java spring boot / spring security(HttpSecurity)中的会话到期时如何自动注销

【问题标题】:How to auto-logout when session expire in java spring boot / spring security (HttpSecurity)java spring boot / spring security(HttpSecurity)中的会话到期时如何自动注销
【发布时间】:2016-11-11 10:28:30
【问题描述】:

通过自动注销,我的意思是当会话到期时,浏览器将自行重定向到注销 url,而用户无需单击任何将他重定向到注销 url 的链接。

这是我的安全配置:

导入 org.springframework.beans.factory.annotation.Autowired;导入 org.springframework.boot.autoconfigure.security.SecurityProperties;导入 org.springframework.context.annotation.Bean;导入 org.springframework.context.annotation.Configuration;导入 org.springframework.core.annotation.Order;导入 org.springframework.security.access.vote.RoleVoter;导入 org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;导入 org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;导入 org.springframework.security.config.annotation.web.builders.HttpSecurity;导入 org.springframework.security.config.annotation.web.builders.WebSecurity;导入 org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;导入 org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;导入 org.springframework.security.config.http.SessionCreationPolicy;

/**  * Created by plato on 5/5/2016.  */

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER) 公共类 SecurityConfig 扩展 WebSecurityConfigurerAdapter {

    @Autowired
    DatabaseAuthenticationProvider authenticationProvider;

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**", "/css/**", "/img/**", "/templates/**", "/thymeleaf/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login")
                .failureUrl("/login?failed=true")
                .defaultSuccessUrl("/login-success")
                .and().logout()
                .logoutSuccessUrl("/")
                .and().authorizeRequests()
                .antMatchers("/admin**", "/api/admin/**").hasAuthority("ADMIN")
                .antMatchers("/**")
                .permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable()
                .sessionManagement()
                .maximumSessions(1)
                .expiredUrl("/login?expired-session")
                .and()
                .invalidSessionUrl("/?invalid-session");
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider).eraseCredentials(true);
    }
 }

【问题讨论】:

  • 会话已超时,没有更多信息,您希望注销后会发生什么?

标签: java spring spring-security spring-boot


【解决方案1】:

客户端必须轮询。那里的服务器无法“推送”重定向。

客户端可以每 X 次轮询一次,其中 X 只比会话超时时间长一点。如果轮询比这更频繁,它将刷新会话,因此它永远不会超时。客户端可以在每次用户交互时重置计时器。

【讨论】:

    猜你喜欢
    • 2021-06-29
    • 1970-01-01
    • 1970-01-01
    • 2015-06-30
    • 2017-05-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode