问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

使用 spring security 捕获注销/会话超时

社区维基
1
新手上路,请多包涵

我正在使用 spring/spring-security 3.1 并希望在用户注销时(或者如果会话超时)采取一些措施。我设法完成了注销操作,但由于会话超时,我无法正常工作。

在 web.xml 中,我只指定了 ContextLoaderListener(这可能是问题所在吗?),当然还有 DelegatingFilterProxy。

我像这样使用自动配置。

     <security:http auto-config="false" use-expressions="false">
    <security:intercept-url pattern="/dialog/*"
        access="ROLE_USERS" />
    <security:intercept-url pattern="/boa/*"
        access="ROLE-USERS" />
    <security:intercept-url pattern="/*.html"
        access="ROLE-USERS" />

    <security:form-login login-page="/auth/login.html"
        default-target-url="/index.html" />
    <security:logout logout-url="/logout"
         invalidate-session="true"
        delete-cookies="JSESSIONID" success-handler-ref="logoutHandler" />
</security:http>

<bean id="logoutHandler" class="com.bla.bla.bla.LogoutHandler">
    <property name="logoutUrl" value="/auth/logout.html"/>
</bean>

注销处理程序在用户单击注销时被调用,这将对数据库进行一些调用。

但是我该如何处理会话超时???

处理它的一种方法是在用户登录时将用户名注入会话,然后使用普通的 httpsessionlistener 并在会话超时时执行相同的操作。

spring security 是否有类似的方法,以便当 spring 发现会话超时时,我可以在那里挂钩,访问身份验证并从那里获取 UserDetails 并进行清理。

原文由 Perre 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javaspring-securitysession-timeout
阅读 471
2 个回答
得票最新
社区维基
1
✓ 已被采纳

我有一个更简单的解决方案。这适用于注销和会话超时。

 @Component
public class LogoutListener implements ApplicationListener<SessionDestroyedEvent> {

    @Override
    public void onApplicationEvent(SessionDestroyedEvent event)
    {
        List<SecurityContext> lstSecurityContext = event.getSecurityContexts();
        UserDetails ud;
        for (SecurityContext securityContext : lstSecurityContext)
        {
            ud = (UserDetails) securityContext.getAuthentication().getPrincipal();
            // ...
        }
    }

}

网站.xml:

 <listener>
    <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
</listener>

原文由 John29 发布,翻译遵循 CC BY-SA 3.0 许可协议

社区维基
1

好的,我得到了一个有效的解决方案,它没有我想要的那么好,但它让我得到了结果。

我创建了一个 bean,我可以从中获取 ApplicationContext。

 public class AppCtxProvider implements ApplicationContextAware {
private static WeakReference<ApplicationContext> APP_CTX;

@Override
public void setApplicationContext(ApplicationContext applicationContext)
        throws BeansException {
    APP_CTX = new WeakReference<ApplicationContext>(applicationContext);
}

public static ApplicationContext getAppCtx() {
    return APP_CTX.get();
}
}

我实现 HttpSessionEventPublisher 并在销毁时,我通过 sessionRegistry.getSessionInfo(sessionId) 获取 UserDetails

现在我有了需要清理会话的 spring bean 以及会话超时的用户。

 public class SessionTimeoutHandler extends HttpSessionEventPublisher {
@Override
public void sessionCreated(HttpSessionEvent event) {
    super.sessionCreated(event);
}

@Override
public void sessionDestroyed(HttpSessionEvent event) {
    SessionRegistry sessionRegistry = getSessionRegistry();
    SessionInformation sessionInfo = (sessionRegistry != null ? sessionRegistry
            .getSessionInformation(event.getSession().getId()) : null);
    UserDetails ud = null;
    if (sessionInfo != null) {
        ud = (UserDetails) sessionInfo.getPrincipal();
    }
    if (ud != null) {
               // Do my stuff
    }
    super.sessionDestroyed(event);
}

private SessionRegistry getSessionRegistry() {
    ApplicationContext appCtx = AppCtxProvider.getAppCtx();
    return appCtx.getBean("sessionRegistry", SessionRegistry.class);
}

原文由 Perre 发布,翻译遵循 CC BY-SA 3.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题