Spring Security框架中踢人下线技术探索

于 2024-04-30 14:07:59 发布
阅读量755 收藏 11
点赞数 30
分类专栏: 程序员 文章标签: spring bootstrap java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84024576/article/details/138344130
版权

public RedisMessageListenerContainer springSessionRedisMessageListenerContainer(

RedisIndexedSessionRepository sessionRepository) {

RedisMessageListenerContainer container = new RedisMessageListenerContainer();

container.setConnectionFactory(this.redisConnectionFactory);

if (this.redisTaskExecutor != null) {

container.setTaskExecutor(this.redisTaskExecutor);

}

if (this.redisSubscriptionExecutor != null) {

container.setSubscriptionExecutor(this.redisSubscriptionExecutor);

}

container.addMessageListener(sessionRepository,

Arrays.asList(new ChannelTopic(sessionRepository.getSessionDeletedChannel()),

new ChannelTopic(sessionRepository.getSessionExpiredChannel())));

container.addMessageListener(sessionRepository,

Collections.singletonList(new PatternTopic(sessionRepository.getSessionCreatedChannelPrefix() + “*”)));

return container;

}

RedisIndexedSessionRepository以及RedisMessageListenerContainer的实体Bean

  • RedisMessageListenerContainer:该类是Redis的消息通知回调机制实体类,Redis提供了针对不同Key的操作回调消息通知,比如常见的删除key、key过期等事件的回调,在Spring Session组件中注入该实体Bean,从代码中也可以看出是用来监听处理Session会话的过期以及删除事件

  • RedisIndexedSessionRepository:该类是Spring Session组件提供基于Redis的针对Session会话一系列操作的具体实现类,是我们接下来源码分析的重点。

先来看RedisIndexedSessionRepository类的UML类图结构,如下图:

Spring Security框架中踢人下线技术探索

RedisIndexedSessionRepository实现了FindByIndexNameSessionRepository接口,而FindByIndexNameSessionRepository接口又继承Spring Security权限框架提供的顶级SessionRepository接口,UML类图中,我们可以得到几个重要的信息:

  • RedisIndexedSessionRepository拥有创建Session会话、销毁删除Session会话的能力

  • RedisIndexedSessionRepository由于实现自FindByIndexNameSessionRepository接口,而该接口提供了根据PrincipalName查找Session会话的能力

  • 拥有Redis回调事件的处理消息能力,因为实现了MessageListener接口

SessionRepository是Spring Security提供的顶级接口,源码如下:

public interface SessionRepository {

/**

  • Creates a new {@link Session} that is capable of being persisted by this

  • {@link SessionRepository}.

  • This allows optimizations and customizations in how the {@link Session} is

  • persisted. For example, the implementation returned might keep track of the changes

  • ensuring that only the delta needs to be persisted on a save.

  • @return a new {@link Session} that is capable of being persisted by this

  • {@link SessionRepository}

*/

S createSession();

/**

  • Ensures the {@link Session} created by

  • {@link org.springframework.session.SessionRepository#createSession()} is saved.

  • Some implementations may choose to save as the {@link Session} is updated by

  • returning a {@link Session} that immediately persists any changes. In this case,

  • this method may not actually do anything.

  • @param session the {@link Session} to save

*/

void save(S session);

/**

  • Gets the {@link Session} by the {@link Session#getId()} or null if no

  • {@link Session} is found.

  • @param id the {@link org.springframework.session.Session#getId()} to lookup

  • @return the {@link Session} by the {@link Session#getId()} or null if no

  • {@link Session} is found.

*/

S findById(String id);

/**

  • Deletes the {@link Session} with the given {@link Session#getId()} or does nothing

  • if the {@link Session} is not found.

  • @param id the {@link org.springframework.session.Session#getId()} to delete

*/

void deleteById(String id);

}

该接口提供四个方法:

  • createSession:创建Session会话

  • save:保存Session会话

  • findById:根据SessionId查找获取Session会话对象信息

  • deleteById:根据SessionId进行删除

FindByIndexNameSessionRepository源码主要是提供根据账号名称进行查询的功能,如下:

public interface FindByIndexNameSessionRepository extends SessionRepository {

/**

  • 当前存储的用户名前缀,使用Redis进行存储时,存储的key值是:redisNamespace+

*/

String PRINCIPAL_NAME_INDEX_NAME = FindByIndexNameSessionRepository.class.getName()

.concat(“.PRINCIPAL_NAME_INDEX_NAME”);

/**

  • Find a {@link Map} of the session id to the {@link Session} of all sessions that

  • contain the specified index name index value.

  • @param indexName the name of the index (i.e.

  • {@link FindByIndexNameSessionRepository#PRINCIPAL_NAME_INDEX_NAME})

  • @param indexValue the value of the index to search for.

  • @return a {@code Map} (never {@code null}) of the session id to the {@code Session}

  • of all sessions that contain the specified index name and index value. If no

  • results are found, an empty {@code Map} is returned.

*/

Map<String, S> findByIndexNameAndIndexValue(String indexName, String indexValue);

/**

  • Find a {@link Map} of the session id to the {@link Session} of all sessions that

  • contain the index with the name

  • {@link FindByIndexNameSessionRepository#PRINCIPAL_NAME_INDEX_NAME} and the

  • specified principal name.

  • @param principalName the principal name

  • @return a {@code Map} (never {@code null}) of the session id to the {@code Session}

  • of all sessions that contain the specified principal name. If no results are found,

  • an empty {@code Map} is returned.

  • @since 2.1.0

*/

default Map<String, S> findByPrincipalName(String principalName) {

return findByIndexNameAndIndexValue(PRINCIPAL_NAME_INDEX_NAME, principalName);

}

}

该接口最核心的功能是提供了根据用户名查找获取Session会话的接口,这对我们后面实现踢人功能很有帮助。

通过查看SessionRepository接口以及FindByIndexNameSessionRepository接口的源码我们得知:

  • Redis的实现最终实现了这两个接口,因此获得了基于Redis中间件创建及销毁Session会话的能力

  • 根据账号去查找当前的所有登录会话Session符合我们最终需要服务端主动踢人下线的功能需求。

接下来我们只需要关注RedisIndexedSessionRepository的实现即可。首先来看findByPrincipalName方法,源码如下:

@Override

public Map<String, RedisSession> findByIndexNameAndIndexValue(String indexName, String indexValue) {

//如果名称不匹配,则直接反馈空集合Map

if (!PRINCIPAL_NAME_INDEX_NAME.equals(indexName)) {

return Collections.emptyMap();

}

//获取拼装的Key值

String principalKey = getPrincipalKey(indexValue);

//从Redis中获取该Key值的成员数

Set sessionIds = this.sessionRedisOperations.boundSetOps(principalKey).members();

//初始化Map集合

Map<String, RedisSession> sessions = new HashMap<>(sessionIds.size());

//循环遍历

for (Object id : sessionIds) {

//根据id查找Session会话

RedisSession session = findById((String) id);

if (session != null) {

sessions.put(session.getId(), session);

}

}

return sessions;

}

String getPrincipalKey(String principalName) {

return this.namespace + “index:” + FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME + “:”

  • principalName;

}

接下来我们看删除Session会话的方法实现:

@Override

public void deleteById(String sessionId) {

//根据sessionId获取Session会话

RedisSession session = getSession(sessionId, true);

if (session == null) {

return;

}

//从Redis中移除所有存储的针对principal的key值

cleanupPrincipalIndex(session);

//Redis中删除SessionId所对应的key值

this.expirationPolicy.onDelete(session);

//移除Session会话创建时,存储的过期key值

String expireKey = getExpiredKey(session.getId());

this.sessionRedisOperations.delete(expireKey);

//设置当前session会话最大存活时间为0

session.setMaxInactiveInterval(Duration.ZERO);

//执行save方法

save(session);

}

从上面的代码中,我们已经知道了Spring Session组件对于Session相关的处理方法,其实我们基于上面的两个核心方法,我们已经获得了踢人下线的能力,但是,既然RedisIndexedSessionRepository实现了MessageListener接口,我们需要继续跟踪一下该接口的具体实现方法,我们直接来看onMessage方法,代码如下:

@Override

public void onMessage(Message message, byte[] pattern) {

byte[] messageChannel = message.getChannel();

byte[] messageBody = message.getBody();

String channel = new String(messageChannel);

if (channel.startsWith(this.sessionCreatedChannelPrefix)) {

// TODO: is this thread safe?

