spring security自定义登录授权过滤器限制同一账号同时在线数量

于 2022-10-25 16:47:15 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: 解决方案 文章标签: java spring security 问题解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L_D_W/article/details/127514785
版权

摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。

 

目录

起因

调查

解决

后记

起因

        业务需要设置账号只能存在唯一一个有效的登录,因为使用的spring security,所以第一时间考虑使用security内置的sessionManagement().maximumSessions(1)来设置,但是设置完相关参数之后发现不生效。

调查

        通过对业务代码的以及security的源代码的跟踪,结合网上查询的资料,最终发现导致不生效的原因:

  1. 代码实现的登录授权过滤器直接继承自AbstractAuthenticationProcessingFilter过滤器,并且在过滤器只进行了setAuthenticationManager操作,而AbstractAuthenticationProcessingFilter的默认的SessionAuthenticationStrategy处理类是NullAuthenticatedSessionStrategy,此处既是导致数量设置不生效的根本原因;
  2. 使用redis做的共享session,session的创建及销毁等操作不通过security;
  3. ConcurrentSessionControlAuthenticationStrategy类时负责session数量验证的接口,登录请求处理链在执行的时候未执行该类及类中的相关方法;

       想要解决这个问题,只需要让ConcurrentSessionControlAuthenticationStrategy在登录授权的处理链中被调用即可。通过查找资料,发现ConcurrentSessionControlAuthenticationStrategy只是处理session数量验证的一个单以的处理,在链条中还需要进行其他的业务处理,所以最终实现的目标是引入CompositeSessionAuthenticationStrategy

 解决

        在WebSecurityConfigurerAdapter的实现类中对上述所需要的类进行初始化,关键代码如下:

    @Autowired
    private AuthenticationManager authenticationManager;
    // 此处为自定义的授权处理类
    @Autowired
    private MyAuthenticationService authenticationService;
    // 此处为超出数量时的处理类
    @Autowired
    private SessionExpiredStrategy sessionInformationExpiredStrategy;

    @Autowired(required = false)
    private SessionRegistry sessionRegistry;

    @Bean
    public MySessionAuthenticationFilter accountAuthenticationFilter() {
    	List<SessionAuthenticationStrategy> authenticationStrategies = new ArrayList<SessionAuthenticationStrategy>();
    	authenticationStrategies.add(controlAuthenticationStrategy(sessionRegistry));
    	authenticationStrategies.add(sessionFixationProtectionStrategy());
    	authenticationStrategies.add(registerSessionAuthenticationStrategy(sessionRegistry));
    	CompositeSessionAuthenticationStrategy strategy = sessionAuthenticationStrategy(authenticationStrategies);
        // 自定义的授权过滤器,继承自AbstractAuthenticationProcessingFilter
        final MySessionAuthenticationFilter filter = new MySessionAuthenticationFilter(authenticationService);
        filter.setAuthenticationManager(authenticationManager);
        filter.setSessionAuthenticationStrategy(strategy);
        return filter;
    }

    @Bean
    public ConcurrentSessionFilter concurrentSessionFilter(SessionRegistry sessionRegistry){
        // 需要在此处初类构造时加入数量超过时的处理类
        return new ConcurrentSessionFilter(sessionRegistry, sessionInformationExpiredStrategy);
    }
    
    @Bean
    public ConcurrentSessionControlAuthenticationStrategy controlAuthenticationStrategy(SessionRegistry sessionRegistry){
        ConcurrentSessionControlAuthenticationStrategy strategy = new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry);
        // 需要在此处设置允许同时在线的最大数量
        strategy.setMaximumSessions(1);
        return strategy;
    }
    
    @Bean
    public SessionFixationProtectionStrategy sessionFixationProtectionStrategy(){
        return new SessionFixationProtectionStrategy();
    }


    @Bean
    public RegisterSessionAuthenticationStrategy registerSessionAuthenticationStrategy(SessionRegistry sessionRegistry){
        return new RegisterSessionAuthenticationStrategy(sessionRegistry);
    }

    @Bean
    public CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy(List<SessionAuthenticationStrategy> authenticationStrategies){
        return new CompositeSessionAuthenticationStrategy(authenticationStrategies);
    }

    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }
import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletResponse;

import org.apache.http.HttpStatus;
import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import org.springframework.stereotype.Component;

@Component
public class SessionExpiredStrategy implements SessionInformationExpiredStrategy {

	@Override
	public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
		HttpServletResponse response = event.getResponse();
        response.setStatus(HttpStatus.SC_UNAUTHORIZED);
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write("您的账号已经在别的地方登录!");
	}

