spring security 开启会话管理，changeSessionId导致redis索引丢失

spring security 开启会话管理，使用redis共享session，开启防御固话攻击后，redis索引和sessions中的sessionId不一致，导致session并发不起作用

也无法获取到用户的所有会话

sessionRegistry.getAllSessions(SecurityContextHolder.getContext().getAuthentication().getPrincipal())

配置：

RedisSessionConfig

    public RedisSessionConfig(ObjectProvider<RedisConnectionFactory> redisConnectionFactory) {
       this.redisConnectionFactory = redisConnectionFactory.getIfAvailable();
    }

    @Bean
    public RedisOperations<Object, Object> sessionRedisOperations() {
        StringRedisSerializer stringRedisSerializer = new StringRedisSerializer();
        RedisTemplate<Object, Object> objectRedisTemplate = new RedisTemplate<>();
        objectRedisTemplate.setConnectionFactory(this.redisConnectionFactory);
        objectRedisTemplate.setKeySerializer(stringRedisSerializer);
        objectRedisTemplate.setHashKeySerializer(stringRedisSerializer);
        objectRedisTemplate.afterPropertiesSet();
        this.redisTemplate = objectRedisTemplate;
        return this.redisTemplate;
    }
    @Bean("redisSessionRepository")
    public FindByIndexNameSessionRepository redisSessionRepository(RedisOperations<Object, Object> sessionRedisOperations) {
        RedisIndexedSessionRepository redisIndexedSessionRepository = new RedisIndexedSessionRepository(sessionRedisOperations);
        this.sessionRepository = redisIndexedSessionRepository;
        return redisIndexedSessionRepository;
    }
    @Bean
    @DependsOn("redisSessionRepository")
    public SpringSessionBackedSessionRegistry sessionRegistry() {
        return new SpringSessionBackedSessionRegistry(sessionRepository);
    }

WebSecurityConfigurerAdapter：

@Autowired
private SpringSessionBackedSessionRegistry sessionRegistry;

http.sessionManagement()
    .maximumSessions(1)//限定一个
    .maxSessionsPreventsLogin(false)//踢除前一个用户会话
    .sessionRegistry(sessionRegistry)

调试断点：

防御固话攻击使用 changeSessionId（用户身份验证后不会创建新会话，但会更改会话 ID。）

使用 FindByIndexNameSessionRepository 操作session，存储到redis

当sessionId变化时调用RedisSession.save()

        private void save() {
            this.saveChangeSessionId();
            this.saveDelta();
        }

        private void saveDelta() {
            if (!this.delta.isEmpty()) {
                String sessionId = this.getId();
                RedisIndexedSessionRepository.this.getSessionBoundHashOperations(sessionId).putAll(this.delta);
                String principalSessionKey = RedisIndexedSessionRepository.getSessionAttrNameKey(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME);
                String securityPrincipalSessionKey = RedisIndexedSessionRepository.getSessionAttrNameKey("SPRING_SECURITY_CONTEXT");
                if (this.delta.containsKey(principalSessionKey) || this.delta.containsKey(securityPrincipalSessionKey)) {
                    if (this.originalPrincipalName != null) {
                        String originalPrincipalRedisKey = RedisIndexedSessionRepository.this.getPrincipalKey(this.originalPrincipalName);
                        RedisIndexedSessionRepository.this.sessionRedisOperations.boundSetOps(originalPrincipalRedisKey).remove(new Object[]{sessionId});
                    }

                    Map<String, String> indexes = RedisIndexedSessionRepository.this.indexResolver.resolveIndexesFor(this);
                    String principal = (String)indexes.get(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME);
                    this.originalPrincipalName = principal;
                    if (principal != null) {
                        String principalRedisKey = RedisIndexedSessionRepository.this.getPrincipalKey(principal);
                        RedisIndexedSessionRepository.this.sessionRedisOperations.boundSetOps(principalRedisKey).add(new Object[]{sessionId});
                    }
                }

                this.delta = new HashMap(this.delta.size());
                Long originalExpiration = this.originalLastAccessTime != null ? this.originalLastAccessTime.plus(this.getMaxInactiveInterval()).toEpochMilli() : null;
                RedisIndexedSessionRepository.this.expirationPolicy.onExpirationUpdated(originalExpiration, this);
            }
        }

这里就会出现问题，只更新了sessions里面的，没有更新索引，会话管理又是根据索引找session，所以导致会话管理不起效

问题找到了，但是没有找到解决办法，各位有什么解决办法吗？万分感谢

2021年6月4日补充：

放到测试环境，会话管理就正常了。

本地调试就是不起作用。

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
CSDN-Ada助手 CSDN-AI 官方账号 2022-09-07 17:52
关注
不知道你这个问题是否已经解决, 如果还没有解决的话:
这篇文章：第九章：Spring Security 使用redis存储用户权限信息也许能够解决你的问题，你可以看下

如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 以帮助更多的人 ^-^
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Spring MVC 使用 Spring Session 实现 Session 共享-Redis报错：redisMessageListenerContainer java redis spring
2022-08-05 17:27

