`
songzi0206
  • 浏览: 158846 次
  • 性别: Icon_minigender_1
  • 来自: 上海
博客专栏
Group-logo
All are from ...
浏览量:33814
Group-logo
Programming w...
浏览量:19683
社区版块
存档分类
最新评论

Spring Security与BlazeDS集成的FlexSession Invalid问题

阅读更多

        先说现象:当用户登录以后,如果点击浏览器的后退按钮回到登录页面,这个时候用浏览器的前进按钮是可以再回到主页面的,但如果再想通过输入用户名/密码登录的时候,就会发现登录不了,系统会一直跳转到登录页面。查看后台的话会发现这个是因FlexSession invalid Exception 引起的。
       仔细想想觉得系统不应该会有这种bug啊,但是不管你觉得会不会,问题出现了,而且还非常容易重现。先查了下blazeds的jira,还真发现有人提过这个bug(
http://bugs.adobe.com/jira/browse/BLZ-350 ),但是看这个issue的comments说考虑会在版本4中改,又说在spring security中改更容易,还给了一个spring security jira的连接。

 

       果然,spring security jira中也有人提过这个bug(https://jira.springsource.org/browse/SEC-1109 ),看了下解决方案是通过实现自己的SessionAuthenticationStrategy在销毁/复制旧session的时候特殊处理“__flexSession”属性。
       也就是说双方都没改,只是提供了修复建议,默认配置还是会出现这个bug,有点意思,呵呵!那就查看下source code,自己探其究竟吧:

       先说blazeds,他提供了一个叫做HttpFlexSession的session监听器,他会去监听HttpSession,从而维护了一套与HttpSession对应的属性,而它自己也会作为HttpSession的__flexSession属性存在。


       当HttpSession销毁的时候,HttpFlexSession的sessionDestory方法触发,该方法会清理HttpFlexSession所占的资源,从而使得其自身invalidate(),即当前的这个HttpFlexSession已经不可用了,但是他并不会将自己从HttpSession中清理掉,也没有将自己设置为null。参考代码:

 

public void sessionDestroyed(HttpSessionEvent event)
    {
        HttpSession session = event.getSession();
        Map httpSessionToFlexSessionMap = getHttpSessionToFlexSessionMap(session);
        HttpFlexSession flexSession = (HttpFlexSession)httpSessionToFlexSessionMap.remove(session.getId());
        if (flexSession != null)
        {
            // invalidate the flex session
            flexSession.superInvalidate();

            // Send notifications to attribute listeners if needed.
            // This may send extra notifications if attributeRemoved is called first by the server,
            // but Java servlet 2.4 says session destroy is first, then attributes.
            // Guard against pre-2.4 containers that dispatch events in an incorrect order, 
            // meaning skip attribute processing here if the underlying session state is no longer valid.
            try
            {
                for (Enumeration e = session.getAttributeNames(); e.hasMoreElements(); )
                {
                    String name = (String) e.nextElement();
                    if (name.equals(SESSION_ATTRIBUTE))
                        continue;
                    Object value = session.getAttribute(name);
                    if (value != null)
                    {
                        flexSession.notifyAttributeUnbound(name, value);
                        flexSession.notifyAttributeRemoved(name, value);
                    }
                }
            }
            catch (IllegalStateException ignore)
            {
                // NOWARN
                // Old servlet container that dispatches events out of order.
            }
        }
    }



 

      这个没有错,因为从blazeds的角度看,上面的一系列动作是在HttpSession销毁时候触发的,既然HttpSession都销毁了,也就没有必要再去一个已销毁的对象里remove掉属性(贸然的remove还可能有nullpointorexception)!
      再来看看Spring Security,当用户进行Authentication的时候(默认是提交j_spring_security_check请求)会经过SessionManagementFilter,若authentication已经存在(即已经认证过),该filter默认会调用SessionFixationProtectionStrategy的onAuthentication方法,该方法会复制已经存在的那个HttpSession的所有属性,然后就销毁之,接着会创建一个新的HttpSession并把刚刚复制的所有属性set到这个新session中。参考代码:

