Spring Security 如何维持单点状态

oauth 2.0 服务端可以参考文章： Spring Security oauth2.0 服务端
 
oauth 2.0 单点登录可以参考文章： Spring Security 单点登录
 

问题描述：通过单点成功A系统后，30分钟内，B系统单点登录成功；然而30分钟后，登录B系统，需要重新输入账号密码
 

修改单点状态持续时间

Security 是如何实现单点登录的呢，其核心实现方式就是通过 session

1. A系统在W浏览器向SSO服务请求登录，即 /oauth/authorize 请求
2. SSO服务判断登录成功后，完成单点登录状态，即建立SSO服务和W浏览器的session
3. B系统在W浏览器向SSO服务请求登录，即 /oauth/authorize 请求
4. SSO服务收到来自W浏览器的登录请求，通过已建立的session，判断W浏览器是单点登录状态
5. 返回B系统登录成功

分析到这里，我们可以知道，单点状态持续时间等于 session 的有效时间，而 SpringBoot 项目默认的 session 有效期是 30 分钟

自定义 session 有效期：修改 application 配置

• Duration 是在Java8中新增的，主要用来计算日期差值，Duration 是被 final 声明的，并且是线程安全的
• Duration 字符串类似数字有正负之分：默认为正，负以 ‘-’ 开头，紧接着 PT 和时间字母:
• ‘D’ – 天
• ‘H’ – 小时
• ‘M’ – 分钟
• ‘S’ – 秒

server:
  servlet:
    session:
      timeout: PT60M
1
2
3
4

 

修改 session 存储方式

SpringBoot 项目默认会把 session 存储在内存里，这样 session 过多时会影响服务性能，甚至会导致内存异常。那么优化方案很直接，就是把 session 存储在别的地方，通常建议可以存于 Redis

pom 文件添加依赖

<dependency>
    <groupId>org.springframework.sessiongroupId>
    <artifactId>spring-session-data-redisartifactId>
dependency>
1
2
3
4
5

登录成功后，可以在 Redis 看到 session，且存活时间为 1800 秒