00ZGY1LWEwMDktYmRmODAyYWUzN2NhCg==' | openssl base64 -d
3c048eae-9f73-4df5-a009-bdf802ae37ca

因此,當進行 base64 解碼時,cookie 的會話 id 與儲存在 redis 中的會話 id 相符。

如果您還沒有閱讀過它,我會推薦此文件:https://www.php.cn/link/e27c71957d1e6c223e0d48a165da2ee1

#特別是「了解會話管理的元件」部分:https://www.php.cn/link/e27c71957d1e6c223e0d48a165da2ee1#understanding-session-management-components

您沒有提到您正在使用哪個版本的 spring security,但我猜您正在使用 spring security 6。在該部分中,有這樣一句話與 sessionauthentication 相關:

以上是spring-security過濾器是否從redis中獲取會話資訊?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:stackoverflow.com。如有侵權,請聯絡admin@php.cn刪除