当用户注销时，Spring Security 从数据库中删除会话

Question

我正在我的项目中实现 Spring Security，并使用 mysql 数据库来存储会话。一切正常，但是当用户注销时，它的会话也会从我不想要的数据库中删除。我只希望会话无效但不从数据库中删除。 在调试时，我发现：

    public void logout(HttpServletRequest request, HttpServletResponse response,
        Authentication authentication) {
    Assert.notNull(request, "HttpServletRequest required");
    if (invalidateHttpSession) {
        HttpSession session = request.getSession(false);
        if (session != null) {
            logger.debug("Invalidating session: " + session.getId());
            **session.invalidate();**
        }
    }

    if (clearAuthentication) {
        SecurityContext context = SecurityContextHolder.getContext();
        context.setAuthentication(null);
    }

    SecurityContextHolder.clearContext();
}

此代码来自 SecurityContextLogoutHandler 类。

进一步，代码执行进入：

    private final class HttpSessionWrapper extends HttpSessionAdapter<S> {

        HttpSessionWrapper(S session, ServletContext servletContext) {
            super(session, servletContext);
        }

        @Override
        public void invalidate() {
            super.invalidate();
            SessionRepositoryRequestWrapper.this.requestedSessionInvalidated = true;
            setCurrentSession(null);
            clearRequestedSessionCache();
            **SessionRepositoryFilter.this.sessionRepository.deleteById(getId());**
        }

    }

函数的最后一行删除了我不想要的会话。

我的问题是，当用户注销时，我是否可以阻止 spring security 从数据库中删除会话，或者这就是 spring security 的工作方式？

Answer 1

一旦用户注销，您是否有任何特定原因不想从数据库中删除会话？这是非常常见的行为。会话代表您登录的客户端。一旦客户端登录（提供有效的凭据，例如带有用户名的密码）会话 ID 就会被创建并发送给客户端。此会话 ID 表示有效的登录连接。在来自该客户端的后续请求中，他只会在标头内发送此会话 ID，您的应用程序将检查此会话 ID 是否存储在有效会话（例如您的数据库）中，并且是否认为此请求已通过身份验证（因此客户端不必须发送他的凭据，每个请求都必须对其进行验证，他只发送会话 ID）。一旦客户端注销，会话 ID 就会失效，因为注销后他的连接不再经过身份验证。因此，是的，这就是 Spring Security 的工作方式，无需保留无效的会话。您还必须实施自定义机制以从数据库中清除会话（如果不是在用户注销时清除会话）。您也可以考虑在内存中使用会话池而不是 DB。

编辑：我不知道在数据库会话池的情况下弹簧检查的有效会话，但有时它必须访问数据库读取所有会话，以便它可以找出哪些会话 ID 是有效的（我想这是为每个after - 至少登录请求）。当有效会话由该池同时定义时，如何在您的情况下将无效会话保留在数据库会话池中？