Spring Security OAuth2.0(9):会话控制

Spring Security 提供了多种会话控制（Session Management）方式，用于管理用户认证后的会话行为，包括会话创建、固定、并发控制等。以下是主要的会话控制方式及其配置方法：

1. 会话创建策略（Session Creation Policy）

通过HttpSecurity.sessionManagement().sessionCreationPolicy()设置会话的创建规则：

• always
  如果请求未携带会话，则总是创建新会话（默认行为）。

  http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.ALWAYS);

• ifRequired
  仅在需要时创建会话（如未认证用户提交表单时）。

  http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);

• **never`
  Spring Security 不会创建会话，但会使用已存在的会话（适用于无状态 API，如 RESTful 服务）。

  http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);

• stateless
  完全无状态，不创建也不使用会话（适用于 JWT 等 Token 认证）。

  http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

2. 会话固定保护（Session Fixation Protection）

防止会话固定攻击（攻击者通过固定会话 ID 劫持用户会话）：

• migrateSession（默认）
  认证成功后创建新会话，复制原会话属性到新会话。

  http.sessionManagement().sessionFixation().migrateSession();

• newSession
  认证后创建全新会话，不复制原属性。

  http.sessionManagement().sessionFixation().newSession();

• none
  禁用保护，不更改会话（不推荐）。

  http.sessionManagement().sessionFixation().none();

3. 并发会话控制（Concurrent Session Control）

限制同一用户可同时登录的会话数量：

• 配置会话注册表
  使用SessionRegistry跟踪活跃会话：

  @BeanpublicSessionRegistrysessionRegistry(){returnnewSessionRegistryImpl();}

• 限制并发会话数
  通过maximumSessions设置最大会话数，expiredUrl指定会话过期后的跳转页面：

  http.sessionManagement().maximumSessions(1)// 最多允许1个会话.expiredUrl("/login?error=EXPIRED_SESSION");// 会话过期跳转.invalidSessionUrl("/login?error=INVALID_SESSION");// 无效会话

• 禁止新登录踢出旧会话
  添加maxSessionsPreventsLogin(true)阻止新登录：

  http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);// 新登录失败（返回403）

• 手动管理会话
  通过SessionRegistry获取或注销会话：

  @AutowiredprivateSessionRegistrysessionRegistry;publicvoidlogoutUser(Stringusername){List<SessionInformation>sessions=sessionRegistry.getAllSessions(username,false);sessions.forEach(session->session.expireNow());// 使会话过期}

4. 会话超时控制

通过 Spring Boot 或 Servlet 容器配置会话超时：

• Spring Boot 配置
  在application.properties中设置：

  server.servlet.session.timeout=30m # 30分钟超时

• Servlet 容器配置
  在web.xml中设置（传统方式）：

  <session-config><session-timeout>30</session-timeout><!-- 单位：分钟 --></session-config>

5. 自定义会话属性

在认证成功后向会话添加自定义属性：

publicclassCustomAuthenticationSuccessHandlerimplementsAuthenticationSuccessHandler{@OverridepublicvoidonAuthenticationSuccess(HttpServletRequestrequest,HttpServletResponseresponse,Authenticationauthentication){request.getSession().setAttribute("USER_ROLE",authentication.getAuthorities());}}// 配置http.formLogin().successHandler(newCustomAuthenticationSuccessHandler());

6. 禁用 URL 重写（防止 CSRF）

禁用会话 ID 在 URL 中暴露（默认已禁用，需显式配置）：

http.sessionManagement().disableUrlRewriting();// 禁用 jsessionid=xxx 参数

完整配置示例

@Configuration@EnableWebSecuritypublicclassSecurityConfig{@BeanpublicSessionRegistrysessionRegistry(){returnnewSessionRegistryImpl();}@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED).sessionFixation().migrateSession().maximumSessions(1).expiredUrl("/login?expired=true").sessionRegistry(sessionRegistry()).and().authorizeRequests().antMatchers("/public/**").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login").permitAll();}}

总结

• 会话创建：根据场景选择ALWAYS、IF_REQUIRED、NEVER或STATELESS。
• 会话固定：推荐使用migrateSession或newSession。
• 并发控制：通过SessionRegistry和maximumSessions限制多登录。
• 超时：结合 Spring Boot 或容器配置。
• 无状态：REST API 推荐STATELESS+ Token（如 JWT）。

根据实际需求选择合适的组合，确保安全性和用户体验平衡。

安全会话cookie

我们可以使用httpOnly 和secure 标签来保护我们的会话cookie

• httpOnly 如果为true ，那么浏览器脚本将无法访问cookie
• secure 如果为true，则cookie将仅通过https链接发送

springboot配置文件

# 会话 Cookie 配置 server.servlet.session.cookie.secure=true # 仅 HTTPS 传输 server.servlet.session.cookie.http-only=true # 禁止 JavaScript 访问