Spring Security之Session管理

在Spring Security中，Session管理是一个重要的部分，它提供了一种机制来管理认证用户的会话信息。Spring Security提供了多种Session管理策略，包括无状态会话管理、持久化会话管理等。

以下是一个配置无状态会话管理的示例：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // ... 其他配置 ...
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 无状态会话管理
            .and()
            // ... 其他配置 ...
            ;
    }
}

在这个配置中，我们使用.sessionManagement()来指定会话管理策略，并通过.sessionCreationPolicy(SessionCreationPolicy.STATELESS)指定为无状态会话管理。这意味着我们不会在服务器端保留任何关于认证用户的会话信息，而是通过每次请求携带的令牌（如JWT）来识别用户。

如果你需要使用持久化会话管理，可以使用如下配置：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // ... 其他配置 ...
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.ALWAYS) // 总是创建会话
                .invalidSessionUrl("/session-expired.html") // 会话失效时跳转的URL
            .and()
            // ... 其他配置 ...
            ;
    }
}

在这个配置中，我们使用.sessionCreationPolicy(SessionCreationPolicy.ALWAYS)来指定总是创建会话，并通过.invalidSessionUrl("/session-expired.html")指定会话失效时的处理URL。这种策略适用于需要在服务器端保存用户会话信息的场景。