Spring Security之多点登录控制

于 2024-09-03 20:58:48 发布
阅读量548 收藏 8
点赞数 10
分类专栏: 探索Spring Security 文章标签: spring 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Evan_L/article/details/141575575
版权

前言

上回我们聊了Spring Security之登录跳转,今天我们聊另外一个与功能相关的功能:多点登录控制。

多点登录控制

搞Web应用的同学都知道每个登录者的信息都是保存在Session之中,每个请求都会给带来一个唯一的sessionId。那么,这便是我们控制多点登录的切入口,或者说,基本实现思路。

假设A在C1电脑上登录,然后又在另外一台电脑C登录,那么在后台就会产生2个Session,如果我们把每个账号登录的Session记录下来,那不就能知道这个账号在几处登录了。那么,我们想要禁止账号多点登录——只能在一个地方登录——就可以限制住了。

SpringSecurity的实现

Spring Security之Session管理中,我们在介绍的同时也聊到这个多点登录控制这个功能点,但并没有完全给大家串起来,因为那里的重点不是这个。今天咱就当复习,也来串一下流程。

多点登录控制流程分析

假设我们不允许多点登录,也就是只能在一个地方登录。

  1. 在电脑C1上登录成功,我们记录下登录成功的账号和sessionId。
  2. 再到电脑C2上登录,认证成功。但我们在校验当前登录的账号的session时,发现已经存在一个登录状态的session,且与当前session不一样。于是我们就抛出异常。(当然,我们也可以选择把第一个session设置为失效,即强制退出)
  3. 回到C1登出。将对应账号的session移除。
  4. 再到C2登录,校验通过,允许登录。

如果做的完善一些的话,这个功能还应该加上:

每次请求都检查session是否失效,然后移除账号session记录。

多点登录方案分析

基于上述流程分析结果,我们就能得到如下结论

  • 需要一个管理账号session信息的组件
  • 需要一个新的过滤器来检查每个请求的session是否有效。
  • 登录成功时,校验账号的session个数。校验通过,就登记,否则就拒绝。
  • 登出成功时,移除账号的session记录。

从上面的流程,我们可以看到,这个功能涉及到登录和登出。所以我们最好把这个功能抽离出来,而不是都放到登录里面。但很明显我们必须要在登录跟登出使用到同一个组件,不然这session记录就容易出问题。

Spring的实现

  • SessionRegistry
    负责维护账号的session信息。当前只有一个实现:SessionRegistryImpl

    /**
 * 值得注意的是,他监听了AbstractSessionEvent,
 * 可以通过session事件来管理session信息。
 * 而这些事件,则是SpringBoot内嵌的Tomcat发布的。
 * @see HttpSessionListener
 * @see HttpSessionEventPublisher
 */
public class SessionRegistryImpl implements SessionRegistry, ApplicationListener<AbstractSessionEvent> {
  
    // <principal:Object,SessionIdSet>
    // 映射:登录的用户信息,sessionId集合
  	private final ConcurrentMap<Object, Set<String>> principals;
  
  	// <sessionId:Object,SessionInformation>
    // 映射:sessionId,session信息
  	private final Map<String, SessionInformation> sessionIds;
  	
  @Override
  public void onApplicationEvent(AbstractSessionEvent event) {
  	if (event instanceof SessionDestroyedEvent) {
  		// 销毁session -- 通常是session超时
  		SessionDestroyedEvent sessionDestroyedEvent = (SessionDestroyedEvent) event;
  		String sessionId = sessionDestroyedEvent.getId();
  		// 移除session信息
  		removeSessionInformation(sessionId);
  	}
  	else if (event instanceof SessionIdChangedEvent) {
  		// session变更 -- 登录成功后,sessionId会发生变化
  		SessionIdChangedEvent sessionIdChangedEvent = (SessionIdChangedEvent) event;
  		String oldSessionId = sessionIdChangedEvent.getOldSessionId();
  		if (this.sessionIds.containsKey(oldSessionId)) {
  			Object principal = this.sessionIds.get(oldSessionId).getPrincipal();
  			// 移除老session
  			removeSessionInformation(oldSessionId);
  			// 注册新session
  			registerNewSession(sessionIdChangedEvent.getNewSessionId(), principal);
  		}
  	}
  }
  }

    其最主要的接口行为:

    public interface SessionRegistry {
    // 获取某个账号/用户当前的所有session
    List<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions);
    // 根据sessionId获取session信息
    SessionInformation getSessionInformation(String sessionId);
    // 注册新的session
    void registerNewSession(String sessionId, Object principal);
    // 刷新session时间
    void refreshLastRequest(String sessionId);
    // 移除session
    void removeSessionInformation(String sessionId);
}

