编程知识 cdmana.com

SpringSecurity-2.基础篇 Session会话安全管理

Session会话安全管理 

一、Spring Security session 创建策略

配置方法:

configure(HttpSecurity http) 中进行配置

.and().sessionManagement().
       sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)

二、 会话超时配置

springboot 中有两种 sessioin 超时的设置

  • server.servlet.session.timeout=15m 

  • spring.session.timout=15m (使用springsession时用,优先级更高)

springboot 默认最短1分钟,超过1分钟按1分钟处理。

Security中设置方法:

当session超时后跳转到页面:

三、Session保护 session-fixation-protection

防止用户模拟session。一般不修改。建议使用migrationSession(默认行为) 或 newSession.

四、Cookie的安全

 

 

版权声明
本文为[张宏良]所创,转载请带上原文链接,感谢
https://my.oschina.net/u/1020373/blog/4839513

Scroll to Top