@SuppressWarnings(“unchecked”)

Map<Object, Object> loaded = (Map<Object, Object>) this.defaultSerializer.deserialize(message.getBody());

handleCreated(loaded, channel);

return;

}

String body = new String(messageBody);

if (!body.startsWith(getExpiredKeyPrefix())) {

return;

}

boolean isDeleted = channel.equals(this.sessionDeletedChannel);

if (isDeleted || channel.equals(this.sessionExpiredChannel)) {

int beginIndex = body.lastIndexOf(“:”) + 1;

int endIndex = body.length();

String sessionId = body.substring(beginIndex, endIndex);

RedisSession session = getSession(sessionId, true);

if (session == null) {

logger.warn("Unable to publish SessionDestroyedEvent for session " + sessionId);

return;

}

if (logger.isDebugEnabled()) {

logger.debug("Publishing SessionDestroyedEvent for session " + sessionId);

}

cleanupPrincipalIndex(session);

if (isDeleted) {

handleDeleted(session);

}

else {

handleExpired(session);

}

}

}

private void handleDeleted(RedisSession session) {

publishEvent(new SessionDeletedEvent(this, session));

}

private void handleExpired(RedisSession session) {

publishEvent(new SessionExpiredEvent(this, session));

}

private void publishEvent(ApplicationEvent event) {

try {

this.eventPublisher.publishEvent(event);

}

catch (Throwable ex) {

logger.error("Error publishing " + event + “.”, ex);

}

}

在onMessage方法中,最核心的是最后一个判断,分别执行handleDeleted和handleExpired方法,从源码中我们可以看到,当当前Session会话被删除或者失效时,Spring Session会通过ApplicationEventPublisher广播一个事件,分别处理SessionExpiredEvent和SessionDeletedEvent事件

这是Spring Session组件为开发者预留的针对Session会话的Event事件,如果开发者对于当前的Sesssion会话的删除或者失效有特殊的处理需求,则可以通过监听该事件进行处理。

例如,开发者针对Session会话的操作都需要做业务操作,记录日志保存到DB数据库中,此时,开发者只需要使用Spring提供的EventListener实现就可以很轻松的实现,示例代码如下:

@Component

public class SecuritySessionEventListener {

@EventListener

public void sessionDestroyed(SessionDestroyedEvent event) {

//session销毁事件处理方法…

}

@EventListener

public void sessionCreated(SessionCreatedEvent event) {

//session创建会话事件处理方法…

}

@EventListener

public void sessionExired(SessionExpiredEvent event) {

//session会话过期事件处理方法…

}

}

4.解决方案

======

我们分析了Spring Session针对Session基于Redis的实现,接下来,我们从源码中已经知道了该如何查找Session会话以及销毁会话的方法,此时,我们可以来改造我们的框架代码了

创建SessionService接口,代码如下:

public interface SessionService {

/**

  • @param account

  • @return

*/

boolean hasLogin(String account);

/**

  • 根據账号查找当前session会话

  • @param account 账号

  • @return

*/

Map<String, ? extends Session> loadByAccount(String account);

/**

  • 销毁当前session会话

  • @param account

*/

void destroySession(String account);

}

声明该接口主要包含3个方法:

  • hasLogin:通过传递登录账号,判断该账号是否已经登录过,该方法是一个业务的延伸,比如我们对当前账号判断是否已经登录过,如果登录则提示需要退出才能继续登录的操作等

  • loadByAccount:根据登录账号获取当前已经登录的Session会话Map集合

  • destroySession:根据登录账号销毁当前所有该账号的Session会话信息,此接口和产品经理要求的踢人下线操作一致

接下来就是实现类,由于我们是基于Redis来处理,因此,我们需要将源码分析中的RedisIndexedSessionRepository实体Bean进行引入,借助该类实现该接口方法

RedisSessionService方法实现如下:

