shiro控制用户唯一登录

最新推荐文章于 2024-04-01 15:45:14 发布
最新推荐文章于 2024-04-01 15:45:14 发布
阅读量4k 收藏 4
点赞数 2
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsg88/article/details/73835990
版权

同一账户可能被一个人或多个人在多个客户端,或多个浏览器中访问同一系统,我们可能希望只允许一个帐号在一处地方登陆,其他地方登陆都踢掉。

使用了Cache缓存用户名和会话id之间的关系;如果量比较大可以考虑如持久化到数据库/redis中;另外此处没有并发控制的同步实现,可以考虑根据用户名获取锁来控制,减少锁的粒度。


/**
 * 控制并发登录人数
 */
public class KickoutSessionControlFilter extends AccessControlFilter {
    //踢出后到的地址
    private String kickoutUrl;

    //踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
    private boolean kickoutAfter = false;

    //同一个帐号最大会话数 默认1
    private int maxSession = 1;

    private SessionManager sessionManager;

    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    public void setCacheManager(CacheManager cacheManager) {
        this.cache = cacheManager.getCache("shiro-kickout-session");
    }


    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if (!subject.isAuthenticated() && !subject.isRemembered()) {
            //如果没有登录,直接进行之后的流程
            return true;
        }

        Session session = subject.getSession();
        String username = (String) subject.getPrincipal();
        Serializable sessionId = session.getId();

        //同步控制
        Deque<Serializable> deque = cache.get(username);
        if (deque == null) {
            deque = new LinkedList<Serializable>();
            cache.put(username, deque);
        }

        //如果队列里没有此sessionId,且用户没有被踢出;放入队列
        if (!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            deque.push(sessionId);
        }

        //如果队列里的sessionId数超出最大会话数,开始踢人
        while (deque.size() > maxSession) {
            Serializable kickoutSessionId = null;
            if (kickoutAfter) { //如果踢出后者
                kickoutSessionId = deque.removeFirst();
            } else { //否则踢出前者
                kickoutSessionId = deque.removeLast();
            }
            try {
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if (kickoutSession != null) {
                    //设置会话的kickout属性表示踢出了
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {//ignore exception
            }
        }

        //如果被踢出了,直接退出,重定向到踢出后的地址
        if (session.getAttribute("kickout") != null) {
            //会话被踢出了
            try {
                subject.logout();
            } catch (Exception e) {
            }
            saveRequest(request);
            WebUtils.issueRedirect(request, response, kickoutUrl);
            return false;
        }

