/ / Ajout de Spring-session & Redis à la configuration Spring Security Spring Security existante - Spring-Security, Spring-Boot, Spring-Session

Ajout de Spring-Session & Redis à la configuration Spring Security Spring Security existante - Spring-Security, Spring-Boot, Spring-Session

Nous avons actuellement une application Spring-Boot (1.2.1.RELEASE) avec Spring-Security qui s'exécute avec succès.

Nous avons implémenté avec succès le contrôle de concurrence avec la configuration suivante

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig {

@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
@Configuration
protected static class ApplicationSecurity extends WebSecurityConfigurerAdapter {

private static final int MAX_CONCURRENT_USER_SESSIONS = 1;

@Override
protected void configure(HttpSecurity http) throws Exception {
http
//snipped
.sessionManagement()
.maximumSessions(MAX_CONCURRENT_USER_SESSIONS)
.maxSessionsPreventsLogin(true)
.sessionRegistry(sessionRegistry());
}

@Bean
public SessionRegistry sessionRegistry() {
SessionRegistry sessionRegistry = new SessionRegistryImpl();
return sessionRegistry;
}

@Bean
public static HttpSessionEventPublisher httpSessionEventPublisher() {
return new HttpSessionEventPublisher();
}
}
}

Si vous essayez de vous connecter avec le même compte d'utilisateur sur 2 sessions différentes, la deuxième tentative échouera jusqu'à ce que l'utilisateur actuel se déconnecte, comme prévu et requis.

Cela fonctionne très bien dans un environnement à une seule instance, mais nous souhaitons déployer plusieurs disques sur Herkou et, en tant que tels, devons externaliser la session.

Spring-Session + Spring-Boot-Starter-Redis semble être un excellent candidat pour cela.

Dans la documentation de la session de printemps, il est mentionné que tout ce que nous avons à faire est d’ajouter l’annotation @EnableRedisHttpSession et définir un JedisConnectionFactory.

Cela fonctionne et l'ajout d'une annotation entraîne le stockage des sessions dans Redis, ce que je peux voir avec redis-cli.

Toutefois, l'ajout de cette annotation annule le contrôle de concurrence.

Avec l'annotation @EnableRedisHttpSession ajouté, le SessionRegistryImpl les méthodes ne sont jamais invoquées, pas plus que les méthodes HttpSessionEventPublisher.sessionCreated()/sessionDestroy() méthodes.

Cela signifie que lorsque l'utilisateur actuel se déconnecte,l'autre session essayant d'utiliser ce nom d'utilisateur ne pourra toujours pas se connecter et l'utilisateur qui vient de se déconnecter ne pourra pas se reconnecter. En effet, les sessions ne sont jamais supprimées du ??? registre / référentiel ???

Toute idée de la manière dont je pourrais faire fonctionner ma création / destruction de session, tout en utilisant Redis en tant que magasin, serait grandement appréciée.

Réponses:

1 pour la réponse № 1

Nous ne prenons actuellement pas en charge le contrôle de la simultanéité et la session de printemps de Spring Security. Vous pouvez problème existant sur GitHub.

L’idée générale serait d’implémenter l’interface SessionRepository de Spring Security à l’aide de l’interface SessionRepository de Spring Session.

Si vous souhaitez soumettre un PR, ce serait très apprécié!

questions connexes

Comment maintenir la session au printemps et en veille prolongée - Spring, Hibernate, session, frameworks
Pouvez-vous utiliser les fonctionnalités de Spring en dehors de Spring (Boot)? - printemps, repos, botte de printemps
Quelle est la différence entre le printemps 2.5 et le printemps 3.x? [fermé] - printemps
Quelle meilleure façon de combiner (intégrer) javaFX avec spring pour construire des applications de bureau - spring, javafx
Spring Boot support maven multi-module - ressort, maven, botte à ressort
Spring Boot peut-il réaliser tout ce qu'un framework Spring MVC peut faire? - printemps, printemps-mvc, botte de printemps
Comment modifier ou personnaliser sessionId dans un projet de session de printemps? - printemps, botte de printemps, session de printemps
Amorçage avec les référentiels JPA à l'aide de JTA Transaction Manager avec JBOSS 6 - Spring, hibernate, jboss, spring-boot, jta
Avec Roo 2.0, je ne trouve pas web.xml alors comment puis-je configurer Spring MVC - Spring, Spring-Mvc, Spring-Roo
Botte de printemps vs grails 3 [fermé] - botte de printemps, grails3
Différence entre Springboot 1.X et Springboot 2.0 - Spring-Boot
démarreur à ressort contre démarreur à ressort xxx - démarrage à ressort
Liquibase ne met pas à jour l'application Web d'amorçage de printemps - démarrage par ressort, liquibase
Authentification unique pour React App sur l'application thymeleaf pour démarrage de printemps
Spring Boot avec maven war dependancy - maven, botte de printemps, guerre
Spring Boot UI pour Spring Security (par exemple, ajout de rôles d'utilisateurs, etc.) - java, grails, spring-security, spring-boot
Printemps de démarrage sans perte de données de session utilisateur - java, spring-boot
java spring framework 4 pour la création d'applications web de réseaux sociaux - java, spring, spring-mvc, spring-4
Existe-t-il un moyen d'utiliser les évolutions Play DB dans l'application Spring-boot - java, spring, spring-boot, playframework
Impossible de lire les valeurs du profil au printemps 1.3.6 - Java, Spring, Spring-Boot