パッケージ org.springframework.security.web.authentication.session
パッケージ org.springframework.security.web.authentication.session
新しく認証されたユーザーのセッション関連の動作を処理するための戦略インターフェースと実装。
以下のサポートが付属しています:
- セッション固定攻撃に対する保護
- 認証されたユーザーが開くことができるセッションの数を制御する
- クラス説明セッション固定保護を実行するための基本クラス。
HttpServletRequest.changeSessionId()
を使用して、セッション固定攻撃から保護します。委譲先の複数のSessionAuthenticationStrategy
実装を受け入れるSessionAuthenticationStrategy
。同時セッション制御を処理する戦略。Authentication
の成功後、SessionRegistry
にユーザーを登録するために使用される戦略。SessionAuthenticationStrategy
またはServerSessionAuthenticationStrategy
によってスローされ、認証オブジェクトが現在のセッションに対して有効でないことを示します。通常、これは同じユーザーが同時に実行できるセッション数を超えたことが原因です。認証が発生したときの HttpSession 関連の動作のプラグ可能なサポートを許可します。セッション固定保護の目的でセッション ID が変更されたことを示します。HttpServletRequest.invalidate()
を使用して、セッション固定攻撃から保護します。