使用Spring Security检索会话ID

Spring Security 会话ID检索详解

基础概念

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架，它是保护基于Spring的应用程序的事实标准。会话ID(Session ID)是服务器为每个用户会话分配的唯一标识符，用于跟踪用户状态。

检索会话ID的方法

1. 通过HttpServletRequest获取

import javax.servlet.http.HttpServletRequest;

@RestController
public class SessionController {
    
    @GetMapping("/session-id")
    public String getSessionId(HttpServletRequest request) {
        return request.getSession().getId();
    }
}

2. 通过SecurityContextHolder获取

import org.springframework.security.core.context.SecurityContextHolder;
import javax.servlet.http.HttpSession;

@RestController
public class SessionController {
    
    @GetMapping("/session-id")
    public String getSessionId() {
        HttpSession session = (HttpSession) SecurityContextHolder.getContext()
            .getAuthentication()
            .getDetails();
        return session.getId();
    }
}

3. 通过SessionRegistry获取（需要配置）

首先配置SessionRegistry：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .sessionManagement()
                .maximumSessions(1)
                .sessionRegistry(sessionRegistry());
    }
}

然后使用：

import org.springframework.security.core.session.SessionRegistry;

@RestController
public class SessionController {
    
    @Autowired
    private SessionRegistry sessionRegistry;
    
    @GetMapping("/current-session-id")
    public String getCurrentSessionId() {
        return sessionRegistry.getAllSessions(
            SecurityContextHolder.getContext().getAuthentication().getPrincipal(), 
            false
        ).get(0).getSessionId();
    }
}

应用场景

会话管理：监控和管理活跃会话
安全审计：记录用户活动
并发控制：限制用户同时登录的会话数
故障排查：跟踪特定用户的会话

常见问题及解决方案

问题1：获取的Session为null

原因：可能请求尚未建立会话或会话已过期

解决方案：

@GetMapping("/session-id")
public String getSessionId(HttpServletRequest request) {
    HttpSession session = request.getSession(false); // 不创建新会话
    return session != null ? session.getId() : "No active session";
}

问题2：SessionRegistry返回空列表

原因：可能未正确配置SessionRegistry或用户未认证

解决方案：

确保正确配置了SessionRegistry
检查用户是否已认证
确保会话管理配置正确

问题3：会话ID暴露风险

解决方案：

使用HTTPS加密传输
配置安全的cookie属性

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .sessionManagement(session -> session
            .sessionFixation().migrateSession()
            .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
        )
        .headers(headers -> headers
            .httpStrictTransportSecurity(hsts -> hsts
                .includeSubDomains(true)
                .maxAgeInSeconds(31536000)
            )
        );
    return http.build();
}