  • ConcurrentSessionFilter
    负责检查每个请求的session是否过期,如果过期,则从session注册器中移除。若没过期,就刷新时间。这样看的话,这个命名似乎有那么一点问题,因为他关注的是session是否过期。

    public class ConcurrentSessionFilter extends GenericFilterBean {

  private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
  		throws IOException, ServletException {
  	HttpSession session = request.getSession(false);
  	if (session != null) {
  	    // 通过session注册器获取session信息
  		SessionInformation info = this.sessionRegistry.getSessionInformation(session.getId());
  		if (info != null) {
  			if (info.isExpired()) {
  				// session已失效/过期,调用登出:就是要清理session信息
  				doLogout(request, response);
  				// 通过SessionInformationExpiredStrategy处理超时
  				this.sessionInformationExpiredStrategy
  					.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));
  				return;
  			}
  			// 没失效就刷新时间
  			this.sessionRegistry.refreshLastRequest(info.getSessionId());
  		}
  	}
  	chain.doFilter(request, response);
  }
  
  private void doLogout(HttpServletRequest request, HttpServletResponse response) {
    // 获取认证信息
  	Authentication auth = this.securityContextHolderStrategy.getContext().getAuthentication();
  	// 调用登出处理器
  	this.handlers.logout(request, response, auth);
  }
}

  • SessionAuthenticationStrategy
    在聊Session管理的时候对这个组件详细了解过。既然如此就跟大家一起复习一下。
    实际上,SpringSecurity构建了两个不同的组件来协助我们完成这一session并发控制功能。详见我们的Session管理SessionAuthenticationStrategy这一小节。

    1. ConcurrentSessionControlAuthenticationStrategy
      负责校验并发数量。
    2. RegisterSessionAuthenticationStrategy
      负责注册新的session。

不过,这区分之后,两个session策略的执行顺序就必须是先校验再注册。实际上,SpringSecurity也是如此配置的。感兴趣的不妨再回头看下Session管理的《SessionManagementConfigurer》这一小结。

小结

眼尖的同学可能发现了,既然SessionRegistryImpl都监听了session事件,那为啥还要ConcurrentSessionFilter干啥?SessionRegitryImpl通过事件不就能实现刷新session记录时间和移除过期session了。
这个问题,是因为默认情况下,spring mvc的HttpSessionEventPublisher组件并不会声明,因此没有作用,自然不会发布相关事件。
要生效也简单,只需要声明一下就行。

	@Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

完整的流程

假设我们配置最大的session个数为1,也就是不允许多点登录。

  1. 用户在C1登录
  2. 进入认证过滤器UsernamePasswordAuthenticationFilter,登录成功,使用SessionAuthenticationStrategy处理session。于是,经过ConcurrentSessionControlAuthenticationStrategy校验并发数量通过。再经过RegisterSessionAuthenticationStrategy将session登记到SessionRegistry
  3. 用户再到C2登录
  4. 重复步骤2,但ConcurrentSessionControlAuthenticationStrategy检查发现超出数量限制。于是当前登录被拒绝,并抛出SessionAuthenticationException
  5. ExceptionTranslationFilter检测到认证异常,重置用户登录态。包括SecurityContext,并跳转到登录页面。

后记

给大家一个任务,如果让你不使用框架,自己写过滤器实现单点登录功能,会怎么做呢?不妨参考上面的流程试试看?

