Spring Security框架中踢人下线技术探索

最新推荐文章于 2024-01-23 22:47:29 发布
最新推荐文章于 2024-01-23 22:47:29 发布
阅读量414 收藏
点赞数
文章标签: 大数据 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JHIII/article/details/125693449
版权
本文探讨了在Spring Security框架下,如何实现在用户删除或禁用时踢人下线的功能。通过分析Spring Security和Spring Session的源码,找到了查找和删除Session会话的方法,包括如何根据账号收集Session信息以及如何主动销毁Session。最后,提出了通过创建SessionService接口和实现类来实现踢人下线的解决方案。
摘要由CSDN通过智能技术生成

1.背景

在某次项目的开发中,使用到了Spring Security权限框架进行后端权限开发的权限校验,底层集成Spring Session组件,非常方便的集成Redis进行分布式Session的会话集群部署。系统正式上线后,各个部署节点能够非常方便的进行集群部署,用户的Session会话信息全部保存在Redis中间件库中,开发者不用关心具体的实现,Spring Session组件已经全部集成好了。

但是在系统的用户管理模块中,提供了对系统用户账号的删除功能以及禁用功能,针对这两个功能,需求方给出的具体要求是:

  • 删除:当管理员删除当前用户账号时,如果当前账号已经登录系统,则需要剔除下线,并且不可登录

  • 禁用:当管理员对当前账号禁用操作时,如果当前账号已经登录系统,则需要剔除下线,并且登录时,提示当前账号已禁用

2.需求分析

从上面的需求来看,不管是删除还是禁用功能,都需要实现,如果当前账号已经登录系统,则需要剔除下线,而禁用操作只需要再登录时给出提示信息即可,这个在业务登录方法中就可以实现,不必从底层框架进行考虑。

因此,从底层技术测进行考虑时,我们需要探索如何在Spring Security权限框架中实现踢人下线的功能。

既然需求已经明确,从功能的实现可能性方面入手,我们则需要从几个方面进行考虑:

  • 1)、在Spring Security框架中,用户登录的Session会话信息存储在哪里?

  • 2)、在Spring Security框架中,Session会话如何存储,主要存储哪些信息?

  • 3)、如何根据账号收集当前该账号登录的所有Session会话信息?

  • 4)、如何在服务端主动销毁Session对象?

1)、在Spring Security框架中,用户登录的Session会话信息存储在哪里?

如果我们不考虑分布式Session会话的情况,单体Spring Boot项目中,服务端Session会话肯定存储在内存中,这样的弊端是如果当前应用需要做负载均衡进行部署时,用户请求服务端接口时,会存在Session会话丢失的情况,因为用户登录的会话信息都存在JVM内存中,没有进程之间的共享互通。

为了解决分布式应用Session会话不丢失的问题,Spring Session组件发布了,该组件提供了基于JDBC\Redis等中间件的方式,将用户端的Session会话存储在中间件中,这样分布式应用获取用户会话时,都会从中间件去获取会话Session,这样也保证了服务可以做负载部署以保证Session会话不丢失。本文主要讨论的也是这种情况,集成Redis中间件用来保存用户会话信息。

2)、在Spring Security框架中,Session会话如何存储,主要存储哪些信息?

由于我们使用了Redis中间件,所以,在Spring Security权限框架中产生的Session会话信息,肯定存储与Redis中,这点毫无疑问,那么存储了哪些信息呢?我会在接下来的源码分析中进行介绍

3)、如何根据账号收集当前该账号登录的所有Session会话信息?

我们从上面的需求分析中已经得知Session会话已经存储在Redis中,那么我们是否可以做这样的假设,我们只需要根据Spring Security中在Redis中存储的键值,找到和登录用户名相关的Redis缓存数据,就可以通过调用Security封装的方法进行获取,得到当前登录账号的会话信息呢?这个我们需要在源码中去找到答案

4)、如何在服务端主动销毁Session对象?