 

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (request.getAttribute(FILTER_APPLIED) != null) {
            chain.doFilter(request, response);
            return;
        }

        request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

        if (!securityContextRepository.containsContext(request)) {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

            if (authentication != null && !authenticationTrustResolver.isAnonymous(authentication)) {
             // The user has been authenticated during the current request, so call the session strategy
                try {
                    sessionStrategy.onAuthentication(authentication, request, response);
                } catch (SessionAuthenticationException e) {
                    // The session strategy can reject the authentication
                    logger.debug("SessionAuthenticationStrategy rejected the authentication object", e);
                    SecurityContextHolder.clearContext();
                    failureHandler.onAuthenticationFailure(request, response, e);

                    return;
                }
                // Eagerly save the security context to make it available for any possible re-entrant
                // requests which may occur before the current request completes. SEC-1396.
                securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);
            } else {
             // No security context or authentication present. Check for a session timeout
                if (request.getRequestedSessionId() != null && !request.isRequestedSessionIdValid()) {
                    logger.debug("Requested session ID" + request.getRequestedSessionId() + " is invalid.");

                    if (invalidSessionUrl != null) {
                        logger.debug("Starting new session (if required) and redirecting to '" + invalidSessionUrl + "'");
                        request.getSession();
                        redirectStrategy.sendRedirect(request, response, invalidSessionUrl);

                        return;
                    }
                }
            }
        }

        chain.doFilter(request, response);
    }



 

 

public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
        boolean hadSessionAlready = request.getSession(false) != null;

        if (!hadSessionAlready && !alwaysCreateSession) {
            // Session fixation isn't a problem if there's no session

            return;
        }

        // Create new session if necessary
        HttpSession session = request.getSession();

        if (hadSessionAlready && request.isRequestedSessionIdValid()) {
            // We need to migrate to a new session
            String originalSessionId = session.getId();

            if (logger.isDebugEnabled()) {
                logger.debug("Invalidating session with Id '" + originalSessionId +"' " + (migrateSessionAttributes ?
                        "and" : "without") +  " migrating attributes.");
            }

            HashMap<String, Object> attributesToMigrate = createMigratedAttributeMap(session);

            session.invalidate();
            session = request.getSession(true); // we now have a new session

            if (logger.isDebugEnabled()) {
                logger.debug("Started new session: " + session.getId());
            }

            if (originalSessionId.equals(session.getId())) {
                logger.warn("Your servlet container did not change the session ID when a new session was created. You will" +
                        " not be adequately protected against session-fixation attacks");
            }

            // Copy attributes to new session
            if (attributesToMigrate != null) {
                for (Map.Entry<String, Object> entry : attributesToMigrate.entrySet()) {
                    session.setAttribute(entry.getKey(), entry.getValue());
                }
            }
        }
    }



 

       从Spring Security角度看,这个也没有错啊!已经认证过的用户再次认证,我的策略就是复制一个新的session。这也难怪双方都没有去改框架的代码。

       正如JIRA上的建议,也从源码可看到在SessionManagementFilter中,SessionAuthenticationStrategy是可以自己配置的:

public void setSessionAuthenticationStrategy(SessionAuthenticationStrategy sessionStrategy) {
        Assert.notNull(sessionStrategy, "authenticatedSessionStratedy must not be null");
        this.sessionStrategy = sessionStrategy;
    }



 

     所以,解决的一个方法便很简单了,不要使用SessionManagementFilter中默认的SessionFixationProtectionStrategy,而是实现自己的SessionAuthenticationStrategy并配置给SessionManagementFilter中即可。至于自己实现SessionAuthenticationStrategy,在将属性复制到新session的时候,判断下如果是HttpFlexSession就不要复制进去了,呵呵!