/**

  • SpringSession集成底层Redis实现,如果底层分布式会话保持方式不是基于Redis,则该类无法正常使用

  • @author xiaoymin@foxmail.com

  • 2021/04/20 16:23

  • @since:fish 1.0

*/

public class RedisSessionService implements SessionService {

Logger logger= LoggerFactory.getLogger(RedisSessionService.class);

最后

image.png

录过,该方法是一个业务的延伸,比如我们对当前账号判断是否已经登录过,如果登录则提示需要退出才能继续登录的操作等

  • loadByAccount:根据登录账号获取当前已经登录的Session会话Map集合

  • destroySession:根据登录账号销毁当前所有该账号的Session会话信息,此接口和产品经理要求的踢人下线操作一致

接下来就是实现类,由于我们是基于Redis来处理,因此,我们需要将源码分析中的RedisIndexedSessionRepository实体Bean进行引入,借助该类实现该接口方法

RedisSessionService方法实现如下:

/**

  • SpringSession集成底层Redis实现,如果底层分布式会话保持方式不是基于Redis,则该类无法正常使用

  • @author xiaoymin@foxmail.com

  • 2021/04/20 16:23

  • @since:fish 1.0

*/

public class RedisSessionService implements SessionService {

Logger logger= LoggerFactory.getLogger(RedisSessionService.class);

最后

[外链图片转存中…(img-0uAh4h2E-1714457267973)]