如果是单体的Spring Boot应用,Session信息肯定存储在JVM的内存中,服务端要主动销毁Session对象只需要找到Security权限框架如何存储的就可以进行删除。

在分布式的Spring Boot应用中,我们从上面已经得知Session会话信息以及存储在Redis中间件中,那么我们只需要得到当前登录的Session在Redis中的键值,就可以调用方法进行删除操作,从而主动在服务端销毁Session会话

3.源码分析

在上面的需求分析中,我们已经提出了假设,并且根据假设,做出来技术性的判断,接下来我们需要从Spring Security以及Spring Session组件的源码中,去寻找我们需要的答案。

首先,我们在源码分析前,我们需要找到入口,也就是我们在使用Spring Security框架,并且使用Spring Session组件时,我们如何使用的。

在pom.xml文件中引入组件的依赖是必不可少的,如下:

 

接下来,我们在Spring Boot项目中,需要添加@EnableRedisHttpSession注解,以开启Redis组件对Session会话的支持,该注解我们需要制定Spring Session在Redis中存储的Redis命名空间,已经Session会话的时效性,示例代码如下:
 

 

 在上面的代码中,我们指定Redis的命名空间是fish-admin:session,默认最大失效7200秒。
 

如果开发者默认不指定这两个属性的话,命名空间默认值是spring:session,默认最大时效则是1800秒
 

在上面我们已经说过了,既然是看源码,我们需要找到入口,这是看源码最好的方式,我们在使用Spring Session组件时,需要使用@EnableRedisHttpSession注解,那么该注解就是我们需要重点关注的对象,我们需要搞清楚,该注解的作用是什么?
 

EnableRedisHttpSession.java部分源码如下:
 

 
 

在该注解中,我们可以看到࿰

                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Java海
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
Spring Security OAuth2 实现多人登录互下线

				
			

			

				

					公众号-老炮说Java
				

				

					05-01
					
					4673
					
				

			

		

		

			
				
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达▊老赵推荐(戳下方标题)阿里大牛程序员的Java问题排查工具单我已经不用 try catch 处理异常了!太烦人了Sprin...

			
		

	



                

              
                



	

		

			

				
					
SpringSession的RedisIndexedSessionRepository的注入问题

					
最新发布

				
			

			

				

					weixin_42906783的博客
				

				

					08-16
					
					285
					
				

			

		

		

			
				
这个问题困扰了我很久,RedisSessionRepository是在config文件上用@EnableRedisHttpSession来配置的,但是RedisSessionRepository本身不支持用户名查询sessionid,在查看RedisSessionRepository源码的时候去看了它SessionRepository接口的时候看到它还有一个RedisIndexedSessionRepository的继承支持用用户名查询sessionid。(网上那么多资料没人提醒一下要换个注解吗)

			
		

	



                


  
              

                


	

		

			

				
					
登录超时提示+下线实现(spring security

				
			

			

				

					zwrlj527的专栏
				

				

					11-02
					
					3233
					
				

			

		

		

			
				
spring security用户登录session登录管理真强大,虽然说很重,但是用起来确实方便。现在spring security不像以前了,它也与时俱进,配置早springBoot里做的很友好了你们猜.maximumSessions(2)会先哪个?如果要加信息推送知道在那里加了吧?认真看TODO好了,就到这吧,UPing!!

			
		

	





	

		

			

				
					
SpringSecurity-07】同账号多端登陆下线

				
			

			

				

					weixin_45717355的博客
				

				

					11-29
					
					1295
					
				

			

		

		

			
				
SpringSecurity 同账号多端登陆下线
限制最大登陆用户数量


true表示已经登陆就不允许再次登陆
false表示允许再次登陆但是之前的登陆账号会被下线

自定义处理策略类CustomExpiredSessionStrategy

页面跳转的方式

public class CustomExpiredSessionStrategy implements SessionInformationExpiredStrategy {
    
    //页面跳转的方式
    //页面跳转的处理逻

			
		

	



		

			
		



	

		

			

				
					
关于Spring Security框架下线技术探索

				
			

			

				

					stone_tmp的博客
				

				

					06-21
					
					730
					
				

			

		

		

			
				
1.背景

在某次项目的开发,使用到了Spring Security权限框架进行后端权限开发的权限校验,底层集成Spring Session组件,非常方便的集成Redis进行分布式Session的会话集群部署。系统正式上线后,各个部署节点能够非常方便的进行集群部署,用户的Session会话信息全部保存在Redis间件库,开发者不用关心具体的实现,Spring Session组件已经全部集成好了。

但是在系统的用户管理模块,提供了对系统用户账号的删除功能以及禁用功能,针对这两个功能,需求方给出的具体

			
		

	





	

		

			

				
					
Spring Security OAuth2 实现登录互的示例代码

				
			

			

				

					08-19
				

			

		

		

			
				
主要介绍了Spring Security OAuth2实现登录互的示例代码,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

			
		

	





	

		

			

				
					
SpringBoot 并发登录人数控制,附人功能

				
			

			

				

					wuxiaopengnihao1的博客
				

				

					07-29
					
					713
					
				

			

		

		

			
				
通常系统都会限制同一个账号的登录人数,多人登录要么限制后者登录,要么出前者,SpringSecurity提供了这样的功能,本文讲解一下在没有使用Security的时候如何手动实现这个功能JWT(token)存储在Redis,类似JSessionId-Session的关系,用户登录后每次请求在Header携带jwt如果你是使用session的话,也完全可以借鉴本文的思路,只是代码上需要加些改动。...

