Spring 会话/安全 - Redis 会话未正确删除
问题描述 投票:0回答:1
我有一个 Spring OAuth 客户端(BFF),位于公共 Angular 客户端和 Auth0 授权服务器之间。当我登录时,BFF 正确地将会话保留到 Redis(并且授权客户端、安全上下文和授权请求作为会话中的属性)
当我注销时,只有会话的内容被删除,密钥本身没有被删除。而且排序集中的任何内容都不会被删除。
注销处理程序
这是我的注销处理程序
@Component
internal class SessionServerLogoutHandler(
private val sessionControl: SessionControl,
private val sessionProperties: SessionProperties,
private val csrfProperties: CsrfProperties,
) : ServerLogoutHandler {
private val logger = LoggerFactory.getLogger(SessionServerLogoutHandler::class.java)
override fun logout(exchange: WebFilterExchange, authentication: Authentication?): Mono<Void> {
return exchange.exchange.session
.flatMap { session ->
logger.info("Logging out: Invalidating User Session: ${session.id}")
val response = exchange.exchange.response
sessionControl.invalidateSession(session)
.then(Mono.fromRunnable {
logger.info("Deleting Session Cookie: ${sessionProperties.SESSION_COOKIE_NAME}")
// delete the session cookie
val sessionCookie = ResponseCookie.from(sessionProperties.SESSION_COOKIE_NAME)
sessionCookie.maxAge(0)
sessionCookie.httpOnly(sessionProperties.SESSION_COOKIE_HTTP_ONLY)
sessionCookie.secure(sessionProperties.SESSION_COOKIE_SECURE)
sessionCookie.sameSite(sessionProperties.SESSION_COOKIE_SAME_SITE)
sessionCookie.path(sessionProperties.SESSION_COOKIE_PATH)
sessionCookie.domain(sessionProperties.SESSION_COOKIE_DOMAIN)
.build()
response.headers.add(
HttpHeaders.SET_COOKIE,
sessionCookie.toString()
)
logger.info("Deleting Session Cookie: ${csrfProperties.CSRF_COOKIE_NAME}")
// delete the CSRF cookie
val csrfCookie = ResponseCookie.from(csrfProperties.CSRF_COOKIE_NAME)
csrfCookie.maxAge(0)
csrfCookie.httpOnly(csrfProperties.CSRF_COOKIE_HTTP_ONLY)
csrfCookie.secure(csrfProperties.CSRF_COOKIE_SECURE)
csrfCookie.sameSite(csrfProperties.CSRF_COOKIE_SAME_SITE)
csrfCookie.path(csrfProperties.CSRF_COOKIE_PATH)
csrfCookie.domain(csrfProperties.CSRF_COOKIE_DOMAIN)
.build()
response.headers.add(
HttpHeaders.SET_COOKIE,
csrfCookie.toString()
)
})
}
}
}
会话控制
它调用另一个名为 SessionControl 的调用,以及 invalidate session 方法。这是这个功能
fun invalidateSession(session: WebSession): Mono<Void> {
val sessionInformation = getSessionInformation(session)
logger.info("Invalidating sessionId: ${sessionInformation.sessionId}")
// handle the session invalidation process
return sessionInformation.invalidate()
.then(Mono.defer {
webSessionStore.removeSession(sessionInformation.sessionId)
})
.doOnSuccess {
logger.info("Session invalidated and removed: ${sessionInformation.sessionId}")
}
.doOnError { error ->
logger.error("Error invalidating session: ${sessionInformation.sessionId}", error)
}
}
WebSessionStore
依次调用Websession Store,即removeSession方法。
这是 bean 和函数:
@Bean(name = ["webSessionStore"])
fun webSessionStore(
reactiveRedisIndexedSessionRepository: ReactiveRedisIndexedSessionRepository
): SpringSessionWebSessionStore<RedisSession> {
return SpringSessionWebSessionStore(reactiveRedisIndexedSessionRepository)
}
@Override
public Mono<Void> removeSession(String sessionId) {
return this.sessions.deleteById(sessionId);
}
reactiveRedisIndexedSessionRepository
上面的this.sessions指的是WebsessionStore的构造函数中传入的ReactiveRedisIndexedSessionRepository。看看 Spring ReactiveRedisIndexedSessionRepository 的内部结构,我看到了这一点:
public Mono<Void> deleteById(String id) {
return deleteAndReturn(id).then();
}
private Mono<RedisSession> deleteAndReturn(String id) {
// @formatter:off
return getSession(id, true)
.flatMap((session) -> this.sessionRedisOperations.delete(getExpiredKey(session.getId()))
.thenReturn(session))
.flatMap((session) -> this.sessionRedisOperations.delete(getSessionKey(session.getId())).thenReturn(session))
.flatMap((session) -> this.indexer.delete(session.getId()).thenReturn(session))
.flatMap((session) -> this.expirationStore.remove(session.getId()).thenReturn(session));
// @formatter:on
}
之前Redis中的Session
正如您在我注销之前看到的,会话位于 Redis 中。
Redis 中的会话之后
在我调用注销处理程序之后,肯定发生了一些事情,但会话及其密钥仍然存在,除了单个最后访问的映射键/值之外,没有值映射。
此外,SortedSet 中不会删除任何内容,根据上面的 deleteAndReturn 方法中的第四步,它应该...
那么,有人可以帮助我理解我的代码哪里可能出了问题吗?
1个回答
0
投票
投票
让我们看看
deleteAndReturn private Mono<RedisSession> deleteAndReturn(String id) {
// @formatter:off
return getSession(id, true)
.flatMap((session) -> this.sessionRedisOperations.delete(getExpiredKey(session.getId()))
.thenReturn(session))
.flatMap((session) -> this.sessionRedisOperations.delete(getSessionKey(session.getId())).thenReturn(session))
.flatMap((session) -> this.indexer.delete(session.getId()).thenReturn(session))
.flatMap((session) -> this.expirationStore.remove(session.getId()).thenReturn(session));
// @formatter:on
}
您收到一个
ididsessionsession.getId()idsession.getId()最新问题
- MSBuild 不会编译我的解决方案,它失败并出现严重且荒谬的错误
- Java:Eclipse:找不到主类
- 将 Pandas DataFrame 的行转换为列标题
- 如何使用assimp的aiMeshMorphKey来制作角色的面部表情动画?
- CoreWCF 转换工作正常,但在制作 exe 文件后但未启动
- 计划 SuiteScript 从文件柜加载 CSV,并将保存的搜索结果附加到 CSV 并保存
- 在 vim 中查找并替换多个文件中特定字符串的所有实例
- 如何在 IntelliJ 插件中“注册”新的模块类型?
- 我们如何使用 TriggerDagRunOperator 触发单个气流 dag 倍增器次数?
- 多重绑定时出现 Ninject 错误
- 如何修复此代码以合并我的谷歌表格笔记?
- “Content-Disposition”的“文件名”中的 UTF-8 字符产生“IllegalArgumentException:意外字符”
- Laravel Nova:如何一步同时创建用户和关联的配置文件
- 如何创建重复的 SVG 图案?
- 访问用于创建模板化结构 C++ 的枚举类
- Whatsapp API - 删除收到的消息
- Terraform 错误:创建 API 网关部署时出错:BadRequestException:没有为方法定义集成
- Playwright locator.click() 超时,而通话记录似乎已正确完成
- setuptool和setup.cfg:如何声明data_files?
- 使用 PowerShell 静默自动化 cleanmgr.exe
© www.soinside.com 2019 - 2024. All rights reserved.