如何使用 Spring Security 和 jQuery 处理过期会话？答案

【问题标题】：How to handle expired session using Spring Security and jQuery?如何使用 Spring Security 和 jQuery 处理过期会话？
【发布时间】：2011-03-21 08:18:26
【问题描述】：

我在我的应用程序中使用 Spring Security 和 jQuery。主页使用通过 AJAX 将内容动态加载到选项卡中。一切都很好，但有时我的标签页中有登录页面，如果我输入凭据，我将被重定向到没有标签页的内容页面。

所以我想处理这种情况。我知道有些人使用 AJAX 身份验证，但我不确定它是否适合我，因为它对我来说看起来很复杂，而且我的应用程序不允许在没有登录之前进行任何访问。我只想为所有 AJAX 响应编写一个全局处理程序，如果我们需要进行身份验证，它将执行 window.location.reload()。我认为在这种情况下最好得到401 错误而不是标准登录表单，因为它更容易处理。

所以，

1) 是否可以为所有 jQuery AJAX 请求编写全局错误处理程序？

2) 我如何自定义 Spring Security 的行为，以便为 AJAX 请求发送 401 错误，但对于常规请求以照常显示标准登录页面？

3) 你可能有更优雅的解决方案吗？请分享。

谢谢。

【问题讨论】：

您已经有一段时间没有问这个问题了。你自己有没有想出好的解决方案？
我最近写了一篇关于这个问题的博文：to-string.com/2012/08/03/…
我喜欢@craftsman 解决方案。我什至简化了它（至少我是这么认为的）。见gedrox.blogspot.com/2013/03/blog-post.html。

标签： jquery ajax authentication spring-security session-timeout

【解决方案1】：

这是一种我认为非常简单的方法。这是我在这个网站上观察到的方法的组合。我写了一篇关于它的博客文章： http://yoyar.com/blog/2012/06/dealing-with-the-spring-security-ajax-session-timeout-problem/

基本思想是使用上面建议的 api url 前缀（即 /api/secured）以及身份验证入口点。这很简单而且很有效。

这是身份验证入口点：

package com.yoyar.yaya.config;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;

import javax.servlet.ServletException;
import javax.servlet.http.*;
import java.io.IOException;

public class AjaxAwareAuthenticationEntryPoint 
             extends LoginUrlAuthenticationEntryPoint {

    public AjaxAwareAuthenticationEntryPoint(String loginUrl) {
        super(loginUrl);
    }

    @Override
    public void commence(
        HttpServletRequest request, 
        HttpServletResponse response, 
        AuthenticationException authException) 
            throws IOException, ServletException {

        boolean isAjax 
            = request.getRequestURI().startsWith("/api/secured");

        if (isAjax) {
            response.sendError(403, "Forbidden");
        } else {
            super.commence(request, response, authException);
        }
    }
}

这就是你的 spring 上下文 xml 中的内容：

<bean id="authenticationEntryPoint"
  class="com.yoyar.yaya.config.AjaxAwareAuthenticationEntryPoint">
    <constructor-arg name="loginUrl" value="/login"/>
</bean>

<security:http auto-config="true"
  use-expressions="true"
  entry-point-ref="authenticationEntryPoint">
    <security:intercept-url pattern="/api/secured/**" access="hasRole('ROLE_USER')"/>
    <security:intercept-url pattern="/login" access="permitAll"/>
    <security:intercept-url pattern="/logout" access="permitAll"/>
    <security:intercept-url pattern="/denied" access="hasRole('ROLE_USER')"/>
    <security:intercept-url pattern="/" access="permitAll"/>
    <security:form-login login-page="/login"
                         authentication-failure-url="/loginfailed"
                         default-target-url="/login/success"/>
    <security:access-denied-handler error-page="/denied"/>
    <security:logout invalidate-session="true"
                     logout-success-url="/logout/success"
                     logout-url="/logout"/>
</security:http>