      上面的这个方法改动是最少的,就是写个新类实现SessionAuthenticationStrategy接口配置下。但是如果不想对Spring Security扩展,我觉得也可以用扩展blazeds的思路来实现。尝试了两种,第一种通过实现一个FlexSessionListener去监听HttpFlexSession,当触发sessionDestory的时候将HttpFlexSession.httpSession里的HttpFlexSession属性移除掉,但是这种方法不对的 ,因为这个方法被触发之前,httpSession里的所有属性已经被复制了,再移除已经无用。第二种,重写MessageBrokerServlet的service方法,因为异常的源头来自该servlet用了一个invalid的HttpFlexSession去获取Principal,所以只要再service方法之前先判断下当前的HttpFlexSession是否已经无效,无效的话我们就从当前的HttpSession中移除这个无效的HttpFlexSession即可。这样,就能保证MessageBrokerServlet中所用的HttpFlexSession一定是有效的。

 

@Override
	public void service(HttpServletRequest req, HttpServletResponse res) {
		HttpSession httpSession = req.getSession(true);
		HttpFlexSession flexSession = (HttpFlexSession)httpSession.getAttribute(XXWebServlet.SESSION_ATTRIBUTE);
		if( flexSession != null && !flexSession.isValid()){
			httpSession.removeAttribute(XXWebServlet.SESSION_ATTRIBUTE);
		}
		super.service(req, res);
	}



 

  • 大小: 15 KB
分享到:
评论

相关推荐

    Spring BlazeDS Integration Spring集成BlazeDS

    综上所述,Spring BlazeDS Integration 提供了一个高效且灵活的途径,让Spring后端服务与Flex前端应用无缝对接,从而在企业级应用开发中实现强大的交互性和用户体验。通过文档"Flex与Java通讯文档三",读者可以深入...

    Spring MVC+BlazeDS+Flex框架实践

    **Spring MVC与BlazeDS的集成** 将Spring MVC与BlazeDS结合,可以实现Java后端与Flex前端的无缝交互。通过BlazeDS的Remoting服务,Spring MVC的控制器可以直接暴露为Flex可以调用的服务。配置Spring的...

    spring flex BlazeDS 集成官方文档(英文)

    **背景**:Spring BlazeDS 集成是Springsource为了更好地将Spring框架与Adobe Flex应用程序结合而开发的一个解决方案。它使得开发者能够利用BlazeDS作为中间件来连接前端Flex应用程序与后端Spring服务层。 **依赖...

    spring blazeds 整合实例(源码)

    综上所述,这个压缩包提供了一套完整的Spring与BlazeDS整合的实例,包括源代码和可能的教程,对于学习和掌握两者之间的集成技术非常有帮助。通过深入研究这些文件,开发者可以更好地理解和应用Spring框架与BlazeDS在...

    Spring BlazeDS Integration 1.0.0

    2. **Spring与BlazeDS集成**:Spring BlazeDS Integration是Spring框架的一部分,它提供了一套完整的工具集,包括Spring配置、Spring MVC适配器和数据传输对象(DTO),以简化BlazeDS与Spring应用的集成。...

    Integrating Flex, BlazeDS, and Spring security

    标题 "Integrating Flex, BlazeDS, and Spring Security" 指的是将Adobe Flex与BlazeDS服务以及Spring Security框架整合在一起的技术实践。这通常是为了构建一个富互联网应用程序(RIA,Rich Internet Application)...

    Flex Spring框架成BlazeDS

    标题中的“Flex Spring框架成BlazeDS”意味着我们要讨论如何将Spring框架与BlazeDS集成,以便在Flex客户端与Spring服务端之间进行数据交换。BlazeDS是Adobe提供的一个免费服务器端组件,它允许Flex应用程序通过HTTP...

    spring+blazeDS+flex4 例子

    《Spring、BlazeDS与Flex4的整合应用详解》 在现代Web开发中,构建交互性强、用户体验良好的富互联网应用程序(Rich Internet Applications, RIA)是开发者追求的目标。Spring、BlazeDS和Flex4的结合,正是实现这一...