下次,我准备跟大家聊聊RememberMe功能。

Evan_L
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2.0 多点登录与单点登录SpringCloud系列12】
BASK2311的博客
03-27 1429
管理后台业务登录多次调用 oauth/token 登录接口,会发现每次反回的token都是一样的,即时在不同的电脑上,使用相同的账号进行登录,反回的token还是一至的。token 的缓存策略是使用的 Redis ,而我的需求是每次登录都要生成不一样的token所以可以自定义生成 token的策略。我要实现的功能是 电脑A浏览器中用户登录管理后台后,可以正常访问资源接口,当在电脑B登录同一个账号后,电脑A中的token失效。也就是所谓的单点登录功能,同一个用户生成的token 互斥。
SpringSecurity以及OAuth2源码分析——实现多登录方式
a602389093的博客
07-25 1754
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 SpringSecurity的Oauth2源码分析 我们先来看下通过Oauth2获取token的源码流程: 一、获取token的接口是/oauth/token,在TokenEndpoint类中 public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", meth
SpringSecurity多端登录实现方案
一名蒟蒻的博客
01-12 9710
七、SpringSecurity多端登录实现方案 1、自定义AbstractAuthenticationProcessingFilter(仿UsernamePasswordAuthenticationFilter) public class MyAuthenticationFilter extends AbstractAuthenticationProcessingFilter { public static final String SPRING_SECURITY_FORM_USERNAME
Spring Security之Session管理
Evan_L的博客
04-21 1767
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
Spring Security之安全异常处理
Evan_L的博客
07-17 1253
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常)
spring security 4 多点登录
01-23
最近看了spring security 4的开发文档,登录权限拦截封装的相当好!!! 附件为简单的多点登录demo,给开发前后台的朋友们做参考,其中authentication-provider为框架自带的user-service,后续会在整个自定义user-...
微服务版单点登录系统(Spring Security)
ancartoon的博客
08-31 1129
目录 简介 多点登录系统 单点登录系统​ 快速入门案例 创建认证授权工程 添加项目依赖 构建项目配置文件 添加项目启动类 启动并访问项目 定义登录逻辑 业务描述 定义配置安全类 定义用户信息处理对象 网关中登录路由配置 基于Postman进行访问测试 自定义登录页面 颁发登录成功令牌 构建令牌配置对象 定义认证授权核心配置 配置网关认证的URL Postman访问测试 登录页面方案设计 资源服务器配置 添加依赖 令牌处理器配置 资源服务令牌...
Spring Security学习之会话管理
qq_38586378的博客
09-10 494
概念 会话:session,对于无状态的HTTP 实现用户状态可维持的一种解决方案。 HTTP的无状态特点使得用户给与在服务器交互的过程中,每个请求间没有关联性,即用户的访问没有身份记录,站点无法为用户提供个性化服务。session的诞生解决这个问题(利用session保存用户身份) 服务器通过与用户约定,每个请求都会携带一个id类的信息,使得不用请求间有了关联;id也方便与用户绑定,就可把不同请求归类到同一用户 基于此方案,为了使同一个用户的每个请求都携带一个id,需要一个载体
java重点学习-spring
最新发布
qq_40453972的博客
09-03 624
AOP称为面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取并封装为一个可重用的模块,这个模块被命名为“切面”(Aspect),减少系统中的重复代码,降低了模块间的耦合度,同时提高了系统的可维护性。常见的AOP使用场景记录操作日志、●缓存处理Spring中内置的事务处理什么是AOP面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取公共模块复用,降低耦合你们项目中有没有使用到AOP。
JAVA后端框架【spring】--超详解
2302_77125952的博客
08-29 1063
spring是一个轻量级的ioc和Aop的一站式java开发框架,简化企业级开发轻量级:框架体积小(核心模块)
高级java每日一道面试题-2024年8月28日-框架篇[Spring篇]-Spring 框架是什么?
qq_43071699的博客
08-28 806
1. 定义与起源Spring是一个轻量级的控制反转(IoC)和面向切面(AOP)的容器框架。它由Rod Johnson最早提出,目的是解决企业级应用开发的复杂性,简化Java开发。2. 核心特性控制反转(IoC):也称为依赖注入(DI),是Spring框架的核心。它将对象的创建和依赖关系的管理交给了容器,降低了代码间的耦合度。面向切面编程(AOP):Spring提供了丰富的AOP支持,允许开发者将横切关注点(如日志、事务管理等)从业务逻辑中分离出来,形成可重用的功能组件。
spring security 相关过滤器
冬阳
08-31 738
Spring Security 提供了 30 多个过滤器。默认情况下Spring Boot 在对 SpringSecurity 进入自动化配置时,会创建一个名为 SpringSecurityFilerChain 的过滤器,并注入到Spring容器中,这个过滤器将负责所有的安全管理,包括用户认证、授权、重定向到登录页面等。
SpringBoot 项目集成 xxl-job
qq_58159506的博客
09-03 523
SpringBoot 项目集成 xxl-job
SpringBoot项目初始化搭建
weixin_63405049的博客
08-30 1870
本章主要讲解了SpringBoot项目初始化搭建,编程事务的使用,分页依赖的使用,以及跨域问题如何解决,解决了轻量级项目构建初期遇到的一些问题,提供于前后端交互时产生的问题进行分析与解决
Spring扩展点系列-@PostConstruct
qq_32590535的博客
08-29 499
spring的Bean在创建的时候会进行初始化,而初始化过程会解析出@PostConstruct注解的方法,并反射调用该方法。@PostConstruct 的使用和特点只有一个非静态方法能使用此注解;被注解的方法不得有任何参数;被注解的方法返回值必须为void;被注解的方法不得抛出已检查异常;被注解的方法只会被执行一次;
Spring Security 认证源码超详细分析
緑水長流*z
08-30 782
AbstractAuthenticationProcessingFilter 为处理认证请求提供了一个基础框架。这个抽象类主要用于处理 HTTP 请求,并将其转换为 Authentication 对象,然后提交给 AuthenticationManager 进行认证。这不就是我们前面介绍的 UsernamePasswordAuthenticationFilter 吗?
Spring
qq_48501521的博客
08-29 1182
Spring概念:分层的Java SE/EE应用full stack轻量级框架,以IOC(控制反转)和AOP(面向切面)为内核,提供了展现层和持久层以及业务层事务管理等众多的企业应用技术,还可以整合其他第三方框架和类库。轻量级指的是Spting框架的非侵入性,即对象可不必依赖Spring的API类。Spring核心容器:spring-core,spring-beans,spring-context,spring-expression等spring-core:基本组成,包括IOC和DI等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值