パッケージ org.springframework.security.web.authentication.session
新しく認証されたユーザーのセッション関連の動作を処理するための戦略インターフェースと実装。
以下のサポートが付属しています:
- セッション固定攻撃に対する保護
- 認証されたユーザーが開くことができるセッションの数を制御する
インターフェースのサマリー インターフェース 説明 SessionAuthenticationStrategy 認証が発生したときの HttpSession 関連の動作のプラグ可能なサポートを許可します。クラスのサマリー クラス 説明 AbstractSessionFixationProtectionStrategy セッション固定保護を実行するための基本クラス。AbstractSessionFixationProtectionStrategy.NullEventPublisher ChangeSessionIdAuthenticationStrategy HttpServletRequest.changeSessionId()
を使用して、セッション固定攻撃から保護します。CompositeSessionAuthenticationStrategy 委譲先の複数のSessionAuthenticationStrategy
実装を受け入れるSessionAuthenticationStrategy
。ConcurrentSessionControlAuthenticationStrategy 同時セッション制御を処理する戦略。NullAuthenticatedSessionStrategy RegisterSessionAuthenticationStrategy Authentication
の成功後、SessionRegistry
にユーザーを登録するために使用される戦略。SessionFixationProtectionEvent セッション固定保護の目的でセッション ID が変更されたことを示します。SessionFixationProtectionStrategy HttpServletRequest.invalidate()
を使用して、セッション固定攻撃から保護します。例外のサマリー 例外 説明 SessionAuthenticationException SessionAuthenticationStrategy によってスローされ、認証オブジェクトが現在のセッションに対して無効であることを示します。これは通常、同じユーザーが同時に許可されているセッションの数を超えたためです。