回答 3 已采纳 @Bean public RedisMessageListenerContainer redisMessageListenerContainer( RedisConn
spring缓存整合redis产生数据覆盖问题？ java redis spring
2022-07-05 16:09

回答 1 已采纳 redis key 加个前缀或者后缀
快速创建SpringBoot时，整合NoSQL中，Spring Data Redis 和Spring Data Rective Redis 这两个有什么区别 java redis spring boot
2022-08-02 10:18

回答 2 已采纳前者是同步阻塞的，需要等待结果。后者是非阻塞的，异步执行的。ReactiveRedisTemplate发送Redis请求后不会阻塞线程，当前线程可以去执行其他任务。等到Redis响应数据返回后，Re
《SpringSecurity in Action》二：基于redis实现session共享
2022-04-24 19:10

shangcunshanfu的博客 SpringSecurity基于session实现登陆认证时，有一个问题就是无法实现分布式部署，因为session是存储在某一个节点(或是某一个服务副本)的内存里的。如有这么一个用户服务，有三个副本，当进行登陆时，登陆请求打在了...
如何在java代码中实现redis的定期删除？ java redis 缓存
2022-01-07 15:45

回答 3 已采纳 redis删除过期数据的策略1.惰性删除，就是访问该key时，发现key已过期，就进行删除并且返回空2.随机删除，后台线程会scan redis设置了ttl的key，发现过期也会删除，如果删除的数据超
spring框架连接redis集群 java linux redis
2022-07-06 16:50

回答 1 已采纳你网站部署在哪里呢？云服务器？如果不是内网服务器（或者物理机），你访问局域网的redis集群，当然访问不到。如果是本地跑的话应该没问题。如果还是无法连接，那就可能是密码错误。
JAVA连接Redis报空指针 java spring
2021-02-17 20:48

回答 3 已采纳推荐了解一下Spring的基础（IoC相关的）使用new的方式并不能自动注入，Spring无法管理使用new构建的对象所以正确的方法是使用Spring依赖注入你的测试对象 @SpringB
Spring Security结合Redis实现缓存功能
2023-03-10 11:55

小满只想睡觉的博客本文简单介绍了下 Redis 的使用，结合 SpringSecurity 用于用户注册时增加验证码校验逻辑，以及用户登录时将用户名存储到 Redis 中，以供后续使用。验证码的逻辑在实际项目中可以添加，用户信息存储则推荐考虑 JWT，...
springboot连接Redis报错 Caused by: java.nio.channels.ClosedChannelException java redis 后端有问必答
2021-08-08 14:07

回答 1 已采纳 bRedisConnectionException: Unable to connect to 101.132.122.79:6379redis服务启动了吗。修改redis.conf设置允许所有up访
实际项目中有没有使用spring自带的Spring Cache而不另外集成ehcache和redis？望告知 java redis spring
2020-03-18 11:45

回答 2 已采纳如果你不搞分布式cluster，HA（高可用），完全可以用Spring Cache，用的很多的。
spring boot集成Redis(StringRedisTemplate) 配置文件没用？ java nosql spring
2020-01-09 11:20

回答 3 已采纳 springboot2.x 与springboot1.x配置不一样
Spring Security 6.x 系列（14）—— 会话管理之会话固定攻击防护及Session共享
2024-01-03 17:41

gmHappy的博客在上篇 Spring Security 6.x 系列（13）—— 会话管理及源码分析（一）中了清晰了协议和会话的概念，并对 Spring Security 中的常用会话配置进行了说明，今天我们着重了解会话固定攻击防护和 Session 共享，并对...
redis应该如何优雅地存入java bean？ java redis 数据库
2022-04-08 21:00

回答 2 已采纳缓存的作用是使得某一类查询请求不需要重复请求数据库，言外之意就是缓存中只会保存此前某个查询条件查出来的结果，不可能把整个数据库都load进缓存。既然缓存里的只是部分数据库的数据，那你要实现的功能从缓存
Springboot+JWT+SpringSecurity+Vue+Redis 前后端分离登录（1后端）
2022-11-18 16:34

山河亦问安的博客 Springboot+JWT+SpringSecurity+Vue+Redis 前后端分离登录（1后端）
Spring Security 6.x 系列【13】认证篇之会话共享解决方案
2023-04-06 15:08

云烟成雨TD的博客在`Spring Security`中默认使用`Session `保存用户认证会话，但是`Session `都是存放在单个`Web`服务器中，如果是集群模式，在一个`Web`服务中认证通过，再请求分发到另外一个`Web`服务时，并没有当前用户的`Session...
没有解决我的问题, 去提问

悬赏问题

¥15 虚幻5 UE美术毛发渲染
¥15 CVRP 图论物流运输优化
¥15 Tableau online 嵌入ppt失败
¥100 支付宝网页转账系统不识别账号
¥15 基于单片机的靶位控制系统
¥15 真我手机蓝牙传输进度消息被关闭了，怎么打开？(关键词-消息通知)
¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测

spring security 开启会话管理，changeSessionId导致redis索引丢失

1条回答 默认 最新

悬赏问题

1条回答默认最新