			
		

	





	

		

			

				
					
spring security(八) session 并发,剔除前一个用户

					
热门推荐

				
			

			

				

					哎幽的成长
				

				

					08-23
					
					1万+
					
				

			

		

		

			
				
解决 session 并发问题 ,同时只有一个用户在线。 有一个用户在线后其他的设备登录此用户将剔除前一个用户。强制前一个用户下线。本文代码,是基于  springboot+security restful权限控制官方推荐(五)的代码1.修改security配置添加 SessionRegistry,自己管理SessionRegistry。@Configuration
@EnableWebSecuri

			
		

	





	

		

			

				
					
springMVCsession获取、设置、清除

				
			

			

				

					xy的博客
				

				

					12-03
					
					3944
					
				

			

		

		

			
				
@Controller
@SessionAttributes({"msg"})
public class HelloController {

    @RequestMapping("/login01.do")
    public ModelAndView login01(@RequestParam("name") String name,@RequestParam("password") String password){
        /* 无 @SessionAttributes({"msg"}

			
		

	





	

		

			

				
					
spring security3教程系列--如何用户

				
			

			

				

					pan-zy的专栏
				

				

					09-18
					
					932
					
				

			

		

		

			
				
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8572467  


对于spring security我个人是比较喜欢的一个安全框架,我们的系统一般需要提供强制将用户出的功能,这个功能security也有提供,

首先我们要操作需要获取sessionRegistry认证用户的所有SessionInformation,然后逐个

			
		

	





	

		

			

				
					
Spring Security真正的实时更新权限方法!无需拦截器、用户,直接修改Redis的内容

				
			

			

				

					Tan_LC的博客
				

				

					01-23
					
					293
					
				

			

		

		

			
				
相信很多用了Spring Security的小伙伴在日常开发,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更新,而不需要用户自己访问呢?以上2、3都有一个问题,就是更新权限并不是经常发生的事情,可能用户用了几个月,管理员才会修改一次权限,如果只是为了确认权限有没有更新,就多一个步骤,那属实是有点浪费性能。首先,我们的项目采用的是。

			
		

	





	

		

			

				
					
SpringBoot使用Redis清除所有缓存

				
			

			

				

					程序羊的博客
				

				

					07-18
					
					3861
					
				

			

		

		

			
				
Java删除Redis所有缓存

			
		

	





	

		

			

				
					
spring-security实现多端登陆时,掉前一个用户

				
			

			

				

					Nio的博客
				

				

					03-01
					
					9499
					
				

			

		

		

			
				
实现思路是依赖于spring-security的sessionRegistry和SessionInformation两个对象来判断和删除session。


UsernamePasswordAuthenticationFilter 实现类的attemptAuthentication方法实现主要判断和删除session的逻辑:


 //获取所有在线用户
                List...

			
		

	





	

		

			

				
					
Asp.net实现用户

				
			

			

				

					liubiaocai的专栏
				

				

					06-03
					
					2228
					
				

			

		

		

			
				
最近公司老大叫我实现防止用户重复登录的功能,既然是老大吩咐的那肯定要去做了,哈哈,开个玩笑,言归正传吧。到网上找了很多资料,大部分都用Application或数据库实现,其原理我就不用多说了,想必大家都知道,一开始想起来很以为很简单,开始到了后面就很棘手了,为什么呢,应为用Application或数据库实现的原理是:当用户正常登录的时候把用户名加到Application里或在数据库表里加个字段设置

			
		

	





	

		

			

				
					
Spring Security框架下线

				
			

			

				

					09-12
				

			

		

		

			
				
Spring Security框架,可以通过以下步骤来实现下线的功能:  1. 创建一个自定义的SessionRegistry实现类,用于管理用户的会话信息。可以继承Spring Security提供的ConcurrentSessionControlStrategy类,并...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值