        return true;
    }
}


猪脚踏浪
关注
专栏目录
Shiro用户登录
n009ww的博客
06-18 794
有这样一个需求,两地同时使用一个账号登录,需要将先登录用户session删除 流程分析 用户登录时判断是否之前改账号在别的地方登录 若没有登录,直接进行登录 若有登录,则找到登录session,给该session做个标记 当之前登录用户再次进行操作时,判断其是否有标记,有则删除其session,并返回友好提示 自定义登录验证 /** * 自定义realm,用于用户...
shiro单用登录(同一时刻只能登录一个账号)
布谷鸟
04-02 2286
(一)applicationContext-shiro.xml <bean id="myRealm" class="com.sys.shiro.MyRealm" /> <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO"> </bean> ...
今天一起探讨shiro实现账户同一时刻session唯一
banyigmpap71470的专栏
04-19 219
  今天和同事在一起探讨shiro如何实现一个账户同一时刻只有一session存在的问题,下面小编把核心代码分享到博客园平台,需要的朋友参考下http://m.0834jl.com   今天遇到一个项目问题,shiro如何实现一个账户同一时刻只有一session存在的问题,找了几篇文章,在这里就把核心的代码理了理,具体情况如下。   1.假设你使用了Apache shrio ,项目要...
shiro获取在线用户,剔出 用户,等操作
chenliu1818的博客
08-31 894
1、关键的代码 //关键代码 DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager(); Defa...
shiro实现单用户登录
weixin_44060936的博客
08-21 1580
shiro实现同一账号同时只能单用户登录 一.shiro中的过滤器 non org.apache.shiro.web.filter.authc.AnonymousFilter 匿名过滤器 authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter 如果继续操作,需要做对应的表单验证否则不能通过 authcBa...
Shiro实现单一登录,并保留使用RememberMe功能。
sihan2018的博客
03-05 1162
单一登录:同一个账户同一时间只能在一个地方登录。 项目Spring+SpringMVC+Mybatis,引入了Shiro作认证授权。公司要求实现一个单一登录功能,大部分人做法都是在自定义实现Realm的doGetAuthenticationInfo里面做session过滤和删除,这在没有启用Shiro的rememberMe功能是可以生效的,但是启用了rememberMe功能后,会发现session...
shiro分布式控制登录状态_使用Shiro和token进行无状态登录
weixin_39661405的博客
12-21 1026
使用Shiro和token进行无状态登录使用Shiro和token进行无状态登录我们之前可以使用shiro实现登录,但这些都是基于session或是cookie实现的,这些只能用于单机部署的服务,或是分布式服务共享会话,显然后者开销极大,所以JWT(JSON Web Token)应运而生,JWT是一套约定好的认证协议,通过请求携带令牌来访问那些需鉴权的接口。我们在这里使用token,原理类似,但是...
spring boot + shiro 实现单点登陆/并发登入控制 踢出用户功能(禁止用户多点登录或重复登录
Delia_theme的博客
02-20 2457
需求: springboot整合shiro项目。因为shiro只是一个Java安全框架,并不会做重复登录的拦截,当一个用户登录成功后(chrome登录),再用另外一个浏览器登录(IE登录)或者另外一台电脑进行登录,两个都会登录成功,两个不同的session。 预期目的:不允许重复登录,限定一个账号一个用户登陆,并且是挤掉前一个用户(踢出用户),保证一个帐号只能同时一个人使用,例如微信和qq等。 预设解决方法:当第二次登录时,把第一个session剔除 使用的技术其实是 shiro的自定义filter,在sh
shiro-freemarker权限控制标签
06-13
- `<@shiro.user>`, `<@shiro.anonymous>`, `<@shiro.principal>`: 分别检查用户是否已登录、是否为匿名用户以及获取当前登录用户的主体信息。 2. **配置 Shiro**:在Spring或者Spring Boot项目中,需要配置Shiro...
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
代表当前系统的使用者,就是用户,在Shiro的认证中,认证主体通常就是userName和passWord,或者其他用户相关的唯一标识。 SecurityManager:安全管理器 Shiro架构中最核心的组件,通过它可以协调其他组件完成用户...
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一时刻只能在一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
关于Apache shiro实现一个账户同一时刻只有一个人登录(shiro 单点登录)
01-11
今天遇到一个项目问题,shiro如何实现一个账户同一时刻只有一session存在的问题,找了几篇文章,在这里就把核心的代码理了理,具体情况如下。 1.假设你使用了Apache shrio ,项目要求一个账户同一时刻只能有一个用户存在,那么你就应该在你的shiro配置文件中添加以下代码: <bean id=sessionDAO class=org.apache.shiro.session.mgt.eis.MemorySessionDAO></bean> <bean id=sessionIdCookie class=org.apache.shiro.web.servlet.Si
shiro、redis做登录权限处理
neutrons的博客
11-04 2061
前言 最近,需要用shiro做一套登录,机缘巧合看到了张开涛大佬的跟我学shiro 本文也是在此基础上完成的,点击上方链接可以到网盘上下载pdf 尽管有文档参考,但还是遇到了很多坑,所以在快要完成的以后写个blog总结回顾 ...
shiro 实现多种方式登录_shiro实现单点登录(一个用户同一时刻只能在一个地方登录)...
weixin_39708636的博客
12-28 1047
我这里 shiro 并没有集成 springMVC,直接使用 ini 配置文件。shiro.ini[main]# Objects and their properties are defined here,# Such as the securityManager, Realms and anything# else needed to build the SecurityManagerauthc...
shiro用户登录实现
kwmnitw的博客
03-15 3322
1.需求:账号同一时间只能在一处登录、将之前的用户踢出: shiro实现策略:获取当前用户session列表,直接删除该用户的其他登录信息 import org.apache.shiro.session.mgt.eis.SessionDAO; @Autowired private SessionDAO sessionDAO; protected AuthenticationInf...
shiro限制帐号只能在一处登录
weixin_42712370的博客
03-11 683
shiro限制帐号只能在一处登录
2017.6.30 用shiro实现并发登录人数控制(实际项目中的实现)
weixin_30852367的博客
06-30 178
之前的学习总结:http://www.cnblogs.com/lyh421/p/6698871.html 1.kickout功能描述 如果将配置文件中的kickout设置为true,则在另处再次登录时,会将第一次登录用户踢出。 2.kickout的实现 2.1 新建KickoutSessionControlFilter extends AccessControlFi...
shiro实现单个账户只能在一个地方登录(基于浏览器)
weixin_49092012的博客
04-01 384
只能在一个地方登录
shiro解决一个浏览器只能登陆一个账号
穷水叮咚的博客
06-06 6256
使用shiro安全框架,当账号登录成功后,再开第二个窗口登录账号,发现登录成功后会继续跳转到登录页面对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题:1.它首先验证是否有允许访问页面(isAccessAllowed方法)。2.在拒绝访问中(FormAuthenticationFilter的onAccessDenied方法)才会进行判断是否是登录提交(isLo...
用户认证与授权:Shiro基础解析
用户认证是验证用户身份的合法性,而用户授权则是控制用户访问特定资源的权限。" 在IT领域,权限管理是保障系统安全的重要手段,尤其是在涉及用户交互的系统中,它确保只有经过授权的用户才能访问其被允许的资源。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值