shiro 并发登录人数控制

最新推荐文章于 2021-11-24 11:32:02 发布
最新推荐文章于 2021-11-24 11:32:02 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: shiro 文章标签: shiro spring 并发

转自:http://jinnianshilongnian.iteye.com/blog/2039760

在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。比如spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。

 

示例代码基于《第十六章 综合实例》完成,通过Shiro Filter机制扩展KickoutSessionControlFilter完成。

 

首先来看看如何配置使用(spring-config-shiro.xml)

  

kickoutSessionControlFilter用于控制并发登录人数的 

Java代码   收藏代码
  1. <bean id="kickoutSessionControlFilter"   
  2. class="com.github.zhangkaitao.shiro.chapter18.web.shiro.filter.KickoutSessionControlFilter">  
  3.     <property name="cacheManager" ref="cacheManager"/>  
  4.     <property name="sessionManager" ref="sessionManager"/>  
  5.   
  6.     <property name="kickoutAfter" value="false"/>  
  7.     <property name="maxSession" value="2"/>  
  8.     <property name="kickoutUrl" value="/login?kickout=1"/>  
  9. </bean>   

cacheManager:使用cacheManager获取相应的cache来缓存用户登录的会话;用于保存用户—会话之间的关系的;

sessionManager:用于根据会话ID,获取会话进行踢出操作的;

kickoutAfter:是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;

maxSession:同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录;

kickoutUrl:被踢出后重定向到的地址;

 

shiroFilter配置 

Java代码   收藏代码
  1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  2.      <property name="securityManager" ref="securityManager"/>  
  3.      <property name="loginUrl" value="/login"/>  
  4.      <property name="filters">  
  5.          <util:map>  
  6.              <entry key="authc" value-ref="formAuthenticationFilter"/>  
  7.              <entry key="sysUser" value-ref="sysUserFilter"/>  
  8.              <entry key="kickout" value-ref="kickoutSessionControlFilter"/>  
  9.          </util:map>  
  10.      </property>  
  11.      <property name="filterChainDefinitions">  
  12.          <value>  
  13.              /login = authc  
  14.              /logout = logout  
  15.              /authenticated = authc  
  16.              /** = kickout,user,sysUser  
  17.          </value>  
  18.      </property>  
  19.  </bean>   

此处配置除了登录等之外的地址都走kickout拦截器进行并发登录控制。

 

测试

此处因为maxSession=2,所以需要打开3个浏览器(需要不同的浏览器,如IE、Chrome、Firefox),分别访问http://localhost:8080/chapter18/进行登录;然后刷新第一次打开的浏览器,将会被强制退出,如显示下图: 


KickoutSessionControlFilter核心代码: 

Java代码   收藏代码
  1. protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {  
  2.     Subject subject = getSubject(request, response);  
  3.     if(!subject.isAuthenticated() && !subject.isRemembered()) {  
  4.         //如果没有登录,直接进行之后的流程  
  5.         return true;  
  6.     }  
  7.   
  8.     Session session = subject.getSession();  
  9.     String username = (String) subject.getPrincipal();  
  10.     Serializable sessionId = session.getId();  
  11.   
  12.     //TODO 同步控制  
  13.     Deque<Serializable> deque = cache.get(username);  
  14.     if(deque == null) {  
  15.         deque = new LinkedList<Serializable>();  
  16.         cache.put(username, deque);  
  17.     }  
  18.   
  19.     //如果队列里没有此sessionId,且用户没有被踢出;放入队列  
  20.     if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {  
  21.         deque.push(sessionId);  
  22.     }  
  23.   
  24.     //如果队列里的sessionId数超出最大会话数,开始踢人  
  25.     while(deque.size() > maxSession) {  
  26.         Serializable kickoutSessionId = null;  
  27.         if(kickoutAfter) { //如果踢出后者  
  28.             kickoutSessionId = deque.removeFirst();  
  29.         } else { //否则踢出前者  
  30.             kickoutSessionId = deque.removeLast();  
  31.         }  
  32.         try {  
  33.             Session kickoutSession =  
  34.                 sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));  
  35.             if(kickoutSession != null) {  
  36.                 //设置会话的kickout属性表示踢出了  
  37.                 kickoutSession.setAttribute("kickout"true);  
  38.             }  
  39.         } catch (Exception e) {//ignore exception  
  40.         }  
  41.     }  
  42.   
  43.     //如果被踢出了,直接退出,重定向到踢出后的地址  
  44.     if (session.getAttribute("kickout") != null) {  
  45.         //会话被踢出了  
  46.         try {  
  47.             subject.logout();  
  48.         } catch (Exception e) { //ignore  
  49.         }  
  50.         saveRequest(request);  
  51.         WebUtils.issueRedirect(request, response, kickoutUrl);  
  52.         return false;  
  53.     }  
  54.     return true;  
  55. }   