}

 最后在HttpSecurity配置时通过addFilter方法加入MySessionAuthenticationFilter即可。

后记

        致歉:由于解决这个问题的时间较长,参考的文章数量较多,解决后已经记不得具体参考引用了哪些文章,如果文章作者在本文中看到相似代码,请联系我,核实后,会在文章末尾添加文章的引用。

劉微明
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用spring security控制同一个用户只能一次登陆
04-21
NULL 博文链接:https://lihao312.iteye.com/blog/1909205
SpringSecurity学习之自定义过滤器的实现代码
08-26
"SpringSecurity学习之自定义过滤器的实现代码" Spring Security学习之自定义过滤器的实现代码主要介绍了Spring Security学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有...
spring security实现限制登录次数功能
xiaokanfuchen86的博客
10-10 2934
本节是在基于注解方式进行的,后面的例子都会基于注解形式,不再实现XML配置形式,毕竟注解才是趋势嘛! 关键在于实现自定义的UserDetailsService和AuthenticationProvider 项目结构如下: 查看spring security的源代码可以发现默认security已经定义的user中的一些变量,鉴于此创建users表如下: CREATE TABLE users ( username VARCHAR(45) NOT NULL, password VARCH
Spring Security3边学边写(N)会话管理和并行控制
sb33060418的专栏
10-09 367
在开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢? Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。 本次实...
Spring Security
weixin_30498807的博客
10-18 186
【转自】http://www.mossle.com/oa/springsecurity/html/index.html 第12章管理会话 多个用户不能使用同一账号同时登陆系统。 12.1.添加监听器 在web.xml中添加一个监听器,这个监听器会在session创建和销毁的时候通知Spring Security。 <listener> ...
spring security】前后端分离,限制用户登录(一个账号同一时间只能在一段登录
Meditation_Crazy
10-27 2277
前言 实现这块功能的时候,通过搜索,简单配置了下: 但是没生效。然后就是看代码,百度,还是没成功。 最后偶尔查到了这个: 既然找到了源码,那就断点,跑一下试试,结果,登录过程中,并没有进这个类org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy。 然后根据类名,查找相关配置,就找到了其他的一些配置。 http://www.jetchen.cn/spring
SpringSecurity3.1.2控制一个账户同时只能登录一次
aokunsang的博客
09-18 519
网上看了很多资料,发现多多少少都有一些不足(至少我在使用的时候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同时只能登录一次的配置实现。   网上很多配置是这样的,在&lt;http&gt;标签中加入concurrency-control配置,设置max-sessio...
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
spring security 4 小例子带自定义过滤器
03-20
Spring Security 4中,我们可以通过自定义过滤器来扩展其功能,以满足特定的安全需求。在这个小例子中,我们将探讨如何创建并集成自定义过滤器,以及它在Spring Security中的工作原理。 首先,我们需要理解Spring...
Spring Security 3多用户登录实现一
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722261
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
九、Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
panchang199266的博客
07-12 9108
参见Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
spring-security 是怎么实现同一个用户登录次数限制的(包含源码分析)
java_fisher的博客
06-27 1808
package com.example.demo.sms; import com.example.demo.core.AbstractSecurityConfigurerAdapter; import com.example.demo.core.MySimpleRedirectSessionInformationExpiredStrategy; import org.springframework.beans.factory.annotation.Autowired; import org.spring.
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录
灵台方寸山斜月三星洞
01-18 1880
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息 场景 接手一个老项目: 先上pom.xml ...略 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId>
SpringBoot 并发登录人数控制
JAVA葵花宝典
11-03 390
转自:简书,作者:殷天文www.jianshu.com/p/b6f5ec98d790通常系统都会限制同一账号登录人数,多人登录要么限制后者登录,要么踢出前者,Spri...
Spring Security控制只能有一个用户在线
freelyeagle的博客
01-09 1709
在最近的一个项目中需要用到同时只能允许一个用户在线,该系统是一个线上考试系统,要求同一个考生在不同的浏览器上同时只能有一个在线。框架用的Spring SecuritySpring Security本身时有关于Session控制的,只需要在配置文件中进行配置就可以实现。 第一步需要在web.xml里配置HttpSessionEventPublisher,如下所示,只要在web.xml文件里加上这...
spring boot使用spring security 的基本配置 以及 限制同一账号不能多处登录
weixin_40340362的博客
01-09 1937
关于如何spring boot 整合spring security 请自行百度,这里只是简单描述spring security 的配置项。  @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true)// 启用 Spring Security 全局方法 //prePostEnabled...
权限管理之springsecurity自定义登录授权
最新发布
10-15
通过使用Spring Security,可以轻松地自定义登录授权过程。 首先,我们需要创建一个实现`UserDetailsService`接口的类来处理用户的身份验证。在这个类中,我们可以自定义用户的登录逻辑,例如验证用户名和密码。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值