【讨论】：

我实现了这种方法，我捕获了超时，然后重定向到登录页面再次登录。登录后，我看到了 ajax url 和查询字符串。有没有办法可以返回发起 ajax 请求的页面？谢谢
这很好。这是 spring security 的一个特性，并且与这个解决方案正交。然而，这仍然是一个问题。我目前遇到了同样的问题，一旦我整理出来，我会更新这篇文章。如果您在此期间弄清楚，请告诉我。
Re: blong824 的评论，这个页面有指导意义：static.springsource.org/spring-security/site/docs/3.1.x/…。如果您将参数always-use-default-target 设置为true，您可以让系统在登录到所需页面后始终重定向。还要寻找与 bean 类型相关的解决方案：SimpleUrlAuthenticationSuccessHandler。我认为更复杂的解决方案最好在单独的帖子中描述。
再次回复：blong824 的评论 - 在此处观察 Raghuram 的评论：stackoverflow.com/questions/4696905/…，其中显示了如何自定义 SimpleUrlAuthenticationSuccessHandler
我目前正在尝试以下操作：扩展 HttpSessionRequestCache 并传入一个省略字符串，该字符串以我的 ajax 请求的路径开头。然后我覆盖了 saveRequest 方法，如果 currentRequest 不是以省略字符串开头，我调用 super.saveRequest。我有一个扩展 SavedRequestAwareAuthenticationSuccessHandler 的类，它检查 HttpSessionRequestCache。它还没有工作，但我正在接近。如果你想让我发布代码，我们应该开始一个新问题。

【解决方案2】：

我使用了以下解决方案。

在 spring security 中定义了无效的 session url

<security:session-management invalid-session-url="/invalidate.do"/>

为该页面添加以下控制器

@Controller
public class InvalidateSession
{
    /**
     * This url gets invoked when spring security invalidates session (ie timeout).
     * Specific content indicates ui layer that session has been invalidated and page should be redirected to logout. 
     */
    @RequestMapping(value = "invalidate.do", method = RequestMethod.GET)
    @ResponseBody
    public String invalidateSession() {
        return "invalidSession";
    }
}

对于 ajax 使用 ajaxSetup 来处理所有的 ajax 请求：

// Checks, if data indicates that session has been invalidated.
// If session is invalidated, page is redirected to logout
   $.ajaxSetup({
    complete: function(xhr, status) {
                if (xhr.responseText == 'invalidSession') {
                    if ($("#colorbox").count > 0) {
                        $("#colorbox").destroy();
                    }
                    window.location = "logout";
                }
            }
        });

【讨论】：

【解决方案3】：

看看http://forum.springsource.org/showthread.php?t=95881，我认为提出的解决方案比这里的其他答案要清晰得多：

在您的 jquery ajax 调用中添加一个自定义标头（使用“beforeSend”挂钩）。您还可以使用 jQuery 发送的“X-Requested-With”标头。
配置 Spring Security 以在服务器端查找该标头以返回 HTTP 401 错误代码，而不是将用户带到登录页面。

【讨论】：

如果有人使用$.getJSON(){...}怎么办？那么“beforeSend”是不可能的。

【解决方案4】：

我只是想出了一个解决这个问题的方法，但还没有彻底测试过。我也在使用 spring、spring security 和 jQuery。首先，在我的登录控制器中，我将状态码设置为 401：

LoginController {

public ModelAndView loginHandler(HttpServletRequest request, HttpServletResponse response) {

...
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
... 
return new ModelAndView("login", model);
}

在他们的 onload() 方法中，我的所有页面都调用了我的全局 javascript 文件中的一个函数：

function initAjaxErrors() {

jQuery(window).ajaxError(function(event, xmlHttpRequest, ajaxOptions, thrownError) {
    if (403 == xmlHttpRequest.status)
        showMessage("Permission Denied");
    else
        showMessage("An error occurred: "+xmlHttpRequest.status+" "+xmlHttpRequest.statusText);
});

}

此时，您可以随意处理 401 错误。在一个项目中，我通过在包含登录表单的 iframe 周围放置一个 jQuery 对话框来处理 jQuery 身份验证。

【讨论】：

【解决方案5】：

这是我通常的做法。在每次 AJAX 调用时，在使用前检查结果。

$.ajax({ type: 'GET',
    url: GetRootUrl() + '/services/dosomething.ashx',
    success: function (data) {
      if (HasErrors(data)) return;

      // process data returned...