此处使用了Cache缓存用户名—会话id之间的关系;如果量比较大可以考虑如持久化到数据库/其他带持久化的Cache中;另外此处没有并发控制的同步实现,可以考虑根据用户名获取锁来控制,减少锁的粒度。

 

另外可参考JavaEE项目开发脚手架,其提供了后台踢出用户的功能:

https://github.com/zhangkaitao/es/blob/master/web/src/main/java/com/sishuok/es/sys/user/web/controller/UserOnlineController.java 

    

 

 

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群 231889722 探讨Spring/Shiro技术。

Lionel_Medoo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro并发人数登录控制的实现代码
08-29
在做项目中遇到这样的需求要求每个账户同时只能有一个人登录或几个人同时登录,如果是同时登录的多人,要么不让后者登录,要么踢出前者登录,怎么...下面小编给大家带来了shiro并发人数登录控制的实现代码,一起看看吧
第十八章 并发登录人数控制——《跟我学Shiro
Ethan_Fu的专栏
06-01 1064
目录贴: 跟我学Shiro目录贴   在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。比如spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。   示例代码基于《第十六章 综合实例》完成,通过Shiro Filter机制扩展
spring整合spring-data-redis和spring-session-data-redis通过shiro实现单点登录
u011189939的博客
01-11 4169
运行效果图 缓存说明(本项目没有使用shiro的缓存管理器和session管理器) shiro_user_cache:permission:权限缓存,当前只有test用户 shiro_user_cache:role:角色缓存,当前只有test用户 shiro_user_kickout:保存被踢出的用户 shiro_user_online: 保存登录了的用户 sprting:spr
springboot+shiro自定义拦截器互踢问题
ldcaws的专栏
11-24 1467
shiro自定义拦截器继承AccessControllerFilter,实现session互踢机制。 应用场景: 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 分析: spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。那就是使用shiro强大的
2017.6.30 用shiro实现并发登录人数控制(实际项目中的实现)
weixin_30852367的博客
06-30 148
之前的学习总结:http://www.cnblogs.com/lyh421/p/6698871.html 1.kickout功能描述 如果将配置文件中的kickout设置为true,则在另处再次登录时,会将第一次登录的用户踢出。 2.kickout的实现 2.1 新建KickoutSessionControlFilter extends AccessControlFi...
java的SpringBoot如何集成shiro做单点登录并且实现踢人功能
12-14 968
前提: 我们有时候在项目中,会有这样一个业务场景,就是如果A用户在一点登录admin账号,B用户在一点半登录的时候,会发现两者都登录成功了,但是为了安全考虑我们是不可以让登录成功的,要么踢掉前者A要么阻止后者B,所以这会儿项目中我们就需要用到单点登录了。 有时候也可以指定一个账号可以多少个人同时在线,这些都会体现在代码中,对应的代码中的逻辑,针对自己的业务去修改就可以了。 项目选择的框架是:SpringBoot + Shiro + Redis(也可以使用其他的cache) 正文: 我们需要在每次用
SpringBoot 并发登录人数控制的实现方法
08-25
主要介绍了SpringBoot 并发登录人数控制的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Shiro 控制并发登录人数限制及登录踢出的实现代码
08-29
本文通过shiro实现一个账号只能同时一个人使用,本文重点给大家分享Shiro 控制并发登录人数限制及登录踢出的实现代码,需要的朋友参考下吧
SSM+shiro登录控制
03-15
shiro控制使用跳转链接前必须登录 (这里我去除了shiro权限控制 一般项目中不用shiro权限控制功能)
ssm+shiro+redis 登录控制及重试次数超过5次账号锁定一分钟
03-16
shiro+redis 实现登录控制及密码重试次数超过5次后账号锁定一分钟不能登录
shiro自定义过滤器(最大在线人数
fangchao3652
08-16 388
package com.hope.shiro.filter; import com.hope.model.beans.SysUser; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.shiro.session.Session; import org...