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

2401_84024576
关注
  • 30
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 实现登录互的示例代码
08-19
主要介绍了Spring Security OAuth2实现登录互的示例代码,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Publish to Subversion repository
11-02
Jenkins的插件svn publisher(Publish to Subversion repository)
Unable to publish SessionDestroyedEvent for session (未解决)
m0_60401571的博客
10-18 5625
目前分析出是在spring session过期时会在所有会话触发销毁事件,但获得的sessionId未必是当前应用的,因此见上述原码,getSession(sessionId,true)方法获得的session为null,从而日志输出Unable to publish SessionDestroyedEvent for session。目前不影响业务的使用,只是会在日志不停的输出,若更多的应用同时使用同一个redis,日志将会被“污染”。请教大家有没有解决方法。
spring-session(一)揭秘续篇
weixin_34349320的博客
09-28 338
上一篇文章介绍了Spring-Session的核心原理,Filter,Session,Repository等等,传送门:spring-session(一)揭秘。 这篇继上一篇的原理逐渐深入Spring-Session的事件机制原理的探索。众所周知,Servlet规范有对HttpSession的事件的处理,如:HttpSessionEvent/HttpSessionIdListener/Htt...
SpringRedisSession详解
weixin_42132854的博客
06-24 5547
Spring redisSession
Spring Security 强制退出指定用户的方法
08-27
Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,某个用户违反了社区规则,或者某个用户的...
Spring Security 自动掉前一个登录用户的实现代码
08-19
Spring Security 是一个功能强大且流行的 Java 认证和授权框架,提供了许多实用的功能来保护 Web 应用程序。今天,我们将探讨如何使用 Spring Security 实现自动掉前一个登录用户的功能。 需求分析 在某些情况下...
WebIM-for-Spring3开发框架 v2.0
10-06
总结,WebIM-for-Spring3开发框架 v2.0是一个针对Spring MVC 3.2的即时通讯解决方案,它利用WebSocket技术提供了高效、实时的通信功能,帮助开发者轻松地在Web应用集成聊天功能。框架的灵活性、可扩展性和安全性使...
springcloud教案的简单介绍和原理介绍.docx
最新发布
07-14
Spring Cloud 是一款基于 Java 的微服务开发框架,它利用了一系列成熟的开源组件和技术,如 Spring Boot、Spring Security、Consul、Netflix OSS、RabbitMQ、Kubernetes 等,为开发者提供了构建分布式系统和微服务的...
spring boot一对一聊天
06-01
Spring Boot 是一个流行的Java开发框架,它简化了创建独立、生产级别的基于Spring的应用程序的过程。在"Spring Boot一对一聊天"项目,我们关注的是构建一个实时的、双向通信的聊天应用,这通常涉及到WebSocket技术...
SpringClond实战-Eureka注册心的发布
03-12
首先,Eureka是Netflix开发的服务发现框架,它在分布式系统扮演着服务注册表的角色。每个微服务启动时,会向Eureka服务器注册自己的信息,包括服务名、IP地址、端口等。其他服务通过Eureka可以查找并调用这些注册...
spring cloud eureka-server
06-24
Spring Cloud Eureka Server是Spring Cloud框架的一个关键组件,它主要负责服务的注册与发现,是微服务架构实现服务治理的重要工具。本压缩包文件包含的“eureka-server”可能是一个预配置好的Eureka服务器实例...
Spring cloud高可用配置
05-03
在构建分布式系统时,Spring Cloud是一个非常重要的框架,它提供了微服务治理的一系列解决方案,包括服务注册与发现、负载均衡、断路器等。本文将深入探讨如何实现Spring Cloud的高可用配置,主要关注Eureka服务发现...
基于SpringBoot,ORM-Mybatis,SpringMVC和多种组件构建的企业信息化开发基础平台,快速构建OA、CMS
06-16
基于SpringBoot,ORM-Mybatis,SpringMVC和多种组件构建的企业信息化开发基础平台,快速构建...权限安全:Apache Shiro、Spring Security 全文搜索引擎:Lucene(待定) 模板引擎:JSP(还没使用Thymeleaf,前端需要重构)
白话 spring session 源码
小菜鸟的博客
06-03 403
# 项目一直使用spring session但是以前都是只有在使用没有深入了解其原理,这次碰巧项目不是很忙仔细研究了一下他的原理 ## spring session 的使用 使用很简单网上一大堆教程这里面就简单说一下 引入jar包 ``` <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis...
RedisIndexedSessionRepository
sunshinebo的博客
03-26 2417
/* * Copyright 2014-2020 the original author or authors. * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You may obtain a copy of the License at * * https:
Spring Session 核心原理分析
weixin_32196893的博客
08-06 310
要使用 Spring Session ,如用 Redis 作为 Session 的存储,需要用到注解 @EnableRedisHttpSession 从@EnableRedisHttpSession的源码开始 @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.TYPE) @Documented @Import(RedisHttpSessionConfiguration.class) @Configuration(proxyBeanMeth..
Spring Security框架下线技术探索java高并发秒杀面试题
m0_60707685的博客
04-04 957
在上面我们已经说过了,既然是看源码,我们需要找到入口,这是看源码最好的方式,我们在使用Spring Session组件时,需要使用@EnableRedisHttpSession注解,那么该注解就是我们需要重点关注的对象,我们需要搞清楚,该注解的作用是什么?在该注解,我们可以看到,最关键的是在该注解之上,使用@Import注解导入了RedisHttpSessionConfiguration.java配置类,如果你经常翻看Spring Boot相关的源码,你会敏锐地察觉到,该配置类就是我们最终要找的类。
Spring Security框架下线
09-12
Spring Security框架,可以通过以下步骤来实现下线的功能: 1. 创建一个自定义的SessionRegistry实现类,用于管理用户的会话信息。可以继承Spring Security提供的ConcurrentSessionControlStrategy类,并重写其相应方法。 ```java public class CustomSessionRegistry extends ConcurrentSessionControlStrategy { // 重写方法实现下线逻辑 } ``` 2. 在Spring Security的配置类配置SessionManagement,并指定自定义的SessionRegistry实现类。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .sessionManagement() .maximumSessions(1) .maxSessionsPreventsLogin(true) .sessionRegistry(sessionRegistry()); } @Bean public SessionRegistry sessionRegistry() { return new CustomSessionRegistry(); } } ``` 3. 在需要下线的地方,注入SessionRegistry,并使用其相关方法进行操作。比如,可以通过用户ID来掉指定用户的所有会话。 ```java @Autowired private SessionRegistry sessionRegistry; public void kickUser(String userId) { List<SessionInformation> sessionInfoList = sessionRegistry.getAllSessions(userId, false); for (SessionInformation sessionInfo : sessionInfoList) { sessionInfo.expireNow(); // 强制使会话失效 } } ``` 通过以上步骤,你就可以在Spring Security框架实现下线的功能了。注意,这里的示例仅供参考,具体的实现可能会根据你的业务需求而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值