    },
    error: function (xmlHttpRequest, textStatus) {
      ShowStatusFailed(xmlHttpRequest);
    }
  });

然后HasErrors()函数就长这样了，可以在所有页面上共享。

function HasErrors(data) {
  // check for redirect to login page
  if (data.search(/login\.aspx/i) != -1) {
    top.location.href = GetRootUrl() + '/login.aspx?lo=TimedOut';
    return true;
  }
  // check for IIS error page
  if (data.search(/Internal Server Error/) != -1) {
    ShowStatusFailed('Server Error.');
    return true;
  }
  // check for our custom error handling page
  if (data.search(/Error.aspx/) != -1) {
    ShowStatusFailed('An error occurred on the server. The Technical Support Team has been provided with the error details.');
    return true;
  }
  return false;
}

【讨论】：

【解决方案6】：

所以这里有两个问题。 1) Spring 安全工作正常，但响应在 ajax 调用中返回浏览器。 2) Spring security 跟踪最初请求的页面，以便在您登录后将您重定向到该页面（除非您指定在登录后始终要使用某个页面）。在这种情况下，请求是一个 Ajax 字符串，因此您将被重定向到该字符串，这就是您将在浏览器中看到的内容。

一个简单的解决方案是检测 Ajax 错误，如果返回的请求是特定于您的登录页面（Spring 将返回登录页面 html，它将是请求的 'responseText' 属性）检测它。然后只需重新加载当前页面，这会将用户从 Ajax 调用的上下文中删除。然后 Spring 会自动将它们发送到登录页面。（我使用的是默认的 j_username，它是我的登录页面唯一的字符串值）。

$(document).ajaxError( function(event, request, settings, exception) {
    if(String.prototype.indexOf.call(request.responseText, "j_username") != -1) {
        window.location.reload(document.URL);
    }
});

【讨论】：

【解决方案7】：

发生超时时，在会话已清除的情况下触发任何 ajax 操作后，用户将被重定向到登录页面

安全上下文：

<http use-expressions="true" entry-point-ref="authenticationEntryPoint">
    <logout invalidate-session="true" success-handler-ref="logoutSuccessBean" delete-cookies="JSESSIONID" />
    <custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
    <custom-filter position="FORM_LOGIN_FILTER" ref="authFilter" />
    <session-management invalid-session-url="/logout.xhtml" session-authentication-strategy-ref="sas"/>
</http>

<beans:bean id="concurrencyFilter"
  class="org.springframework.security.web.session.ConcurrentSessionFilter">
    <beans:property name="sessionRegistry" ref="sessionRegistry" />
    <beans:property name="expiredUrl" value="/logout.xhtml" />
</beans:bean>

<beans:bean id="authenticationEntryPoint"  class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
    <beans:property name="loginFormUrl" value="/login.xhtml" />
</beans:bean>

<beans:bean id="authFilter"
  class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
    <beans:property name="sessionAuthenticationStrategy" ref="sas" />
    <beans:property name="authenticationManager" ref="authenticationManager" />
    <beans:property name="authenticationSuccessHandler" ref="authenticationSuccessBean" />
    <beans:property name="authenticationFailureHandler" ref="authenticationFailureBean" />
</beans:bean>

<beans:bean id="sas" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
    <beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
    <beans:property name="maximumSessions" value="1" />
    <beans:property name="exceptionIfMaximumExceeded" value="1" />
</beans:bean>

登录监听器：

public class LoginListener implements PhaseListener {

@Override
public PhaseId getPhaseId() {
    return PhaseId.RESTORE_VIEW;
}

@Override
public void beforePhase(PhaseEvent event) {
    // do nothing
}

@Override
public void afterPhase(PhaseEvent event) {
    FacesContext context = event.getFacesContext();
    HttpServletRequest request = (HttpServletRequest) context.getExternalContext().getRequest();
    String logoutURL = request.getContextPath() + "/logout.xhtml";
    String loginURL = request.getContextPath() + "/login.xhtml";

    if (logoutURL.equals(request.getRequestURI())) {
        try {
            context.getExternalContext().redirect(loginURL);
        } catch (IOException e) {
            throw new FacesException(e);
        }
    }
}

}

【讨论】：