解决spring boot shiro的logout过滤器任何请求都会调用的问题
genaro26的博客
06-11 3252
最近发现了一个问题,我写了一个shiro logout过滤器,本意是在退出登录时清空一些缓存,如下: public class CustomLogoutFilter extends LogoutFilter{ private static String checkOutFlag = "checkOut"; private Cache<String, Deque<Seri...
Java多线程(六)之Deque与LinkedBlockingDeque深入分析
热门推荐
Vern的专栏
12-07 2万+
一、双向队列Deque Queue除了前面介绍的实现外,还有一种双向的Queue实现Deque。这种队列允许在队列头和尾部进行入队出队操作,因此在功能上比Queue显然要更复杂。下图描述的是Deque的完整体系图。需要说明的是LinkedList也已经加入了Deque的一部分(LinkedList是从jdk1.2 开始就存在数据结构)。   Deque在Q
java.util.Deque
sui366的专栏
09-10 342
Deque deque = new LinkedList();  移除第一个:deque.removeFirst(); 移除最后一个:deque.removeLast(); 在队列头部添加:deque.addFirst(e); 在队列尾巴添加:deque.addLast(e); ......
shiro并发登录人数控制
椭圆的博客
10-10 922
在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。比如spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。 首先来看看如何配置使用(spring-shiro.xml)<!-- session 校验单个用户是否多次登录 -->
springboot使用shiro配置多个过滤器和session同步案例
qq_41358574的博客
10-24 4395
案例代码来自ruoyi管理系统的shiro部分 知识点介绍 AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返
Java Deque作为队列和栈的底层解析
SwjtuPC的博客
08-15 608
Deque 说白了就是一个双端队列,可以从头部和尾部获取元素的值。 在作为栈时,接口主要为push,pop 作为队列时,接口主要为add,poll push的底层是 addFirst()即将元素添加到队列的首部。 add的底层是 addLast()即将元素添加到队列的末尾。 pop的底层是 removeFirst()即移除并获得队列首部的值。 poll的底层是 pollFirst()即移除并获得队列首部的值。 所以,从理论上来说栈和队列的方法可以混着用,只是添加或者获取队列的位置不同,本质上来说都是对一个
stl剖析之deque
Gease_lcj的博客
01-24 278
/******************************************************************************************* vector:单向开口的连续空间 deque:双向开口的连续性空间,即可以再头尾两端分别做元素的插入和删除。 两者差异: deque允许常熟时间对起头端进行插入或者删除或移除操作,且没有所谓容量观念,因为它
序列化Serializable的作用
路的尽头在哪
03-10 458
序列化 序列化的概念 序列化的使用场景 序列化的底层原理 serialVersionUID 的作用和用法 其他注意事项 序列化部分参考文章 首先打个广告,初级程序员的玩具个人主页:shiva.show 2. 序列化 Serializable 序列化一直是我迷惑的地方,在我开始开发工作时,entity基类都实现了序列化接口,现在总算找到机会了解下了。 jdk api 文档里面关于接口 S...
shiro分布式登录
最新发布
08-09
Shiro 是一个强大且易于使用的Java安全框架,提供了身份认证、授权、加密和会话管理等功能,可以用于构建安全稳定的分布式登录系统。 Shiro 分布式登录的架构可以通过集中式认证、授权服务来实现。在这个架构中,有一个独立的认证授权中心,所有需要登录的应用都将与该中心进行通信。 首先,用户在某个应用中输入用户名和密码进行登录。该应用将用户登录请求发送至认证授权中心。认证授权中心根据接收到的用户名和密码对用户进行认证,验证用户的身份是否合法。 如果认证成功,认证授权中心会生成一份包含用户身份、权限等信息的令牌(Token),并将该令牌返回给应用。应用可以将该令牌保存在客户端,用于后续的访问请求。 当用户访问其他需要登录权限的应用时,该应用会将用户的请求发送至认证授权中心进行令牌验证。认证授权中心会根据令牌中的信息判断用户的身份和权限是否满足要求。 如果验证通过,认证授权中心会给予应用相应的访问权限,用户可以成功访问该应用。如果验证不通过,用户将无法访问该应用。 通过这样的分布式登录架构,可以实现用户只需一次登录,就能访问多个应用的需求。这样的架构具有很好的安全性和可扩展性,适用于大规模分布式系统中。 总之,Shiro 分布式登录是一种通过集中式认证授权中心来实现用户统一登录,访问多个应用的安全方案。它能够提供稳定、安全且高效的分布式登录功能,具备广泛的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值