    Flex Spring JAVA BLAZEDS整合

    5. **Spring与BlazeDS的进一步集成**: 除了基本的远程调用,还可以利用Spring的AOP(面向切面编程)特性实现事务管理、安全性控制等功能。此外,BlazeDS还支持AMF(Action Message Format)协议,能有效提高数据...

    BlazeDS集成Flex+Tomcat开发J2EE模块整合实例

    在BlazeDS和Flex的集成中,Tomcat常被用作部署服务器,承载BlazeDS服务以及与之交互的Flex应用程序。 在J2EE模块整合中,BlazeDS通常作为中间件,负责在Flex客户端和Tomcat服务器之间建立连接。开发者可以在Tomcat...

    spring-blazeds结合项目源码

    2. **Spring与BlazDS集成** Spring通过Spring BlazeDS Integration项目实现了与BlazDS的无缝对接。该项目提供了一组Spring Bean定义,使得在Spring应用上下文中配置BlazDS服务变得更加简单。通过Spring,你可以声明...

    Flex、Spring整合:Spring BlazeDS Integration

    Spring BlazeDS Integration则是Spring社区为方便Spring与BlazeDS集成而开发的一套工具,它简化了两者之间的通信,允许开发者利用Spring的强大功能来处理业务逻辑,并通过BlazeDS将这些逻辑暴露给Flex前端。...

    Flex、Spring整合:blazeds

    这篇文章将详细探讨这一集成过程,以及如何在项目中使用BlazeDS作为中间件。 首先,让我们了解一下Flex。Flex是一种用于构建RIA的开放源码框架,基于ActionScript编程语言和Flash Player或Adobe AIR运行时环境。它...

    flex+spring+blazeds消息推送

    标题中的“flex+spring+blazeds消息推送”是指在开发富互联网应用程序(RIA)时,采用Adobe Flex作为前端UI框架,Spring作为后端服务层框架,BlazeDS作为数据通信中间件,实现服务器到客户端的消息实时推送功能。...

    flex blazeds spring集成

    Flex Blazeds Spring集成是将Adobe的Flex前端技术与Spring框架后端服务相结合的一种开发模式。这个DEMO展示了如何在Flex客户端应用中利用Spring框架来管理和服务通信,从而实现更高效、灵活的分布式应用程序。 Flex...

    WEB项目-集成Flex3+BlazeDS3.2+Spring2.5.6集成方式二

    【集成Flex3+BlazeDS3.2+Spring2.5.6的另一种方式】\n\n在上一讲中,我们介绍了如何将Flex3、BlazeDS3.2和Spring2.5.6集成在一起,构建一个强大的WEB项目。本讲我们将探讨集成方式二,该方法采用Spring的侦听配置...

    flex-spring-blazeds demo

    本文将深入探讨如何将这三者完美结合,通过"flex-spring-blazeds demo"项目,展示一个高效、可扩展的Flex-Spring-BlazeDS集成解决方案。 首先,我们来看Flex在RIA中的核心作用。Flex基于ActionScript和MXML,为...

    Spring blazeDS

    我们将竭诚为您解答关于Spring与BlazeDS框架整合的相关问题。 综上所述,Spring与BlazeDS的整合不仅能够充分利用各自的优势,还能极大地提高开发效率和应用性能,是当前RIA开发领域一个非常值得关注的方向。

    Blazeds4+spring3+mybatis集成

    6. **安全与性能优化**:考虑安全方面,可以集成Spring Security来保护服务接口。对于性能,可以通过缓存策略、数据库连接池优化等方式提升系统性能。 这种集成方式使得Flex客户端能够轻松地调用后端服务,同时利用...

Global site tag (gtag.js) - Google Analytics